Wir verwenden Cookies, um die Benutzerfreundlichkeit unserer Website zu verbessern. Durch die weitere Nutzung unserer Webseite stimmen Sie der Verwendung von Cookies gemäß unserer Cookie-Richtlinie zu. Impressum Datenschutz
.png)
Datenschutz im Schulalltag: Verantwortung für den Schutz sensibler Daten von Schüler:innen, Eltern und Lehrkräften (Quelle: Canva)
Mit der Datenschutz-Grundverordnung (DSGVO) wurden den Schulen als datenschutzrechtlich verantwortliche Stellen zahlreiche Pflichten auferlegt. Sie tragen die Verantwortung, dass personenbezogene Daten von Schüler:innen, Eltern und Lehrkräften rechtmäßig verarbeitet und geeignete Maßnahmen für Datenschutz und Datensicherheit umgesetzt werden.
Das Grundrecht auf informationelle Selbstbestimmung gilt dabei für alle Beteiligten im Schulalltag, weshalb personenbezogene Daten nicht nur in der Schulverwaltung, sondern auch im Unterricht essenziell sind. Schulen stehen vor der Herausforderung, junge Menschen für einen bewussten Umgang mit ihren Daten zu sensibilisieren und gleichzeitig sicherzustellen, dass die Verarbeitung der Daten den rechtlichen Vorgaben der DSGVO, der Schulgesetze sowie der Landes- und Bundesdatenschutzgesetze entspricht.
Die Hessische Datenschutzbehörde bietet eine Übersicht über datenschutzrechtliche Pflichten für Schulen an, die im Folgenden als Grundlage dient, um die zentralen Aspekte und Anforderungen im schulischen Datenschutz aufzuzeigen. Dabei ist jedoch zu beachten, dass neben den EU-weit einheitlichen Vorgaben der DSGVO auch landesspezifische Regelungen eine Rolle spielen, die Verantwortlichkeiten und besondere Anforderungen konkretisieren. Um Unsicherheiten zu vermeiden, sollten Schulen bei Fragen auf die Landesdatenschutzbehörde oder den schulischen Datenschutzbeauftragten zurückgreifen.
Die Schulleitung ist verpflichtet, nachzuweisen, dass die Verarbeitung personenbezogener Daten im Einklang mit den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) erfolgt. Insbesondere müssen die Vorgaben aus Art. 5 DSGVO (Grundsätze der Datenverarbeitung) sowie die Verantwortung gemäß Art. 24 DSGVO eingehalten werden. Dazu gehört auch, dass eure Schule geeignete technische und organisatorische Vorkehrungen trifft, um die Einhaltung der Datenschutzvorschriften zu gewährleisten. Darüber hinaus ist sie verpflichtet, die Wirksamkeit der getroffenen Datenschutzmaßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren.
Das bedeutet, dass die Schule sicherstellen muss, dass alle Prozesse der Verarbeitung personenbezogener Daten transparent, rechtmäßig und zweckgebunden sind. Darüber hinaus müssen die Datenschutzmaßnahmen regelmäßig überprüft und dokumentiert werden, um nachweisen zu können, dass die Anforderungen der DSGVO erfüllt werden.
Ein zentraler Bestandteil dieser Nachweispflicht ist das Führen eines “Verzeichnisses der Verarbeitungstätigkeiten”, das alle Datenverarbeitungsprozesse der Schule erfasst. Dies gilt sowohl für automatisierte als auch papierbasierte Prozesse und dient als Grundlage für die Dokumentation der Einhaltung der DSGVO.
Die Schule trägt die Verantwortung dafür, dass alle Mitarbeitenden personenbezogene Daten ausschließlich nach den Vorgaben der Schule verarbeiten. Die GEW empfiehlt hierzu regelmäßige Schulungen der Lehrkräfte sowie die Bereitstellung von Handreichungen, etwa zum sicheren Umgang mit Schüler:innendaten bei der Nutzung von Lernplattformen. Darüber hinaus sollte die “Verordnung zur Verarbeitung personenbezogener Daten an Schulen” allen Mitarbeitenden zugänglich gemacht werden. Unterstützend können Merkblätter, Hinweise und Handreichungen zu datenschutzrechtlichen Themen bereitgestellt werden.
