Datenschutz an Schulen – gibt es bald keine Klassenfotos mehr?

Von Fotos der Schüler und Schülerinnen im Unterricht über die Schulhomepage bis hin zum Austausch in sozialen Netzwerken – auch Schulen unterliegen der DSGVO. Wie erklären, wie sich der Datenschutz an Schulen auswirkt und was Lehrkräfte, Schüler und Eltern beachten sollten.

Die DSGVO betrifft viele Bereiche der Schulen. Wir zeigen im Folgenden die wichtigsten Regelungen auf, damit der richtige Datenschutz personenbezogener Daten innerhalb von Schul-Systemen gelingt.

Der Webauftritt

Seit der Einführung der DSGVO im Mai 2018 kommen auch Schulen nicht um notwendige Anpassungen auf der eigenen Webseite vorbei. Jede Schulhomepage benötigt eine eigene Datenschutzerklärung nach der DSGVO. Allzu aufwendig wird dies glücklicherweise nicht, da die Landesschulbehörden geeignete Vorlagen zur Verfügung stellen.

Schulen brauchen einen Datenschutzbeauftragten

Grundsätzlich benötigt jede Schule einen behördlichen Datenschutzbeauftragten. Diese Vorgabe ist nach dem Art. 39 der DSGVO vorgeschrieben. Hier ist es möglich, dass sich mehrere Schulen zusammenschließen und einen gemeinsamen Datenschutz-Experten beauftragen.

Das müssen Lehrer beachten, wenn sie Schüler fotografieren

Lehrer dürfen nach wie vor Schüler fotografieren. Allerdings gibt es Einschränkungen bei der Veröffentlichung. Diese ist nur zulässig, wenn eine freiwillige Einwilligung der abgebildeten Personen stattgefunden hat. Lehrer müssen Schüler bzw. Eltern zuvor über die Art der Nutzung sowie mit dem Hinweis über das weltweite Verbreiten im Netz informieren. Pauschale Einwilligungen zu Veröffentlichungen sind nicht erlaubt. Für alle Foto- und Video-Veröffentlichungen sind einzelne Einwilligungen erforderlich.

Einwilligung zur Foto-Veröffentlichung bei schulischen Veranstaltungen

Wie sieht es mit Fotos von Tagesausflügen, Klassenfotos im Unterricht und Abi-Bällen aus? Sobald diese auf der Webseite der Schule, in Zeitungen oder auf einem anderen Medium veröffentlicht werden, müssen die Erziehungsberechtigten eine datenschutzkonforme Einwilligung unterzeichnen.

Zudem haben Eltern jederzeit das Recht, diese zu widerrufen und die Bilder entfernen zu lassen. In der Einwilligung sollte unbedingt der Hinweis zum schulischen Zweck der jeweiligen Veröffentlichung angegeben sein.

WhatsApp, Facebook & Co – Notwendigkeit verschlüsselter Clouds

Heutzutage tauschen sich Lehrkräfte mit Schülern und Schülerinnen zunehmend über WhatsApp, Facebook und weitere soziale Netzwerke aus. Doch was bedeutet das für den Datenschutz?

Aktuell gehen Lehrer damit ein hohes Risiko ein, da viele dieser Netzwerke über Server in den USA funktionieren. Damit sind automatisch sensible Daten der betroffenen Personen abrufbar und angreifbar. Die Lösung wären verschlüsselte Cloud-Systeme für Schulen die personenbezogene Daten ausschließlich in Europa speichern. (z.B. die Ende-zu-Ende verschlüsselte Cloud Lösung von TeamDrive) Zudem ist es sinnvoll Social-Media-Regeln aufzusetzen, an die sich alle Kollegen und Schüler halten sollten.

Zwar steht die jeweilige Schulleitung in der Pflicht, sich mit aktuellen Datenschutz-Gesetzen auseinanderzusetzen und einen sicheren Umgang mit datenschutzrechtlichen Inhalten zu bewahren, aktuell sind aber viele Schulen noch nicht auf diesem Stand. Hier besteht demnach dringender Handlungsbedarf.

