Dieser Fachartikel beschäftigt sich mit der sensiblen Frage, ob Videoüberwachungen, auch außerhalb der Unterrichtszeit, nach EU-Datenschutz-Grundverordnung (EU-DSGVO) möglich und sinnvoll sind. Leider ist es oft so: In Problembezirken wird der unbeleuchtete und unbewachte Schulhof in den Abend- und Nachtstunden als Aufenthaltsort für Trinkgelage oder andere Aktivitäten missbraucht. Es kommt zu Einbrüchen, bei denen wertvolles Schulinventar entwendet wird, oder es finden Verunzierungen von Schuleigentum durch Graffitis statt, die teuer entfernt werden müssen. In solchen Fällen stehen Schulleitung und Kollegium vor der Frage: Kann eine Videoüberwachung des Schulgeländes hier Abhilfe schaffen? Festzuhalten ist: Für öffentliche Schulen gilt, dass der Einsatz von Videoüberwachung während des Schulbetriebes auf dem Schulhof sowie in allen für den Schulbetrieb genutzten Räumlichkeiten, also allen Unterrichtsräumen, Aufenthaltsbereichen, Fluren, Toiletten, Sporthallen und so weiter grundsätzlich nicht zulässig ist. Wie ist also eine rechtmäßige Überwachung nach EU-DSGVO möglich? Rechtmäßigkeit der Videoüberwachung nach der EU-DSGVO Generell haben Behörden natürlich ein Interesse daran, dass die Schulgebäude nicht beschmutzt der anderweitig beschädigt werden. Die zuständige Behörde wird also anhand der folgenden Punkte überprüfen, ob eine Videoüberwachung notwendig ist. Sollte die Behörde kein Interesse an der Videoüberwachung des Schulgeländes zeigen, stellt sich die Frage, wer die Kosten, die Verantwortung und die Wartung für die Videoanlage übernimmt. Hier kommt vielleicht der Förderverein der Schule infrage. Für die Prüfung der Rechtmäßigkeit einer Videoüberwachung, und der damit verbundenen Datenverarbeitung durch nicht öffentliche Stellen (private Betreiber, hier vielleicht der Förderverein der Schule) ist zunächst auf die "Generalklausel" in Artikel 6 Absatz 1 Satz 1 littera f der EU-DSGVO hinzuweisen. Danach ist die Verarbeitung rechtmäßig , soweit sie zur Wahrung der berechtigten Interessen der oder des Verantwortlichen (Schulleitung) oder eines Dritten erforderlich ist. sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, die den Schutz personenbezogener Daten erfordern, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (das vielleicht nach Schulschluss auf dem Schulhof spielt). Wahrung berechtigter Interessen Zunächst ist zu prüfen, zu welchem Zweck die Videoüberwachungsanlage betrieben wird. Ein berechtigtes Interesse an einem Betrieb der Anlage kann zum Beispiel die Wahrung des Hausrechts oder Schutz vor Diebstahl und Einbruch sowie die Möglichkeit zur Aufklärung solcher Taten sein. Diese Zwecke müssen vor Inbetriebnahme der Videoüberwachungsanlage festgelegt und hinreichend bestimmt sein. Erforderlichkeit der Videoüberwachung Hierbei ist abzuwägen, ob die konkrete Videoüberwachung dafür geeignet ist, die gewünschten Zwecke zu erreichen und ob eventuell alternative Maßnahmen vorzuziehen sind, die nicht oder weniger tief in das Recht auf den Schutz personenbezogener Daten eingreifen. Weiterhin gilt generell für Schulen, das die Kamera nur außerhalb von Öffnungs- oder Betriebszeiten der Schule betrieben werden darf. Interessenabwägung Die Interessenabwägung ist und bleibt eine Frage des Einzelfalls. Hierbei werden die Art der erfassten Informationen (Informationsgehalt), der Umfang der erfassten Informationen (Informationsdichte, zeitliches und räumliches Ausmaß), der betroffene Personenkreis, die Interessenlage der betroffenen Personengruppen, das Vorhandensein von Ausweichmöglichkeiten sowie Art und Umfang der Verwertung der erhobenen Daten bestimmt. Die Abstimmung dieser Fragestellungen muss mit dem dafür zuständigen Datenschutzbeauftragten der Behörde erfolgen. Transparenz-Anforderungen und Hinweis-Beschilderung Neben der Rechtmäßigkeit der Verarbeitung fordert die EU DSGVO in Artikel 5 Absatz 1 literra a , dass die personenbezogenen Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Dazu dient eine Hinweis-Beschilderung, die in Augenhöhe angebracht sein sollte, sodass die Möglichkeit besteht, den Kameras auszuweichen. Die Hinweis-Beschilderung sollte folgende Inhalte haben: Name und die Kontaktdaten des Verantwortlichen (Schulleitung) gegebenenfalls die Kontaktdaten der oder des Datenschutzbeauftragten die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie die Rechtsgrundlage für die Verarbeitung die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden gegebenenfalls die Empfängerinnen und Empfänger oder Kategorien von Empfängerinnen und Empfängern der personenbezogenen Daten gegebenenfalls die Absicht der oder des Verantwortlichen, an wen die personenbezogenen Daten weitergeleitet werden sollen und wie eine Kopie von ihnen zu erhalten ist Weiterhin stellt die oder der Verantwortliche (Schulleitung) der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende zusätzliche Informationen auf dem Hinweisschild zur Verfügung: die Dauer, für die die personenbezogenen Daten gespeichert werden das Bestehen eines Rechts auf Auskunft seitens der oder des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung dieser sowie die Existenz eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit dass, wenn der betroffene Personenkreis (Besucherinnen und Besucher der Schule) der Datenerhebung zugestimmt hat, dieser die Einwilligung jederzeit widerrufen kann das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nicht-Bereitstellung hätte nach welchen Kriterien (Algorithmen) die gesammelten Daten ausgewertet werden Zusammenfassung Bevor eine Videoanlage installiert wird, sollte diese Frage in einer Schulkonferenz erörtert und abgestimmt werden. EU-DSGVO-konform betriebene Videoüberwachungsanlagen müssen in jedem Fall den Transparenz-Anforderungen genügen und über eine entsprechende Hinweis-Beschilderung verfügen. Dafür hat die Schulleitung als Verantwortlicher Sorge zu tragen. Es ist unbedingt der Behördliche Datenschutzbeauftragte einzuschalten, der die Schulleitung berät.

