Grundsätzlich dürfen Lehrkräfte eigene Internetseiten für ihre Klassen erstellen, soweit darin die Persönlichkeitsrechte anderer nicht berührt sind. Werden auf der Seite personenbezogene Daten oder Fotos der SchülerInnen veröffentlicht, ist die zwingend eine Einwilligung der Eltern erforderlich, als auch der SchülerInnen, falls diese schon 14 Jahre alt sind.

Personenbezogene Daten im Rahmen von schulischen Aufgaben können datensicher nur im Verwaltungsnetz  abgelegt werden. Wenn Lehrkräfte personenbezogene Daten auf eigenen Geräten gespeichert haben – was Datenschutzrechtlich nicht zulässig ist – sollten diese Daten auf einer passwortgeschützten externen Festplatte abgelegt werden.

https://datenschutz.hessen.de

Wenn das Schul-Moodle über das hessische Schulportal genutzt wird, muss keine extra Einwilligung der Eltern eingeholt werden, da die Nutzung des hessischen Schulportals vom Kultusministerium empfohlen und demnächst voraussichtlich auch angeordnet wird.

Prinzipiell ist hierfür die Einwilligung der Eltern erforderlich, als auch des Schülers, falls dieser schon 14 Jahre alt ist. Sofern die Bilder mit Privatgeräten erstellt und gespeichert werden, müssen alle Anforderungen erfüllt werden:

https://datenschutz.hessen.de

Es ist an hessischen Schulen nicht erlaubt, den Impfstatus zu vermerken.

https://datenschutz.hessen.de/datenschutz/hochschulen-schulen-und-archive/impfstatus-darf-von-schulen-nicht-erhoben-werden

Nein. Offiziell wird in Hessen explizit davon abgeraten. Kritikpunkte (mit Ausnahmen von Threema) sind bspw. unsichere Drittländer, Zugriff auf das Adressbuch, Begünstigung der unkontrollierten Weitergabe von Inhalten, unverschlüsselte Kommunikation usw.

Aber es gibt es auch Messenger speziell für Schulen (z.B. https://schul.cloud/schul-cloud). Zudem muss beachtet werden, dass dem Kommunikationspartner keine Nachteile entstehen dürfen, wenn dieser keine Messenger nutzen möchte.

Wenn eine Entscheidung der Schulkonferenz zur Nutzung der Software, Plattformen und Apps vorliegt, ist keine Einwilligung der Eltern notwendig.

Grundsätzlich muss für jedes einzelne Beratungs- und Austauschgespräch mit anderen Einrichtungen und begleitenden Personen eine individuelle Schweigepflichtentbindung verfasst werden. Eventuell kann die Schweigepflichtentbindung – die jederzeit widerrufen werden kann – auf einen regelmäßigen Austausch mit anderen Einrichtungen und begleitenden Personen ausgeweitet werden.

Das ist eine der Vorgaben die die Erfassung von Daten im schulischen Betrieb erlaubt. Damit können viele Verarbeitungen legitimiert werden, allerdings muss dies nachvollziehbar sein und darf nicht gegen Treu und Glauben verstoßen – sprich, der Zweck „schulischer Betrieb“ darf nicht zu großzügig ausgelegt werden, da dies ansonsten dem Prinzip der Datensparsamkeit widerspricht. Zudem darf die Verarbeitung nicht mit der „Verordnung über die Verarbeitung personenbezogener Daten“ kollidieren (siehe unter Links). Eine pauschale Begründung für alle Verarbeitungstätigkeiten kann dies daher nicht sein.

Hierbei gibt es verschiedene Punkte zu beachten:

1. Es ist auf den Zweck der Fotografie, Veröffentlichungsart/-ort und die Möglichkeit des (nachträglichen) Widerspruchs hinzuweisen und wie dieser erfolgen kann. Hinzukommen noch andere Pflichtangaben, wie Speicherdauer, wer verantwortlich ist usw.
2. Wenn die Fotos Einzelpersonen oder Gruppen hervorheben, wird immer eine explizite Einwilligung der abgelichteten Personen benötigt, welche die Informationen zu 1. enthält.
3. Für Fotos, die die Veranstaltung im Allgemeinen zeigen, kann als Rechtsgrundlage das sogenannte „Berechtigte Interesse“ verwendet werden (bspw. zum Zweck der Öffentlichkeitsarbeit). Hierfür ist keine Einwilligung erforderlich, aber es müssen alle Anstrengungen unternommen werden, die Personen gemäß 1. zu informieren: auf der Einladung, bei Anmeldung sowie durch offensichtlichen Aushang am Eingang zum Veranstaltungsort
4. Vor Veröffentlichung muss nochmals geprüft werden, dass die gezeigte Person nicht widersprochen hat. Nachträgliche Widersprüche sind ggf. ebenfalls zu berücksichtigten.
5. Die Fotos dürfen für keine anderen Zwecke verwendet werden.

Die Nutzung von Flinky in der Schule wurde vom Schulträger in Frankfurt mit dem hessischen Datenschützer geklärt. Ähnlich wie der ENC (Noteneingabe über LUSD) wird sie nicht auf den Computern der Schule installiert, sondern auf einem USB-Stick als "Portable Software" verwendet. Die Zeugnisse werden dann auf dem USB-Stick gespeichert.
https://flinky-zeugnis.de/

Grundsätzlich ist für alles was auf einer Schulhomepage veröffentlicht wird die jeweilige Schulleitung verantwortlich und wird auch dementsprechend im Impressum und in der Datenschutzerklärung als verantwortliche Person aufgeführt.

