Zum Inhalt springen

Datenschutz: Was in Schule, Hochschule und Kita jetzt wichtig wird

Am 25. Mai 2018 kommt die EU-Datenschutzgrundverordnung (EU-DSGVO). Auch für Schulen, Hochschulen und Kitas gelten neue Regeln beim Datenschutz. Worauf es jetzt ankommt.

Foto: Pixabay / CC0

Die in allen EU-Staaten geltende DSGVO regelt in 99 Artikeln, wie in Zukunft Daten erhoben, gespeichert und genutzt werden dürfen. Ziel ist es, persönliche Informationen besser zu schützen. Grundsätzlich sollen so wenige Daten wie möglich gesammelt werden - beziehungsweise nur solche, die tatsächlich benötigt werden. Oft ist daher künftig eine Einwilligung erforderlich, und Bürgerinnen und Bürger können ihre Daten einsehen oder auch löschen lassen. Die neuen Regeln gelten auch für Unternehmen, die ihren Sitz nicht in der EU haben, ihre Dienste aber dort anbieten – beispielsweise die US-Konzerne Google und Facebook.

Die Uni, Weiterbildungseinrichtung, Schule und auch die Kita muss eine Datenschutzbeauftragte oder einen Datenschutzbeauftragen bestellen. Außerdem muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden, in das alle Vorgänge und Prozesse, bei denen in der Bildungseinrichtung personenbezogene Daten verarbeitet werden, einzutragen sind. Insbesondere der Zweck der Datenverarbeitung und die Kategorien der verarbeiteten personenbezogenen Daten müssen in dieses Verzeichnis aufgenommen werden. Darüber hinaus sollte überprüft werden, ob die Datenschutzerklärung der Homepage den aktuellen Anforderungen entspricht.

Wenn die Bildungseinrichtung  – also die Hochschule, die Schule oder die Kita – personenbezogene Daten direkt erhebt, zum Beispiel bei der Aufnahme eines Kindes oder eines Studierenden, muss sie diese oder diesen darüber informieren. Auch wenn die Schule personenbezogene Daten von anderen Stellen oder Personen erhält, muss sie die betroffene Person darüber aufklären. Jede und jeder, über den personenbezogene Daten erhoben werden, hat zudem das Recht, zu erfahren, um welche Daten es sich konkret handelt – und kann auch die Löschung dieser Daten verlangen, etwa wenn sie für die Schule nicht mehr notwendig sind. 

Sichergestellt werden muss, dass Schülerinnen und Schülern, Studierende, Eltern sowie Lehrkräften und Erzieherinnen und Erzieher die gesetzlich geforderten Informationen transparent und verständlich übermittelt werden. Dies gilt insbesondere für Informationen, die sich an Kinder richten. Die Schulen müssen regelmäßig eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit ihrer Datenschutzmaßnahmen durchzuführen. Ist das Risiko für die Rechte und Freiheiten der betroffenen Nutzerinnen und Nutzer möglicherweise hoch –  etwa durch die Nutzung neuer Technologien – müssen die Bildungseinrichtungen eine sogenante Datenschutz-Folgenabschätzung machen.

Die oder der Datenschutzbeauftragte sollte Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen. Der Besuch einer entsprechenden Fortbildung sollte in der Regel aber ausreichen, um dieses Wissen zu erwerben. Die oder der Datenschutzbeauftragte ist lediglich dazu verpflichtet, die Schulleitung zu beraten und auf mögliche Datenschutzverstöße hinzuweisen. Nach wie vor ist aber die Schulleitung dafür verantwortlich, dass die datenschutzrechtlichen Vorschriften eingehalten werden.

Die Bildungseinrichtung muss sicherstellen, dass die an der Hochschule, Schule oder Kita tätigen Personen personenbezogene Daten nur auf Anweisung verarbeiten. Dazu müssen die Pädagoginnen und Pädagogen datenschutzrechtlich sensibilisiert werden – etwa im Umgang mit IT-Ausstattung. Das gilt natürlich auch für Lehrkräfte an Universitäten, Erzieherinnen und Erzieher oder Schulsozialarbeiterinnen und -arbeiter an Schulen sowie alle weiteren Beschäftigten, die an der Bildungseinrichtung mit personenbezogenen Daten arbeiten.