Der Fachartikel "Ein Datenschutzkonzept für Schulen" informiert Schulleitende und Lehrkräfte über die Erstellung eines Verfahrensverzeichnisses gemäß der EU-Datenschutzgrundverordnung (DSGVO). Das Recht auf Vergessenwerden Artikel 17. Abs.1 der EU-DSGVO stellt die Schulleitungen und Verantwortlichen in der Auftragsdatenverarbeitung vor vielfältige Aufgaben, denn personenbezogene Daten sind künftig unverzüglich zu löschen, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dabei müssen die Löschungsfristen für alle Schüler-Lehrer- und Elterndaten eingehalten werden. Das gilt für Klassenarbeiten, Notenhefte, Fotos, Zeugnisse und so weiter. die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Sind zum Beispiel irrtümlich Fotos von Personen auf Schulfesten erstellt worden oder gab es Einwilligungen für die Unterschriften auf Klassenlisten, die die betroffene Person zurückziehen möchte, so muss die Schulleitung diesem Ansinnen Folge leisten. die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen (siehe oben). die personenbezogenen Daten unrechtmäßig verarbeitet wurden (keine Einwilligungserklärung vorlag). die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist (Verbot von Direktwerbung und so weiter). die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft , das heißt Internetangebote wie Webshops oder Online-Spiele, erhoben wurden (ein besonders sensibler Bereich, auf den die Schulleitung zu achten hat). Voraussetzungen für die Umsetzung des Rechtes auf Vergessenwerden in der Schule Die Umsetzung des Artikels 17. Abs. 1 kann aber nur erfolgen, wenn die Schulleitung, als für den Datenschutz Verantwortliche, darüber informiert ist, welche Daten von wem zu welchem Zweck erhoben und verarbeitet werden. Weiterhin ist entscheidend, ob von den Betroffenen (Lehrkräfte, Eltern, Schülerinnen und Schüler) Einwilligungen zur Datenverarbeitung eingefordert wurden. Deshalb ist es zwingend erforderlich, dass die Schulen ein internes Verfahrensverzeichnis erarbeiten, aus dem Folgendes ersichtlich ist: der Name und die Kontaktdaten aller Verantwortlichen, deren Vertreter sowie eines etwaigen Datenschutzbeauftragten der Zweck der Verarbeitung die Kategorien betroffener Personen und die Kategorien personenbezogener Daten die Kategorien von Empfängern , gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien für den Datenschutz sowie, wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien Dieses Verfahrensverzeichnis dient der Dokumentation aller Verarbeitungstätigkeiten und kann der Schulaufsichtsbehörde zur Verfügung gestellt werden. Darüber hinaus sollte sichergestellt werden, dass auch die oder der Auftragsverarbeitende die Verpflichtungen erfüllt, die sich aus Artikel 17 Abs. 1 EU-DSGVO ergeben. Für die Schulleitung stellt sich die Frage, ob alle von den Datentransfers betroffenen internen Funktionsträger und Abteilungen beteiligt wurden. Weiterhin ist auf die Einhaltung der Grundsätze der Datenverarbeitung zu achten. Das sind bei der Erhebung und Verarbeitung personenbezogener Daten: 1. die Zweckbindung, 2. die Datensparsamkeit, 3. die Richtigkeit, 4. die Transparenz, 5. die Begrenzung der Speicherdauer, 6. die Integrität und 7. die Vertraulichkeit der Datenverarbeitung. Vorschläge zur Umsetzung des Rechtes auf Vergessenwerden Lernplattformen Die Nutzung von pädagogischen Lernplattformen, wie zum Beispiel Moodle, ist in manchen Schulen das zentrale Kommunikationsmedium für die Beschäftigten, die Schulleitungen, für Schülerinnen und Schüler und auch Eltern. Hierauf werden Stunden- und Vertretungspläne, sonstige dienstliche Mitteilungen, unter Umständen Anweisungen, Unterrichtsprogramme, Arbeitsmaterialien für den Unterricht (die zum Teil durch Urheberrechte geschützt sind) und anderes veröffentlicht und gespeichert. Oft gibt es keine Löschroutinen und persönliche Daten, wie sie zum Beispiel in Vertretungsplänen erscheinen, sind noch lange einsehbar. Damit wird es zum Beispiel ermöglicht, Fehlzeiten von Kolleginnen und Kollegen, aber auch das Arbeits- und Leistungsverhalten nachzuzeichnen. Die Arbeitsschritte jedes Users können von den Administratoren, teilweise auch von Usern mit Teiladministrationsrechten, genau verfolgt werden. Die Auswahl der Administratoren und die Zugriffsrechte sind teilweise völlig willkürlich geregelt. Daher ist die strikte Trennung von pädagogischer Lernplattform und schulorganisatorischen Verwaltungsaufgaben vorzunehmen . Die Zustimmung zur Datenerhebung und Datenverarbeitung muss bei allen Betroffenen schriftlich eingeholt werden. Vordrucke und Hinweisblätter für Lehrkräfte, Lernende und Erziehungsberechtigte finden sich zum Download auf den verschiedenen Landesbildungsservern der 16 Bundesländer. Personenbezogene Daten dürfen nur zeitlich begrenzt gespeichert werden und müssen nach einem gesetzlich vorgegebenen Zeitraum gelöscht werden. Log-Dateien müssen in einem entsprechend festgelegten Intervall automatisch gelöscht werden. Der Zugang von außen auf die Schul-Lernplattform sollte gegenüber fremden Usern abgeschottet werden. Der Administrator vergibt passwortgeschützte Zugangsrechte. Es sollte keine Möglichkeit der Selbsteinschreibung geben. Nur der Einsatz von Open-Source-Lernplattformen wie Moodle ermöglicht die Nutzung der Auftragsdatenverarbeitung durch kommunale Rechenzentren, die Schulen das Hosten der Lernplattformen anbieten. Hier ist Datenschutz sowie Service (Sicherungen, Beratung und so weiter) gewährleistet. Auf keinen Fall darf ein solcher Server auf einem privaten Rechner einer Lehrkraft laufen. Administratoren von Lernplattformen können unter Umständen die dortige Lehrer-Schüler-Kommunikation ohne deren Wissen einsehen. Um die Gefahr zu verringern, dass so gewonnene Daten zur Überprüfung des Lehrerverhaltens oder zur Bewertung der Lehrerleistung herangezogen werden, sollte schulintern vereinbart werden, dass Schulleitende auf Administrationsrechte in Lernplattformen verzichten. Schulhomepage Die Veröffentlichung von personenbezogenen Daten auf der Schulhomepage beziehungsweise im Internet ist nur mit (schriftlicher) Einwilligung der Betroffenen zulässig . Die betroffenen Lehrerinnen und Lehrer können diese Einwilligung jederzeit zurückziehen. Bei der Veröffentlichung eines Vertretungsplans sollte nur der Ort, das Fach und der Zeitraum der Veranstaltung angegeben werden (Fotos, private Kontaktadressen et cetera) sind besonders sensible Daten . Hierzu muss vor der Veröffentlichung grundsätzlich eine (schriftliche) Einwilligung der Betroffenen eingeholt werden, die jederzeit widerrufen werden kann. Eine pauschale Abfrage oder eine Zustimmung per Konferenzbeschluss sind keine wirksamen Einwilligungen. Soziale Netzwerke In den Zeiten von Smartphones mit Internet-Flatrats sind viele Schülerinnen und Schüler permanent online und kommunizieren zunehmend in sozialen Netzwerken oder Internet-Plattformen wie Instragram oder Facebook. Dementsprechend erhalten auch Lehrkräfte, die sich in sozialen Netzwerken aufhalten, öfters sogenannte Freundschaftsanfragen von Lernenden. Aufgrund der Vermischung von privater Kommunikation mit schulischen beziehungsweise dienstlichen Belangen birgt der Umgang mit sozialen Netzwerken für Lehrkräfte aus der Sicht des Datenschutzes eine Reihe von Risiken und Gefahren . Die Nutzung dieser Angebote ist von Bundesland zu Bundesland anders geregelt. Hier sollten sich die Lehrerinnen und Lehrer umfänglich informieren, um nicht das Dienstrecht des jeweiligen Bundeslandes zu verletzen. Zusammenfassung Für die Umsetzung des Artikels 17 Abs. 1 der EU-DSGVO ist die Erstellung eines Verfahrensverzeichnisses dringend erforderlich. Hierbei kann die Schulleitung die Beratung durch behördliche Datenschutzbeauftragte in Anspruch nehmen. Bei der Erstellung des Verfahrensverzeichnisses sind die Grundsätze der Datenverarbeitung zu beachten. Die strikte Trennung von pädagogischem und Verwaltungsnetz sollte unbedingt beachtet werden. Hierfür sollten Administratoren gewählt werden, die nicht der Schulleitung angehören.