Da für Schulen verpflichtend ein Datenschutzbeauftragter zu benennen ist, handelt es sich im Zweifelsfall um die Geschäftsleitung (hier: Schulleitung), die dann allerdings im Interessenkonflikt steht.

Siehe Broschüre „Datenschutz in Schulen. Überblick und Materialien zur Durchführung des Datenschutzes in Schulen“ im Downloadbereich auf dieser Seite.

Verantwortlich ist immer die Schulleitung. Der Datenschutzbeauftragte berät die Schulleitung entsprechend seiner Fachkunde. Der interne DSB ist (im Gegensatz dem externen DSB) nach außen hin nicht für die fehlerhafte Umsetzung haftbar. Im Innenverhältnis wird nach leichter Fahrlässigkeit, normaler und grober Fahrlässigkeit unterschieden, wie bei einem herkömmlichen Arbeitsverhältnis. Es empfiehlt sich, die an die Schulleitung adressierten Missstände oder nicht umgesetzten Empfehlungen zu dokumentieren, um sich im Zweifelsfall entlasten zu können.

Im Handel gibt es sowohl verschlüsselbare USB-Sticks, als auch passwortgeschützte Festplatten, in unterschiedlichen Preislagen. Veracrypt ist eine gängige Datenverschlüsselungssoftware, mit der sich prinzipiell jeder Datenträger verschlüsseln lässt. Als Verschlüsselung sollte AES-256 gewählt werden.

In der Regel ist ein bereits verschlüsselter Datenträger aus dem Handel vorzuziehen, da hierfür keine speziellen IT-Kenntnisse notwendig sind.  

Der google Authenticator ist ein gängiges Beispiel zum Einloggen in die Hessen-Dienstadresse, es gibt auch andere Anbieter. Das Einloggen muss nicht über ein Handy erfolgen, es ist auch mit einem anderen digitalen Endgerät möglich.

Auf der Webseite des Medienzentrums gibt es bspw. eine Anleitung für die Verwendung von winAUTH auf dem PC:

2FA mit WinAuth statt Google-Authenticator auf Smartphone (medienzentrum-frankfurt.de)

Ja, soweit das im Rahmen ihrer dienstlichen Aufgabenstellung zu einem bestimmten Zweck erforderlich ist. Siehe: Datenschutzrechtliche Bedingungen | Digitale Schule Hessen

Ja, sofern es sich um eine Datenverarbeitung gemäß §83 HSchG handelt. Siehe: Datenschutzrechtliche Bedingungen | Digitale Schule Hessen

Die Schule hat ein berechtigtes Interesse, Kontaktdaten auf der Webseite zu veröffentlichen, sofern diese für die Aufgabenerfüllung des Betroffenen notwendig sind. Hierzu zählen i.d.R. Name, E-Mailadresse oder Durchwahl von Stufenleitung oder Beratungslehrkräften, Mitarbeitern im Sekretariat oder die Schulleitung. Betroffene müssen vorab informiert werden. Für die Veröffentlichung von Fotos, weiterer Daten oder Daten anderen Personen/Lehrkräfte muss zwingend eine Einwilligung inkl. Widerrufsbelehrung eingeholt werden.

Es sind bisher keine einschlägigen Regelungen diesbezüglich bekannt. Hier veröffentlicht das Land Hessen Antworten auf häufige Fragen, bspw. ob dienstliche E-Mails damit abgerufen werden können:

Leihgeräte für Lehrkräfte | Digitale Schule Hessen

Das Landes-Videokonferenzsystem (BigBlueButton) im Schulportal Hessen (und Schul-Moodle) ist für unterrichts- und schulische Zwecke vorgesehen und ohne weitere Prüfung und Einwilligung verwendbar.

Weitere Systeme, sofern nicht von höherer Stelle abgelehnt (Bsp. Videokonferenztool in Teams), können nach Prüfung durch die Schule und in deren Verantwortung verwendet werden.

Das Vorgehen umfasst (1.) die Eindämmung der Datenpanne, (2.) eine Risikobewertung hinsichtlich der Rechte und Freiheiten des Betroffenen, (3.) ggf. die fristgerechten Meldungen an Aufsichtsbehörde und Betroffene, (4.) die Dokumentation aller Informationen und Erkenntnisse sowie (5.) die Analyse und Nachbearbeitung zur künftigen Verbesserung der Situation. Information hierzu liefern Art. 33 und Art 34 DSGVO sowie die Erwägungsgründe 85-88.  

Meldepflicht bei Datenpannen | datenschutz. hessen.de

Nutzungsvereinbarungen dürfen keine negativen Regelungen für die Schüler haben (wie z.B. umfangreiches Logging, Profilbildung). Wird eine Nutzungsvereinbarung nicht unterzeichnet, muss technisch sichergestellt werden, dass die entsprechenden Dienste durch den Betroffenen auch nicht genutzt werden können. Sind die Dienste für den schulischen Bildungsauftrag erforderlich (z.B. Klausure per Tablet), ist wie bei anderen, ähnlichen Sachverhalten vorzugehen.