Nicht jede technische Datenschutzmaßnahme, die für die Schule verbindlich ist, gilt auch für die Nutzung privater Computer. So muss beispielsweise eine allein lebende Lehrkraft das Zimmer, in dem sich ihr Rechner befindet, nicht extra abschließen. Auch müssen private Computer nicht von der Schulleitung kontrolliert werden. Sind auf dem Rechner bereits personenbezogene Informationen gespeichert oder vorhanden, darf das Gerät zwar in das pädagogische Netz eingebunden werden, die personenbezogenen Daten müssen jedoch verschlüsselt sein. Eine Verarbeitung dieser darf grundsätzlich nicht erfolgen. Empfehlenswert ist daher die Speicherung sämtlicher personenbezogener Daten auf einem verschlüsselten USB-Stick. Da zudem viele Anbieter von Cloud-Computing die Anforderungen der EU-DSGVO nicht erfüllen, kommen sie für eine schulische Nutzung nicht in Frage. Vor Unbefugten geschützt und verschlossen aufbewahrt werden müssen auch personenbezogene Daten in Papierform wie Noten-, Klassen- oder Kurs­tagebücher.

Werden wiederholt Nachrichten oder Newsletter per E-Mail an einen größeren Empfängerkreis gesendet, werden dazu meist E-Mail-Verteilerlisten genutzt. Dies ist indes aus datenschutzrechtlicher Sicht bedenklich, da unter Umständen alle Empfängerinnen und Empfänger sehen können, wer die Nachricht sonst noch bekommen hat. Empfohlen wird daher, den E-Mail-Verteiler im Feld „Bcc“ einzutragen, so dass nicht erkennbar ist, an wen die Nachricht sonst noch ging.

Vorsicht ist auch bei der Nutzung externer E-Mail-Dienste wie Gmail, Gmx.de oder Web.de geboten. Die offizielle Kommunikation in der Universität, Schule oder Kita beinhaltet häufig personenbezogene Daten, die in dem Fall verschlüsselt an den Dienstleister übermittelt werden. Die GEW empfiehlt daher, für die Kommunikation mit Eltern oder Verwaltung auch eine offizielle E-Mail-Adresse der Stadt oder der Kommune zu verwenden. Hochschulen bieten sehr häufig eine eigene E-Mail-Adresse an. Die Kommunen, das Land und der Bund sind in der Pflicht, eine gute digitale Infrastruktur bereitzustellen.

 

Die Bildungseinrichtung muss die Kontaktdaten ihres Datenschutzbeauftragten auf ihrer Webseite veröffentlichen. Dabei genügt es, eine E-Mail-Adresse oder eine Telefonnummer zu nennen. Zur Informationspflicht gehört es laut DSGVO zudem, Verarbeitungszwecke sowie die Rechtsgrundlage für diese Verarbeitung mitzuteilen. Eventuell sind auch Empfänger oder Kategorien von Empfängern der personenbezogenen Daten offenzulegen. Wird die Homepage durch einen Dienstleister betrieben, muss dieser genannt werden. Auch die Speicherdauer von Daten oder die Kriterien für die Festlegung dieser müssen erklärt werden.

Sind Kontaktformulare, anmeldepflichtige Bereiche und Blogs Teil der Homepage oder finden statistische Auswertungen zur Nutzung statt, werden ebenfalls personenbezogene Daten verarbeitet, für die eine Informationspflicht gilt. Will eine Schule personenbezogene Daten verarbeiten, für die keine Rechtsgrundlage existiert, beispielsweise bei der Veröffentlichung von Bildern von Personen auf der Schulhomepage, muss dies über eine Einwilligung geschehen. Auf der Webseite des baden-württembergischen Kultusministeriums gibt es Muster für die Datenschutzerklärung, das Impressum und weitere rechtliche Hinweise.

Die DSGVO sieht erstmals auch hohe Bußgelder für Verstöße vor - bis zu 20 Millionen Euro pro Verstoß sind theoretisch möglich. Allerdings gilt dies nur, falls jemand als Unternehmen am Wettbewerb teilnimmt. Da dies bei Schulen nicht der Fall ist, müssen sie auch nicht mit der Verhängung einer Strafzahlung rechnen. Im Fall einer Datenschutzpanne muss die Schule aber grundsätzlich die datenschutzrechtliche Aufsichtsbehörde und den Landesbeauftragten für den Datenschutz sowie oft auch die Betroffenen benachrichtigen.

Die GEW erinnert in diesem Zusammenhang auch an den 2017 vom Bundesbildungsministerium und der Kultusministerkonferenz (KMK) angekündigten Digitalpakt zur Verbesserung der digitalen Infrastruktur an Schulen. Eigentlich sollten fünf Milliarden Euro unter anderem für Endgeräte, die WLAN-Ausrüstung von Klassenzimmern und Cloudlösungen für Unterrichtsinhalte zur Verfügung gestellt werden. Noch wartet der Pakt jedoch auf seine Umsetzung, von Beginn an kritisiert wurde eine fehlende Finanzierung des Vorhabens. GEW-Schulexpertin Ilka Hoffmann fordert ein langfristiges Finanzierungskonzept, das zusätzliche personelle Ressourcen einschließe.