Dieser Fachartikel betrachtet den unterrichtlichen Einsatz von Samsung Neues Lernen aus datenschutzrechtlicher Sicht. Die Digitalisierung hat bereits jetzt ganze Branchen verändert und bestimmt mittlerweile unser tägliches Leben. Ein Bereich, für den dies besondere Chancen bietet, stellt unser Schulsystem dar. Digitale Lernprozesse und der Einsatz digitaler Medien können für eine moderne und effiziente Schulbildung sorgen. Gleichzeitig können Kinder und Jugendliche an einen verantwortungsbewussten Umgang mit digitalen Produkten wie Tablets herangeführt werden. Eine zentrale Rolle nimmt bei der Digitalisierung im Schulwesen das Datenschutzrecht ein. Dieses gilt es zu beachten, um personenbezogene Daten von Schülerinnen und Schülern zu schützen und neue Lehr- und Lernmethoden sicher zu implementieren. Datenschutz und Datensicherheit müssen gewährleistet werden. Digitalisierung im Alltag und in der schulischen Bildung Die Digitalisierung betrifft bereits einen Großteil unseres Lebens – von kontaktlosem Bezahlen bis hin zur täglichen Smartphone-Nutzung. Nicht zuletzt während der Corona-Pandemie hat sich allerdings gezeigt, dass Deutschland im Bereich der Digitalisierung einiges aufzuholen hat. Um im internationalen Vergleich auf Dauer mithalten zu können, muss auf politischer und gesellschaftlicher Ebene ein Umdenken stattfinden – und das besser gestern als heute! Einen wichtigen Grundpfeiler unseres Zusammenlebens stellt die Bildung, namentlich die Schulbildung, dar. Unser aktuelles Bildungssystem war maßgeblich daran beteiligt, Deutschland zu einer starken Wirtschaftsnation zu machen und hat zahlreiche wegweisende Produkte hervorgebracht. Dennoch ist es wichtig, nicht stehen zu bleiben, sondern sich den aktuellen Gegebenheiten anzupassen. Dies bedeutet, Digitalisierung und digitale Produkte als Chancen und nicht nur als Risiken zu begreifen. Durch den Einsatz digitaler Medien und Lernmethoden in Schulen kann nicht nur ein moderner und effizienter Unterricht geschaffen werden. Vielmehr ist es dadurch ebenfalls möglich, Schülerinnen und Schülern einen verantwortungsvollen Umgang mit digitalen Produkten näherzubringen. Lösungspakete wie Samsung Neues Lernen bieten Lehrkräften sowie Schülerinnen und Schülern gleichermaßen spannende Hilfestellungen im täglichen Unterricht. Die Kernkomponenten von Samsung Neues Lernen sind Content-Schnittstellen-Apps zur Bereitstellung digitaler Lerninhalte (EduCAP für Tablets und EduPool für Webanwendungen), Samsung Knox als mobile Sicherheitslösung sowie das Samsung Classroom Management . Digitaler Unterricht und die Datenschutz-Grundverordnung (DSGVO) Es darf allerdings nicht vergessen werden, dass technische Neuerungen – neben zahlreichen Vorteilen – auch Risiken bergen können. Gerade beim Einsatz digitaler Medien sind diese vorwiegend datenschutzrechtlicher Natur. Hinzu kommt der Umstand, dass gerade Kinder und Jugendliche oft noch sehr unbedarft sind, wenn es um den Umgang mit ihren eigenen Daten geht, da sie die Reichweite häufig nicht einschätzen können. Im Volksmund heißt es oft: Das Internet vergisst nie! Diesem Umstand trägt auch die im Jahr 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) besonders Rechnung und hat daher den Schutz von Kindern an verschiedenen Stellen fest verankert. So heißt es beispielsweise in Erwägungsgrund 38 der DSGVO: "Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind." Schutz personenbezogener Daten Kernaufgabe der DSGVO ist der Schutz personenbezogener Daten . Hierbei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Beispiele für personenbezogene Daten sind der Name und die Adresse einer Person, aber auch (speziell bei Schülerinnen und Schülern) Noten oder die Klassenzugehörigkeit . Verarbeitung personenbezogener Daten Grundsätzlich verbietet die DSGVO jegliche Verarbeitung personenbezogener Daten, es sei denn, es liegt eine gesetzliche Erlaubnis vor. Eine solche ist etwa dann gegeben, wenn die betroffene Person in die Datenverarbeitung einwilligt oder die Datenverarbeitung für die Erfüllung eines Vertrags notwendig ist. Daneben ist es die Aufgabe der einzelnen Bundesländer, gesetzliche Erlaubnisse und den rechtlichen Rahmen für die Verarbeitung beim Einsatz digitaler Lernmittel zu schaffen. Zusätzlich sind bei jedweder Verarbeitung personenbezogener Daten bestimmte Grundsätze wie Datenminimierung , Zweckgebundenheit oder Richtigkeit der Daten einzuhalten. Die Prinzipien "Datenschutz durch Technikgestaltung" und "datenschutzfreundliche Voreinstellungen" Um diese zahlreichen Vorgaben beim Einsatz digitaler Lernmethoden einzuhalten und zudem ein hohes Datenschutzniveau zu gewährleisten, gibt es einiges zu beachten. Art. 25 DSGVO verankert die Prinzipien von "Datenschutz durch Technikgestaltung" (Privacy by Design) und "datenschutzfreundliche Voreinstellungen" (Privacy by Default). Privacy by Design bedeutet, dass der Datenschutz am besten eingehalten werden kann, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs auf technischer Ebene integriert ist. Beispiel: Nach der DSGVO dürfen einmal erhobene Daten nicht unbegrenzt lange gespeichert werden. Entwickelt man beispielsweise eine Lernsoftware für Schülerinnen und Schüler, sollte bereits im Zeitpunkt der Entwicklung die Möglichkeit einer späteren, rückstandslosen Datenlöschung implementiert werden. Privacy by Default betrifft dagegen den Zeitpunkt der eigentlichen Datenverarbeitung, also beispielsweise während der Nutzung eines Tablets im Unterricht. Hierbei soll durch geeignete Voreinstellungen sichergestellt werden, dass nur diejenigen personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den konkreten Verarbeitungszweck wirklich erforderlich ist (Artikel 25, Absatz 1, Satz 1 DSGVO). Evaluation: das Datenschutzniveau von Samsung Neues Lernen Unter Berücksichtigung der obigen Grundprinzipien bietet Samsung Neues Lernen ein hohes Datenschutzniveau: Die mobile Sicherheitslösung Samsung Knox bietet als Bestandteil von Samsung Neues Lernen Schulen die Möglichkeit, verschiedene Sicherheitsfunktionen zu aktivieren. So können durch Samsung Knox Configure die Geräteeinstellungen der Tablets vor einem Einsatz im Schulunterricht konfiguriert werden. Auf diese Weise ist es möglich, alle Funktionen oder Benachrichtigungen, die für den Unterricht keine Rolle spielen, auszublenden. Zudem lassen sich vor Verwendung der