Kommunikation über verschlüsselte E-Mails

Auch in Bezug auf den E-Mail-Verkehr stehen Schulen in der Datenschutz-Pflicht. Grundlegend sollten alle E-Mails verschlüsselt werden. Hier ist es notwendig in jeder E-Mail-Software Verschlüsselungsdienste zu integrieren.

Interne Prozesse – technische und organisatorische Datenschutzmaßnahmen

Hinsichtlich der internen Prozesse entsteht ein großer Arbeitsaufwand für Schulen. Die kompletten IT-Systeme müssen so angelegt sein, dass sie der DSGVO entsprechen. Dazu zählt beispielsweise das komplette Verschlüsseln digitaler Schülerakten oder die regelmäßige Erzeugung eines Backups.

Zusätzlich müssen alle Prozesse dokumentiert werden, bei denen persönliche bzw. sensible Daten verarbeitet werden. Hierzu dient das Verarbeitungsverzeichnis nach den Vorgaben des Artikels 30 der DSGVO. Im Rahmen der Richtlinien für die Verarbeitungsverzeichnisse müssen alle personenbezogenen Daten zusammen mit dem Zweck der Daten-Verarbeitung eingetragen werden.

Schulen unterliegen zudem der Melde- und Benachrichtigungspflicht gemäß Artikel 22 der Datenschutz-Verordnung. Sollte der Bildungseinrichtung auffallen, dass unbefugten Personen ein Zugang zu persönlichen Daten der Schüler und Lehrer gewährt wird, der schädigend wirken könnte, ist dies an die zuständige Aufsichtsbehörde zu melden.

Ein Fall könnte beispielsweise sein, dass rufschädigende Inhalte über einen Jugendlichen mitten in der Schulzeit über das Internet verbreitet werden. Dann sollten die Verantwortlichen sofort handeln.

Daten sparen und minimieren

Im Rahmen des Datenschutzes sind alle Betroffenen angehalten, Daten zu minimieren und mit Informationen über Personen sparsam umzugehen. Das betrifft besonders Schulen, die stapelweise Schülerakten und Formulare aufbewahrt haben.

Schulen ist zu empfehlen, die Notwendigkeit zu hinterfragen. Angefangen bei Informationen über den Gesundheitszustand von Schülern bis hin zu Daten über Eltern – es sollten nur Unterlagen aufbewahrt werden, die auch für die Schulzeit relevant sind.

Ein Beispiel: Notfall-Telefonnummern der Eltern sollten selbstverständlich abgespeichert werden. Jedoch ist es nicht dringend notwendig, weiteres Daten-Material über die Arbeit und private Informationen der jeweiligen Erziehungsberechtigten zu hinterlegen.

Datenschutz-Abmahnungen für Schulen?

Schulen müssen sich in der Regel nicht vor Datenschutz-Abmahnungen fürchten, da sie nicht den Wettbewerbs-Regelungen unterliegen. Allerdings sind Abmahnungen und Strafen in puncto Urheberrechte und Persönlichkeitsrechte möglich. Letzteres ist der Fall, wenn lizenzierte Inhalte oder unberechtigte Fotos auf der eigenen Webseite der Schule verwendet werden.

Digitale Datensicherheit in der Zukunft

Schulen sollten an die Zukunft denken, wenn sie neue Technologien einsetzen. Das betrifft unter anderem soziale Netzwerke, digitales Unterrichtsmaterial, Analyse-Systeme und Big-Data-Tools.

Die Regelung dazu besteht im Rahmen der „Datenschutz-Folgenabschätzung“ nach Art. 35 der EU-Datenschutz-Grundverordnung. Bei jeder neuen Daten-Verarbeitung im Internet bzw. von digitalen Medien stehen schulische Einrichtungen in der Pflicht, die Folgen und Risiken der Maßnahmen abzuschätzen. Hier müssen der Schutz und die Sicherheit der personenbezogenen Daten abgedeckt sein. Ist dies nicht der Fall, ist dringend von der Einführung des neuen Systems abzuraten.