Darüber hinaus muss die Schule sicherstellen, dass betroffene Personen (z. B. Schüler:innen, Eltern oder Lehrkräfte) die Informationen gemäß Art. 13 DSGVO (bei Datenerhebung direkt bei der Person) und Art. 14 DSGVO (bei Datenerhebung über Dritte) in präziser, transparenter und verständlicher Form erhalten. Dies gilt insbesondere für Informationen, die sich an Kinder richten.
Besonders schützenswerte personenbezogene Daten wie Gesundheitsdaten, Angaben zur Religion, ethnischen Herkunft, sexuellen Orientierung oder zu sonderpädagogischen Förderbedarfen bedürfen gemäß Art. 9 DSGVO ein erhöhtes Schutzniveau. Um diesen Schutz zu gewährleisten, muss die Schule technische und organisatorische Maßnahmen ergreifen, um eine sichere und datenschutzkonforme Verarbeitung zu gewährleisten. Dabei sind Art, Umfang, Zweck sowie Risiken der Datenverarbeitung zu berücksichtigen.
Zu den technischen Maßnahmen gehören beispielsweise abschließbare Räume wie Sekretariat oder Serverraum, der Einsatz von Alarmanlagen, Rauchmeldern und eine unabhängige Stromversorgung, um Datenverluste bei Stromausfall zu vermeiden. Weitere Maßnahmen sind Überspannungsschutz, Passwortschutz, automatische Bildschirmsperren, Virenschutz und Firewalls.
Organisatorische Maßnahmen betreffen die Vergabe von Zugriffsrechten entsprechend der Funktion der Mitarbeitenden, regelmäßige Datenschutzschulungen, die Überprüfung und Aktualisierung der Zugriffsrechte sowie die Änderung von Passwörtern. Wichtig ist auch, veraltete Zugänge von ausgeschiedenen Mitarbeitenden zu löschen, personenbezogene Daten nicht unverschlüsselt per E-Mail zu versenden und Daten am Telefon nur weiterzugeben, wenn die Identität der anfragenden Person zweifelsfrei geklärt ist. All diese Maßnahmen tragen zu einem umfassenden Schutz sensibler Daten in eurer Schule bei.
Im Falle einer Datenschutzpanne ist die Schule gemäß Art. 33 und 34 DSGVO außerdem dazu verpflichtet, die Aufsichtsbehörde zu informieren. In bestimmten Fällen müssen zudem die betroffenen Personen benachrichtigt werden.
Will eine Schule personenbezogene Daten verarbeiten, ohne dass dafür eine gesetzliche Grundlage besteht (z.B. bei der Veröffentlichung von Bildern auf der Schulhomepage), ist die Einwilligung der betroffenen Person erforderlich.
Die DSGVO erlaubt elektronische Einwilligungen, sofern diese freiwillig, in Kenntnis der Sachlage und unmissverständlich erfolgen. Eine bestimmte Form ist nicht vorgeschrieben, jedoch muss die Einwilligung dokumentierbar sein.
Schulen können hierfür verschiedene Wege nutzen, z. B. E-Mails mit dem Einwilligungstext, die als PDF gespeichert werden, oder PDF-Formulare, die per E-Mail oder über Schul-Apps wie Schulmanager Online oder Sdui übermittelt werden. Wichtig ist, dass nur notwendige Daten erfasst werden und die Übertragung sicher erfolgt. Die Verwendung von Word-Dokumenten wird aus Sicherheitsgründen nicht empfohlen. Alternativ können auch sichere Messenger wie Wire oder Threema genutzt werden.
Wenn die Schule Daten verarbeitet, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, muss sie vorab eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dies ist besonders bei der Einführung neuer Technologien, wie Lernplattformen, oder bei der Verarbeitung sensibler Daten, wie religiöse oder weltanschauliche Überzeugungen, erforderlich.
Eine DSFA ist auch bei automatisierten Entscheidungen notwendig, die erhebliche Auswirkungen auf Personen haben (z. B. Leistungsbeurteilungen, Zeugniserstellung) oder bei der Überwachung öffentlich zugänglicher Bereiche, z. B. durch Videoüberwachung. Auch wenn die Verarbeitung nicht explizit aufgeführt ist, muss geprüft und dokumentiert werden, ob eine DSFA erforderlich ist.