Tablets beispielsweise vorinstallierte Browser wie Google Chrome sowie Google Play Store deaktivieren. Die Samsung Classroom Management-App ermöglicht es der jeweiligen Lehrperson, die Kontrolle über die Verwendung der Tablets im Unterricht zu behalten. Lehrkräfte sind im Rahmen dieser Lösung in der Lage, Benutzerkonten für ihre Schülerinnen und Schüler zu erstellen, Lerninhalte freizugeben, den Bildschirm der Schülerinnen und Schüler zu sperren sowie Daten auf den Schüler-Tablets zu löschen, die während des Unterrichts angefallen sind. Dies wiederum sorgt nicht nur für eine angenehme und produktive Unterrichtsatmosphäre, sondern auch für ein erhöhtes Datenschutzniveau. Mit Hilfe digitaler Lernplattformen ( EduCAP oder der Webvariante EduPool ) sind Lehrkräfte in der Lage, Schülerinnen und Schülern Lerninhalte zuzuweisen, die für die Schule oder den Schulträger von Publishern (Schulbuch-Verlagen) lizenziert wurden. Für die Nutzung von EduCAP wird mit Hilfe von Antares eine sogenannte Edu-ID für jeden einzelnen Schüler beziehungsweise jede einzelne Schülerin erstellt. Die personenbezogenen Daten der entsprechenden Schülerinnen und Schüler werden also pseudonymisiert. Diese Pseudonymisierung dient dem Datenschutz und findet sich zudem in Artikel 25 Absatz 1 DSGVO explizit als Beispiel für Privacy by Default . Die Zuweisung der Inhalte erfolgt anschließend nicht an die "Klarnamen" der Schülerinnen und Schüler, sondern an die genannten Edu-IDs. Bei Samsung Neues Lernen ist es gemäß dem Grundsatz Privacy by Default sowie im Einklang mit dem Grundsatz der Datenminimierung möglich, bei der Verwendung mit einem Minimum an personenbezogenen Daten auszukommen. Dadurch wird die Erhebung solcher Daten verhindert, die für den konkreten Anwendungsfall keine Rolle spielen. So ist es etwa für Schülerinnen und Schüler nicht erforderlich, einen individualisierten Account, beispielsweise bei Google oder Samsung, anzulegen, um die Tablets im Unterricht zu verwenden. Weitere Datenschutz-Maßnahmen Die genannten datenschutzrechtlichen Sicherheitsmechanismen können darüber hinaus durch weitere Maßnahmen ergänzt werden: So besteht die Möglichkeit, Lehrkräfte regelmäßig im Datenschutz zu schulen , um auf veränderte Gesetzeslagen hinzuweisen und vorhandenes Wissen zu festigen. Auch eine Sensibilisierung von Schülerinnen und Schülern auf das Thema Datenschutz erhöht die Datensicherheit. Ein Berechtigungskonzept hilft Schulen bereits im Vorfeld, eine klare Rollenverteilung der verschiedenen Akteure festzulegen. Dabei kann festgelegt werden, wer auf welche Systeme Zugriff hat und wie die Zugriffe erteilt und wieder entzogen werden können. Fazit: datenschutzkonforme Digitalisierung des Unterrichts Die datenschutzkonforme Implementierung digitaler Lerninhalte an Schulen bietet also gleich auf mehreren Ebenen enorme Vorteile: Schulen und Lehrkräften wird ein wirksames Instrument für effizientes und modernes Arbeiten an die Hand gegeben, Schülerinnen und Schülern wird das digitale Lernen erleichtert und zudem wird eine verantwortungsbewusste Heranführung an digitale Medien geschaffen. Dadurch lernen Kinder und Jugendliche bereits früh, dass digitale Produkte wie Tablets nicht nur der Unterhaltung dienen, sondern auch für produktive Zwecke eingesetzt werden können. Bei der Digitalisierung des Unterrichts stellen Lösungen wie Samsung Neues Lernen einen wichtigen Baustein dar. Gerade in unserer digitalen und sich schnell ändernden Welt ist es notwendig, sich stetig anzupassen und weiterzuentwickeln. Frei nach dem Ausspruch des griechischen Philosophen Heraklit lässt sich sagen: "Die einzige Konstante im digitalen Zeitalter ist die Veränderung."

Dieser Fachartikel beantwortet häufig gestellte Fragen zum Thema Datenschutz an Schulen. Seit der Verabschiedung der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 richten sich viele Schulleitende und Lehrkräfte mit solchen oder ähnlichen Fragen an ihre gesetzlich vorgeschriebenen Behördlichen Datenschutzbeauftragten. Im Folgenden beantwortet Jost Baum, Datenschutzbeauftragter in Nordrhein-Westfalen, häufig an ihn herangetragene Fragen von Schulleitenden zum Thema Datenschutz. Seit der Verabschiedung der EU-DSGVO muss für jede öffentliche Schule eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter (DSB) benannt werden. Gemäß Artikel 37 Absatz 3 EU-DSGVO kann für mehrere Schulen unter Berücksichtigung ihrer Organisationsstruktur und Größe ein gemeinsamer DSB benannt werden. Das wird in den einzelnen Bundesländern unterschiedlich gehandhabt. Der DSB wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er sich auf dem Gebiet des Datenschutzrechts und der Datenschutz-Praxis angeeignet hat. Er sollte möglichst nicht der (erweiterten) Schulleitung angehören, da sonst Interessenkonflikte auftreten können. Er sollte weiterhin möglichst einen informatischen Hintergrund haben und sich aber auch mit den gesetzlichen Vorgaben und Organisationsstrukturen in Schulen auskennen. Zu den Aufgaben des DSB gehören insbesondere: die Unterrichtung und Beratung der Schule, insbesondere der Schulleitung und der dort Beschäftigten, hinsichtlich ihrer datenschutzrechtlichen Rechte und Pflichten die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften sowie der Datenschutz-Strategien des Verantwortlichen oder des Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiterinnen und Mitarbeiter und der diesbezüglichen Überprüfungen die Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgen-Abschätzung und Überwachung ihrer Durchführung die Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz Die Schule muss gewährleisten, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Dies gilt insbesondere für die Einführung neuer Software, mit der personenbezogene Daten verarbeitet werden. Die Schulleitung, und die zuständige Behörde, müssen sicherstellen, dass der DSB bei der Erfüllung seiner Aufgaben keine Weisungen bezüglich der Art und Weise erhält, wie er seine Aufgaben erfüllt. Betroffene Personen (also unter anderem Schülerinnen und Schüler, Personensorgeberechtigte oder Lehrkräfte der Schule) können den DSB zu allen Fragen zu Rate ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß den datenschutzrechtlichen Bestimmungen im Zusammenhang stehen. Die Schule veröffentlicht die Kontaktdaten des Datenschutzbeauftragten in der Regel auf der Homepage der Schule.

Das Thema "Datenschutz" spielt für Schulen nicht nur im Unterricht eine Rolle: Fast jede Schule präsentiert sich im Internet mit einer eigenen Schulhomepage. Neben der Außendarstellung dient sie auch als Kommunikationsmedium, mit dem Eltern, Lernende und Lehrkräfte informiert werden. Was dabei nach der EU-Datenschutz-Grundverordnung rechtlich für Schulleiter zu beachten ist, wird in diesem Artikel erläutert. Die Schulhomepage ist das Medium, über das die Schule mit Schülerinnen und Schülern, Eltern und der Öffentlichkeit kommuniziert. Für die Inhalte ist allein die Schulleitung verantwortlich, die diese Aufgabe delegieren kann. Im Rahmen der aktuellen Datenschutz-Grundverordnung (EUDSGVO) ist bei der Erstellung und Pflege einer Website einiges zu beachten: Entscheidend hierbei, ist das Impressum, das den Anforderungen der EU-DSGVO genügen muss. Was hat sich für die Erstellung der Schulhomepage nach Einführung der EU-DSGVO geändert? Nach wie vor ist ein vollständiges und korrektes Impressum laut Telemediengesetz (TMG) verpflichtend vorgeschrieben. Wer dieser Impressumspflicht nicht nachkommt, begeht gemäß § 16 Abs. 2 Nr. 1 i.V.m. § 5 Abs. 1 TMG eine Ordnungswidrigkeit, die mit einer Geldbuße bis zu 50.000 Euro geahndet werden kann. Weiterhin muss das Impressum die nach DSGVO notwendige Datenschutzerklärung und die Kontaktdaten der Datenschutzbeauftragten enthalten. Für die rechtssichere Erstellung des Impressums ist der Schulträger verantwortlich. Neben dem Impressum ist die personenbezogene Verarbeitung von Daten bei der Erstellung von Videos und Fotografien zu beachten. Wichtig ist dabei zu erwähnen, dass für die Umsetzung des Datenschutzes bezüglich der Schulhomepage allein die Schulleitung verantwortlich ist. Erläuterung der verwendeten Begrifflichkeiten Zum besseren Verständnis in Bezug auf den Datenschutz werden die entsprechenden Begrifflichkeiten vorab erläutert: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung (zum Beispiel eines Fotos) zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (zum Beispiel Cookie) oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff reicht weit und umfasst praktisch jeden Umgang mit Daten. Pseudonymisierung entspricht einer Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Profiling meint jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, sexueller Orientierung, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Als Verantwortliche oder Verantwortlicher wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, (zum Beispiel die Schulleitung) die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet. Auftragsverarbeiterin oder Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung, Firma oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, also den Server betreibt, auf dem die Schulhomepage gehostet wird. Als "Cookies" werden kleine Dateien bezeichnet, die auf Rechnern der Nutzer gespeichert werden. Innerhalb der Cookies können unterschiedliche Angaben gespeichert werden. Ein Cookie dient primär dazu, die Angaben zu den Nutzern (beziehungsweise dem Gerät, auf dem das Cookie gespeichert ist) während oder auch nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Als temporäre Cookies, beziehungsweise "Session-Cookies" oder "transiente Cookies" werden Cookies bezeichnet, die gelöscht werden, nachdem die Nutzer ein Onlineangebot verlassen und den Browser schließen. Der Aufbau des Impressums der Schulhomepage Im Folgenden wird der Aufbau des Impressums sowie die Datenschutzerklärung des Anbieters der Datenverarbeitung im Auftrag erläutert. Folgende Punkte müssen in einem Impressum unbedingt genannt werden: Wer ist verantwortlich für die Verarbeitung der Daten? Wie lauten die Kontaktdaten der/des Datenschutzbeauftragten? Ein Hinweis auf Haftung für Links ist erforderlich: Die Schulhomepage enthält möglicherweise Links zu externen Webseiten, auf deren Inhalte die verantwortliche Stelle (Schulleitung) keinen Einfluss hat. Deshalb kann für diese fremden Inhalte auch keine Haftung übernommen werden. Für die Inhalte der verlinkten Seiten sind stets Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten sollten zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft worden sein. Rechtswidrige Inhalte dürfen zum Zeitpunkt der Verlinkung nicht erkennbar gewesen sein. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung der Schulleitung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen müssen derartige Links umgehend entfernen werden. Wie erfolgt die Nennung der Arten der verarbeiteten Daten? Bestandsdaten (Namen, Adressen), Kontaktdaten (E-Mail, Telefonnummern), Inhaltsdaten (Texteingaben, Fotografien, Videos, ...), Nutzungsdaten (besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten, ...) sowie Meta-/Kommunikationsdaten (Geräte-Informationen, IP-Adressen) müssen genannt werden. Die Nennung der Kategorien betroffener Personen (Besuchende und Nutzende) sowie die Nennung des Verarbeitungszweckes (Zurverfügungstellung der Homepage, seiner Funktionen und Inhalte, Beantwortung von Kontaktanfragen und Kommunikation mit Nutzern, Sicherheitsmaßnahmen sowie Reichweitenmessung/Marketing) müssen erfolgen. Aufgaben der Auftragsdatenverarbeitung Die maßgebliche Rechtsgrundlage für die Auftragsdatenverarbeitung ist die EU-DSGVO: Der Art. 13 DSGVO ist die Rechtsgrundlage der Datenverarbeitungen im Auftrag. Sofern die Rechtsgrundlage in der Datenschutzerklärung nicht genannt wird, gilt Folgendes: Die Rechtsgrundlage für die Einholung von Einwilligungen ist Art. 6 Abs. 1 lit. a und Art. 7 DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung Leistungen und Durchführung vertraglicher Maßnahmen des Auftragsdatenverarbeiters sowie Beantwortung von Anfragen ist Art. 6 Abs. 1 lit. b DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung der rechtlichen Verpflichtungen ist Art. 6 Abs. 1 lit. c DSGVO und die Rechtsgrundlage für die Verarbeitung zur Wahrung der berechtigten Interessen des Auftragsdatenverarbeiters ist Art. 6 Abs. 1 lit. f DSGVO. Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage. Sicherheitsmaßnahmen, die der Auftragsdatenverarbeiter oder die Auftragsdatenverarbeiterin gewährleisten muss: Nach Maßgabe des Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen müssen geeignete technische und organisatorische Maßnahmen für ein entsprechendes Datenschutzniveau gewährleistet werden. Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren müssen Verantwortliche Verfahren einrichten, die eine Wahrnehmung von Betroffenen Rechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisten. Ferner sollte der Schutz personenbezogener Daten bereits bei der Entwicklung, beziehungsweise der Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch eine entsprechende Datenschutz freundliche Voreinstellungen (Art. 25 DSGVO) sichergestellt sein. Zusammenarbeit mit Auftragsverarbeitenden und Dritten: Sofern bei der Auftragsdatenverarbeitung Daten gegenüber anderen Personen und Unternehmen offenbart, übermittelt oder Zugriff auf die Daten ermöglicht werden sollen, sollte dies nur auf Grundlage einer gesetzlichen Erlaubnis (zum Beispiel wenn eine Übermittlung der Daten an Dritte, wie an Zahlungsdienstleister gem. Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung erforderlich ist) möglich sein. Sofern die Auftragsdatenverarbeiterin oder der Auftragsdatenverarbeiter Dritte mit der Verarbeitung von Daten auf Grundlage eines sogenannten "Auftragsverarbeitungsvertrages" beauftragt, geschieht dies auf Grundlage des Art. 28 DSGVO. Übermittlungen in Drittländer: Sofern Daten in einem Drittland (das heißt außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeitet werden sollen oder dies im Rahmen der Inanspruchnahme von Diensten Dritter oder Offenlegung, beziehungsweise der Übermittlung von Daten an Dritte geschieht, sollte dies nur zur Erfüllung der (vor)vertraglichen Pflichten, auf Grundlage der Einwilligung des Auftraggebers, (Schulträger, Schulleitung), aufgrund einer rechtlichen Verpflichtung oder auf Grundlage der berechtigten Interessen des Auftragnehmers erfolgen. Vorbehaltlich gesetzlicher oder vertraglicher Erlaubnisse, sollten die Auftragnehmenden die Daten in einem Drittland nur beim Vorliegen der besonderen Voraussetzungen der Art. 44 ff. DSGVO verarbeiten lassen können. Das heißt die Verarbeitung würde dann zum Beispiel auf Grundlage besonderer Garantien erfolgen - wie der offiziell anerkannten Feststellung eines der EU entsprechenden Datenschutzniveaus (zum Beispiel für die USA durch das "Privacy Shield") oder Beachtung offiziell anerkannter spezieller vertraglicher Verpflichtungen (so genannte "Standardvertragsklauseln"). Rechte der betroffenen Personen: Die Schulleitung sowie die Nutzer der Homepage haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend Art. 15 DSGVO. Die Schulleitung, bzw. die Nutzer der Homepage haben entsprechend. Art. 16 DSGVO das Recht, die Vervollständigung der sie betreffenden Daten, oder die Berichtigung der sie betreffenden unrichtigen Daten zu verlangen. Nutzer und Schulleitung haben nach Maßgabe des Art. 17 DSGVO das Recht zu verlangen, dass betreffende Daten unverzüglich gelöscht werden , bzw. alternativ nach Maßgabe des Art. 18 DSGVO eine Einschränkung der Verarbeitung der Daten zu verlangen. Nutzer und Schulleitung haben das Recht zu verlangen, dass die sie betreffenden Daten, die sie dem Auftragnehmer bereitgestellt haben, nach Maßgabe des Art. 20 DSGVO zu erhalten und deren Übermittlung a n andere Verantwortliche zu fordern. Nutzer und Schulleitung haben ferner gem. Art. 77 DSGVO das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. Widerrufsrecht: Nutzer und Schulleitung haben das Recht, erteilte Einwilligungen gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen Widerspruchsrecht : Nutzer und Schulleitung können der künftigen Verarbeitung der sie betreffenden Daten nach Maßgabe des Art. 21 DSGVO jederzeit widersprechen. Der Widerspruch kann insbesondere gegen die Verarbeitung für Zwecke der Direktwerbung erfolgen. Cookies und Widerspruchsrecht bei Direktwerbung: In einem "Cookie" kann zum Beispiel der Inhalt eines Warenkorbs in einem Onlineshop oder ein Login-Status gespeichert werden. Als "permanent" oder "persistent" werden Cookies bezeichnet, die auch nach dem Schließen des Browsers gespeichert bleiben. So kann zum Beispiel der Login-Status gespeichert werden, wenn die Nutzer diese nach mehreren Tagen aufsuchen. Ebenso können in einem solchen Cookie die Interessen der Nutzer gespeichert werden, die für Reichweitenmessung oder Marketingzwecke verwendet werden. Als "Third-Party-Cookie" werden Cookies bezeichnet, die von anderen Anbietern als dem Verantwortlichen, der das Onlineangebot betreibt, angeboten werden (andernfalls, wenn es nur dessen Cookies sind, spricht man von "First-Party Cookies"). Der Auftragsdatenverarbeiter sollte folgendes Angebot unterbreiten: Falls die Nutzer und die Schulleitung nicht möchten, dass Cookies auf ihrem Rechner gespeichert werden, werden diese gebeten, die entsprechende Option in den Systemeinstellungen ihres Browsers zu deaktivieren. Gespeicherte Cookies können in den Systemeinstellungen des Browsers gelöscht werden. Der Ausschluss von Cookies könnte dann allerdings zu Funktionseinschränkungen eines Onlineangebotes (hier der Schulhomepage) führen. Ein genereller Widerspruch gegen den Einsatz der zu Zwecken des Onlinemarketing eingesetzten Cookies kann bei einer Vielzahl der Dienste, vor allem im Fall des Trackings, über die US-amerikanische Seite oder die EU-Seite erklärt werden. Des Weiteren kann die Speicherung von Cookies mittels deren Abschaltung in den Einstellungen des Browsers erreicht werden. Löschung von Daten: Die auf der Schulhomepage verarbeiteten Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen einer Datenschutzerklärung ausdrücklich angegeben, sollten die auf der Schulhomepage gespeicherten Daten gelöscht werden, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, sollte deren Verarbeitung eingeschränkt werden. Dies sollte den Nutzern mitgeteilt werden. Hosting und E-Mail-Versand: Die von den meisten Auftragsdienstleistern in Anspruch genommenen Hosting-Leistungen dienen der Zurverfügungstellung der folgenden Leistungen: Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste, E-Mail-Versand, Sicherheitsleistungen sowie technische Wartungsleistungen, die der Auftragsdienstleister zum Zwecke des Betriebs z.B. der Homepage einsetzt. Hierbei verarbeitet der Auftragnehmer, bzw. dessen Hostinganbieter Bestandsdaten, Kontaktdaten, Inhaltsdaten, Vertragsdaten, Nutzungsdaten, Meta- und Kommunikationsdaten von Interessenten und Besuchern dieses Onlineangebotes ( Schulhomepage) auf Grundlage deren berechtigter Interessen an einer effizienten und sicheren Zurverfügungstellung des entsprechenden Onlineangebotes gem. Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 28 DSGVO (Abschluss Auftragsverarbeitungsvertrag). Erhebung von Zugriffsdaten und Logfiles: Der Hostinganbieter erhebt auf Grundlage seiner berechtigten Interessen ( z.B. Verhinderung eines Missbrauchs) im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, der URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider. Logfile-Informationen werden aus Sicherheitsgründen (zum Beispiel zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für die Dauer von maximal sieben Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen. Zusammenfassung Abschließend lässt sich noch einmal zusammenfassend festhalten, dass im Impressum der Schulhomepage die Verantwortlichen für die verarbeiteten Daten, der oder die Datenschutzbeauftragte, die Arten der verarbeiteten Daten sowie der Zweck der Verarbeitung genannt werden müssen. Weiterhin muss über die Rechte der Nutzergruppe der Schulhomepage sowie über die Verwendung der Cookies informiert werden. Es muss ein Vertrag zwischen dem Anbieter der Schulhomepage und dem Auftragsverarbeiter vorliegen, in dem die Rechte und Pflichten beider Vertragsparteien klar geregelt sind.