Hinweis: Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) in Schulen wird in den Bundesländern unterschiedlich gehandhabt. Während einige Bundesländer eine DSFA im Bildungsbereich vorsehen, wird dies beispielsweise in NRW meist nicht als erforderlich angesehen. Bei Unklarheiten könnt ihr euch an die zuständigen Aufsichtsbehörden oder Schulministerien wenden.
Für jede öffentliche Schule muss ein:e schulische:r Datenschutzbeauftragte:r (schDSB) sowie eine Vertretung benannt werden. In einigen Bundesländern, wie beispielsweise Hessen, ist dies verpflichtend, während in anderen Bundesländern, wie Nordrhein-Westfalen, häufig zentrale Datenschutzbeauftragte für mehrere Schulen zuständig sind.
Die Benennung muss bei der zuständigen Aufsichtsbehörde gemeldet werden und die Kontaktdaten sind z. B. auf der Schulhomepage zu veröffentlichen. Zudem sind Schulen verpflichtet, den Datenschutzbeauftragten die für ihre Aufgaben notwendigen Ressourcen und Fortbildungen zur Verfügung zu stellen.
Die Schule muss die Datenschutzbeauftragten frühzeitig und umfassend in alle Fragen des Schutzes personenbezogener Daten einbeziehen, insbesondere bei der Einführung neuer Software oder dem Austausch bestehender Systeme.
Die Informationspflichten gegenüber Betroffenen sind für Schulen gemäß DS-GVO umfassend und erfordern eine genaue Darstellung der Datenverarbeitungsprozesse. Dazu muss die Schule ihre Prozesse genau kennen und regelmäßig überprüfen. Eine Bestandsaufnahme der Datenverarbeitungsprozesse ist notwendig, um die Informationspflichten zu erfüllen.
Schulen sind verpflichtet, Schüler:innen, Erziehungsberechtigte und Lehrkräfte über die Verarbeitung personenbezogener Daten zu informieren – sowohl bei der direkten Datenerhebung als auch bei Daten, die von Dritten stammen, etwa bei der Aufnahme neuer Schüler:innen oder der Erhebung von Lehrkräftedaten.
Schüler:innen, Eltern und Lehrkräfte haben das Recht, von der Schule Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten über sie verarbeitet werden. Dabei muss die Schule unter anderem die Zwecke der Verarbeitung, die Kategorien der verarbeiteten Daten und die Empfänger:innen dieser Daten benennen. Eine vollständige und korrekte Auskunft ist dabei entscheidend, um mögliche Schadensersatzansprüche zu vermeiden.
Schulen in öffentlicher Trägerschaft sind von der Verhängung von Bußgeldern durch die Aufsichtsbehörden ausgenommen. Allerdings können Schulleitungen, Lehrkräfte oder Mitarbeiter:innen bei vorsätzlichen oder fahrlässigen Verstößen persönlich haftbar gemacht werden. Darüber hinaus können Betroffene zivilrechtliche Schadensersatzansprüche nach Art. 82 DSGVO oder § 823 ff. BGB geltend machen. Datenschutzvorfälle können auch dienstrechtliche Konsequenzen nach sich ziehen, insbesondere wenn die Schulaufsicht davon Kenntnis erlangt.
Auch wenn die datenschutzrechtlichen Anforderungen an Schulen sehr komplex sind, sind sie weit mehr als eine rechtliche Verpflichtung, sondern eine wichtige Grundlage für das Vertrauen zwischen allen Beteiligten. Die Umsetzung der datenschutzrechtlichen Vorgaben erfordert organisatorisches Geschick und ein Bewusstsein für die Rechte sowie den Schutz sensibler Daten. Durch klare Regelungen, regelmäßige Sensibilisierung und einen verantwortungsvollen Umgang kann der Datenschutz nicht nur gewährleistet, sondern auch aktiv in den Schulalltag integriert werden, um eine sichere und transparente Lernumgebung zu schaffen.
.jpeg)
.png)
.png)
.png)