In diesem Fachartikel geht es um das Thema "Datenschutzrecht für Schulen" und seine Bedeutung für den Schulalltag. Dabei wirft Dr. Florian Schröder, Jurist und Experte für Schulrechtsfragen, auch einen Blick auf Videokonferenz-Systeme. Nicht nur Lehrerinnen und Lehrer, sondern auch Eltern finden hier wissenswerte Informationen zu datenschutzrechtlichen Grundsätzen. Der vorliegende Beitrag ist Teil einer systematischen Einführung in das Schulrecht und in schulrelevante weitere Rechtsgebiete. Bereits erschienen sind Verfassungs- und grundrechtliches Fundament von Schule Einführung in das allgemeine Verwaltungsrecht für Schule Rechte und Pflichten der Schulleitung Rechte und Pflichten der Lehrkräfte Einführung in das Schulrecht: der rechtliche Rahmen der Konferenzarbeit Schulische Sanktionen gegenüber Schülerinnen und Schülern: Erziehungs- und Ordnungsmaßnahmen Einführung in das Schulrecht: Aufsicht und Haftung Einführung in das Schulrecht: Urheberrecht für Schulen Da das Schulrecht in wesentlichen Teilen Landesrecht ist, ist es nicht möglich, auf die Rechtslage jedes der 16 Bundesländer im Detail einzugehen. Dort, wo landesrechtliche Regelungen maßgeblich sind, wird in der Beitragsserie daher stellvertretend für die Flächenländer jeweils anhand des niedersächsischen Landesrechts erläutert, stellvertretend für die Stadtstaaten steht das hamburgische Landesrecht. Verfassungsrechtliche Grundlagen Grundlage des Datenschutzrechts ist (mittlerweile) die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO), die allerdings aufgrund vielfacher Öffnungsklauseln und unbestimmter Rechtsbegriffe einer landesrechtlichen und auch themenspezifischen Konkretisierung bedarf. Diese wurde in allen Bundesländern zum Mai 2018 (teilweise auch bereits mit neuerlichen Änderungen seitdem) umgesetzt, so in Niedersachsen in § 31 des Niedersächsischen Schulgesetzes (NSchG) und diversen ergänzenden Regelungen (zum Beispiel dem Runderlass "Aufbewahrung von Schriftgut in öffentlichen Schulen; Löschung personenbezogener Daten" und dem Runderlass "Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT-Systemen) von Lehrkräften") und in Hamburg durch §§ 98 ff. des Hamburgischen Schulgesetzes (HmbSG) und der Schul-Datenschutzverordnung (Schul-DSV). Regelungsgegenstand Durch das Datenschutzrecht geschützt werden (nur) sogenannte "personenbezogene Daten". Diese definiert Artikel 4 der DSGVO wie folgt: "Personenbezogene Daten" [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann." Datenschutzrechtliche Grundsätze Das Datenschutzrecht ist zumeist sehr ausführlich und kleinteilig geregelt. Um dabei den Überblick zu behalten, empfiehlt es sich, sich einige Grundsätze vor Augen zu führen, mittels derer sich in jeder Regelung der rote Faden erkennen lässt: Die Grundlagen des Datenschutzrechts stammen bereits aus dem sogenannten Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahre 1983. Danach ist Datenerhebung durch staatliche Stellen verboten, sofern es keine Erlaubnisnorm oder Zustimmung der Betroffenen gibt; dürfen nur so wenige Daten wie nötig erhoben werden (Grundsatz der "Datensparsamkeit"); darf die Datenverarbeitung nur zum ursprünglichen Zweck erfolgen (Grundsatz der Zweckbindung und Verbot von staatlichem "big data"); ist eine Weitergabe der Daten an Dritte nur mit Erlaubnisnorm oder Zustimmung der Betroffenen erlaubt. Aus späterer Rechtsprechung hat sich außerdem das "Recht auf Vergessen" ergeben, also ein Rechtsanspruch darauf, dass nicht mehr benötigte Daten gelöscht werden. Durch die EU-DSGVO erstmals mit Rechtsverbindlichkeit festgelegt wurden außerdem das Recht auf Datenkorrekturen auf Antrag Betroffener; die Pflicht zur Sicherstellung von IT- (und damit Daten-) Sicherheit und eine Meldepflicht (innerhalb von 48 Stunden!) gegenüber der/dem Landesdatenschutzbeauftragten bei Datenschutzverletzungen. Neue Instrumentarien aus der EU-DSGVO Neben einer Konkretisierung der zuvor dargestellten Grundsätze hat die DSGVO auch einige Neuerungen gebracht. Wesentlich sind dabei die Pflicht, Verzeichnisse der (Daten-) Verarbeitungstätigkeiten zu führen (Artikel 30 Absatz 1 DSGVO), Vereinbarungen zur Auftragsdatenverarbeitung mit dem Schulträger und etwaigen externen IT-Dienstleistern abzuschließen (Artikel 28 DSGVO) und Betroffene proaktiv über Datenverarbeitungen zu unterrichten (Artikel 13 DSGVO). In den landesrechtlichen Regelungen finden sich hierzu jeweils Konkretisierungen. Schulische Datenschutzbeauftragte Wie in jeder Behörde muss es auch in Schulen Datenschutzbeauftragte geben. Dies regelt zumeist nicht das Schulrecht, sondern das allgemeine Datenschutzrecht, zum Beispiel § 58 des Niedersächsischen Datenschutzgesetzes (NDSG). Es muss sich um eine fachlich geeignete und weisungsfreie Person handeln, die frei von Interessenkonflikten (also insbesondere nicht Schulleitungsmitglied oder IT-Systemadministrator/in) ist. Als Aufgaben nennen die Gesetze regelmäßig: Unterstützung, Beratung und Überwachung der Einhaltung des Datenschutzes und Zusammenarbeit mit den Landesbeauftragten für den Datenschutz. Speziell: Videokonferenz-Systeme Im Zuge der Corona-Pandemie hat (nicht nur) die schulische Bedeutung von Videokonferenzen exponentiell zugenommen. Hierbei wurden zunächst allenthalben die "Augen zugedrückt", wenn es um Fragen des Datenschutzes ging, da die Aufrechterhaltung eines geregelten Schulbetriebs als Priorität eingestuft wurde. Unterdessen ist etwas Ruhe eingekehrt und ein nüchterner datenschutzrechtlicher Blick angezeigt: Um allerdings beantworten zu können, ob die Nutzung datenschutzkonform ist, muss jedes einzelne Videokonferenz-System (Teams, ClickMeeting , Zoom, iServ, Big Blue Button, Gotomeeting, Jitsi et cetera) individuell durchleuchtet werden, wobei auch die jeweilige Konfiguration der an der einzelnen Schule genutzten Software und Software-Version einen Unterschied machen kann. Als grundsätzliche Linie lässt sich dabei nur festhalten, dass die Nutzung immer dann datenschutzrechtlich problematisch ist, wenn Daten außerhalb des Geltungsbereichs der EU-DSGVO verarbeitet und gespeichert werden, zum Beispiel in den USA. Für viele Schulen muss daher davon ausgegangen werden, dass das genutzte beziehungsweise vom Schulträger zur Verfügung gestellte System nicht vollständig datenschutzkonform ist. Kultusministerien und Schulbehörden sind (außer in Baden-Württemberg) bislang zurückhaltend mit etwaigen Eingriffen, dies dürfte sich aber künftig ändern. Weiterführende Literatur Schröder, Florian (2019). Handbuch Schulrecht Niedersachsen. Köln: Carl Link Verlag.

Dieser Fachartikel informiert über Sicherheit im Web 2.0. Das Internet bietet Schülerinnen und Schülern vielfältige Möglichkeiten zur Orientierung. Sie können sich der Öffentlichkeit mitteilen, miteinander kommunizieren oder nach Lösungsansätzen für Entwicklungsaufgaben suchen.Schülerinnen und Schüler können in sozialen Netzwerken miteinander in Kontakt treten und sich über Probleme austauschen. Zusätzlich sind in Zeiten des Web 2.0 den Partizipationsmöglichkeiten in Form eigener Webseiten oder Blogs nahezu keine Grenzen gesetzt. Damit Kinder im Umgang mit dem Netz ihre Medienkompetenz wertvoll schulen können, muss jedoch einigen Gefahren vorgebeugt und diverse Regeln müssen beachtet werden. An- und Abmelden auf Internetseiten Passwörter Wenn sich Schülerinnen und Schüler auf einer Seite im Internet registrieren, sollten sie sich ein eigenes Passwort überlegen, das sie sich zum einen gut merken können, das aber zum anderen für andere nicht leicht zu erraten ist. Die Kinder sollten beispielsweise nicht ihren eigenen Namen oder den ihres Haustieres verwenden. Ideal ist eine Kombination aus Buchstaben und Zahlen. Das Passwort dürfen die Schülerinnen und Schüler niemandem weitersagen, denn jeder, der das Passwort kennt, kann sich dann unter dem Namen des Kindes anmelden, dessen Profil ändern und im Chat oder per E-Mail in dessen Namen "Unfug" treiben. Abmelden Wenn sich Schülerinnen und Schüler auf einer Seite im Internet anmelden ist es sehr wichtig, dass sie sich auch wieder abmelden. Kinder sollten eindeutig darauf hingewiesen und über die möglichen Gefahren aufgeklärt werden. Wenn andere Mitschülerinnen oder Mitschüler, Eltern oder Geschwister den gleichen Computer nutzen wie die Schülerin oder der Schüler, dann haben sie Zugriff auf deren Account. Das bedeutet, sie könnten deren E-Mails lesen, in deren Namen chatten oder Nachrichten schreiben, je nachdem auf welcher Seite das Kind angemeldet ist. Deswegen sollten sich Schülerinnen und Schüler überall, wo sie sich anmelden können, auch wieder abmelden, oder "ausloggen" / "logout". Der Chat Chatregeln Bei einem Chat im Internet gibt es einige Regeln, die beachtet werden müssen. Sie geben vor, wie man sich im Chat zu verhalten hat. Im Internet nennen sich diese Regeln "Chatiquette". Der Begriff setzt sich aus dem Wort "Chat" und dem französischen "étiquette" (Umgangsformen) zusammen. Der Chat soll allen Kindern Spaß machen, daher sollten Schülerinnen und Schüler im Vorfeld über die Regeln aufgeklärt werden. Die Chatter dürfen niemanden beleidigen, beschimpfen, oder bedrohen. Sie dürfen auch nicht ausschließlich in Großbuchstaben schreiben, denn das bedeutet jemanden anzuschreien. Moderierte Chats Die Schülerinnen und Schüler sollten darüber hinaus im Chat nur Themen ansprechen, die alle interessieren könnten und keinen ängstigen. Wenn Sie Ihren Schülerinnen und Schülern Chaträume empfehlen, achten Sie darauf, dass der Chat moderiert ist, wie beispielsweise der Seitenstark-Chat . Das bedeutet, dass die Einträge der Kinder vor der Veröffentlichung geprüft und keine persönlichen Daten oder enwicklungsbeeinträchtigenden Inhalte freigegeben werden. Falls sich eine Schülerin oder ein Schüler nicht an die Chatiquette hält, kann der Moderator oder die Moderatorin dem Kind den Zugang zum Chat versperren. Gefahren im Chat Schülerinnen und Schüler sollten zu Beginn über die Gefahren im Chat aufgeklärt werden. In Chaträumen im Internet können sich die Kinder nie sicher sein, wer sich hinter dem Nickname (Spitznamen) versteckt, mit dem sie chatten. Die Schülerinnen und Schüler sollen in keinem Fall persönliche Daten von sich selbst oder von Mitschülerinnen und Mitschülern (Freundinnen und Freunden) bekanntgeben, also keine Telefonnummer, Vor- und Nachname, Anschrift, Messenger-Daten oder E-Mail-Adresse. Sonst können gegebenenfalls Fremde die Schülerin oder den Schüler ungewollt zu Hause oder an der Schule aufsuchen. Kinder und Jugendliche sollten sich auch niemals alleine mit anderen Chattern außerhalb des Chats verabreden, denn sie können nie genau wissen, wer zu dieser Verabredung erscheint. Wenn sie sich unbedingt mit jemanden treffen möchten, dann sollten sie einen Erwachsenen zu der Verabredung mitnehmen. Veröffentlichte Daten im Web 2.0 Fotos im Netz Kinder sollten aufpassen, welche Fotos sie im Internet hochladen. Wenn die Schülerinnen und Schüler Fotos von sich selbst einfügen möchten, dann sollten sie darüber aufgeklärt sein, dass sich Fotos im Internet schnell verbreiten und sich jeder diese auf den eigenen Rechner runterladen kann. Die Fotos können auf beliebigen Internetseiten und Portalen eingestellt werden, von denen sie nicht so einfach wieder gelöscht werden können. Darüber hinaus dürfen Fotos von Freundinnen oder Freunden nur mit deren Einverständnis veröffentlicht werden. Schülerinnen und Schüler sollten dahingehend sensibilisiert werden. Personenbezogene Daten Schülerinnen und Schüler sollen beachten, dass sie keine persönlichen Daten von sich im Netz veröffentlichen. Mit personenbezogene Daten sind laut Datenschutzgesetz "Einzelangaben über persönliche oder sachliche Verhältnisse eines Betroffenen" gemeint. Dazu zählen alle Daten, die über eine identifizierbare Person irgendeine Aussage machen. Dies sind zum Beispiel folgende Daten: Vor- und Nachname in Verbindung mit der Postanschrift und E-Mail-Adresse oder Telefonnummer.