Datenschutz
Treffen der schulischen
Datenschutz-Beauftragten
Beginnend mit dem Schuljahr 2021/2022 organisiert das Medienzentrum regelmäßige Treffen der schulischen Datenschutz-Beauftragten an Frankfurter Schulen. Bei einem ersten Präsenztermin am 26.01.2022 konnten nach einem kurzen Fachinput von unserem Referenten Torsten Franz (Franz Datenschutz, Laufach) offene Fragen und Themen gesammelt werden.
Ein Ergebnis der Beratungen ist die Veröffentlichung und Zugänglichmachung von zentralen Informationen hier auf dieser Plattform. Hierbei sollen Handlungshinweise, Dokumente, Erlasse für die tägliche Arbeit sowie Ergebnis-Protokolle der Treffen zugänglich gemacht werden.
Alle bisherigen Dokumente und Links finden Sie nebenstehend. Weitere Informationen zum Thema Datenschutz (und auch Urheberrecht) entnehmen Sie auch den unten aufgeführten Artikeln.
Protokolle:
Protokoll_Treffen der DSB 20220126.pdf
Popular 118.03 KB 3006 |
|
Protokoll_Treffen der DSB_BS20230509.pdf
Popular 128.48 KB 2950 |
|
Protokoll_Treffen der DSB_GFoS_20230614.pdf
Popular 147.3 KB 3070 |
|
Protokoll_Treffen der DSB_SEK20230214_an.pdf
Popular 199.27 KB 2878 |
Downloadbereich
Dokumente:
Broschüre Hessen Datenschutz in Schulen
Popular 1.97 MB 7602 |
|
Orientierungshilfe Lernplattformen 04-2018.pdf
Popular 1.01 MB 3234 |
|
Personalaktenführung
Popular 6.76 MB 7343 |
|
Smartphone in der Schule.pdf
Popular 3.51 MB 2671 |
Vorlagen:
Checkliste fur schulische Datenschutzbeauftragten.pdf
Popular 117.07 KB 2740 |
|
Datenschutzerklarung Schule.docx
Popular 18.65 KB 2522 |
|
Hinweise Meldepflicht Datenpannen.docx
Popular 25 KB 2411 |
|
Musterformular Bestellung schulischer DSB.docx
Popular 14.18 KB 2360 |
|
Vorlage_Verzeichnis von Verarbeitungstätigkeiten
Popular 25.59 KB 6633 |
Materialpaket HBDI:
Das neue Hessische Datenschutzgesetz - 10-2017.ppt
Popular 175.5 KB 2342 |
|
Datenschutz im Schulsekretariat.pptx
Popular 157.32 KB 5817 |
|
Datenschutz und Schulsozialarbeit.pptx
Popular 174.85 KB 3033 |
|
Der schulische Datenschutzbeauftragte.ppt
Popular 278.5 KB 19393 |
|
DS-GVO und Schulen.ppt
Popular 400.5 KB 5912 |
|
DSGVO - Begriffe und Grundsatze.ppt
Popular 205 KB 2772 |
|
DSGVO - Geltung und Anwendungsbereich.ppt
Popular 182 KB 2333 |
|
Grundsatzliches zur DS-GVO - 04-2018.ppt
Popular 238 KB 2363 |
|
Neues Datenschutzrecht und Schulen - 02-2019.ppt
Popular 175 KB 2364 |
Links Datenschutz
Datenschutz Hessen:
- Hinweise zum schulischen Datenschutzbeauftragten
- Verordnung über die Verarbeitung personenbezogener Daten in Schulen
- Meldepflicht bei Datenpannen
- Vorlagen und Muster
- Hessisches Schulrecht inkl. Datenschutz
- §83 Hessisches Schulgesetz
Weiterführende Links:
- Selbstlernkurs Datenschutz (hessen.de, offener Moodlekurs)
- Handreichung für Lehrkräfte zum Umgang mit sozialen Netzwerken in hessischen Schulen
- Datenschutz-Jahresübersicht | datenschutz.info
- Handreichung zum "Stand der Technik" | Bundesverband IT-Sicherheit
- Datenschutzgesetze (DSGVO, BDSG, LDSG, TTDSG)
Verordnungen
Erlasse
FAQ
Fragen aus den Reihen der DSB
Grundsätzlich dürfen Lehrkräfte eigene Internetseiten für ihre Klassen erstellen, soweit darin die Persönlichkeitsrechte anderer nicht berührt sind. Werden auf der Seite personenbezogene Daten oder Fotos der SchülerInnen veröffentlicht, ist die zwingend eine Einwilligung der Eltern erforderlich, als auch der SchülerInnen, falls diese schon 14 Jahre alt sind.
Personenbezogene Daten im Rahmen von schulischen Aufgaben können datensicher nur im Verwaltungsnetz abgelegt werden. Wenn Lehrkräfte personenbezogene Daten auf eigenen Geräten gespeichert haben – was Datenschutzrechtlich nicht zulässig ist – sollten diese Daten auf einer passwortgeschützten externen Festplatte abgelegt werden.
Wenn das Schul-Moodle über das hessische Schulportal genutzt wird, muss keine extra Einwilligung der Eltern eingeholt werden, da die Nutzung des hessischen Schulportals vom Kultusministerium empfohlen und demnächst voraussichtlich auch angeordnet wird.
Prinzipiell ist hierfür die Einwilligung der Eltern erforderlich, als auch des Schülers, falls dieser schon 14 Jahre alt ist. Sofern die Bilder mit Privatgeräten erstellt und gespeichert werden, müssen alle Anforderungen erfüllt werden:
Es ist an hessischen Schulen nicht erlaubt, den Impfstatus zu vermerken.
Nein. Offiziell wird in Hessen explizit davon abgeraten. Kritikpunkte (mit Ausnahmen von Threema) sind bspw. unsichere Drittländer, Zugriff auf das Adressbuch, Begünstigung der unkontrollierten Weitergabe von Inhalten, unverschlüsselte Kommunikation usw.
Aber es gibt es auch Messenger speziell für Schulen (z.B. https://schul.cloud/schul-cloud). Zudem muss beachtet werden, dass dem Kommunikationspartner keine Nachteile entstehen dürfen, wenn dieser keine Messenger nutzen möchte.
Grundsätzlich muss für jedes einzelne Beratungs- und Austauschgespräch mit anderen Einrichtungen und begleitenden Personen eine individuelle Schweigepflichtentbindung verfasst werden. Eventuell kann die Schweigepflichtentbindung – die jederzeit widerrufen werden kann – auf einen regelmäßigen Austausch mit anderen Einrichtungen und begleitenden Personen ausgeweitet werden.
Das ist eine der Vorgaben die die Erfassung von Daten im schulischen Betrieb erlaubt. Damit können viele Verarbeitungen legitimiert werden, allerdings muss dies nachvollziehbar sein und darf nicht gegen Treu und Glauben verstoßen – sprich, der Zweck „schulischer Betrieb“ darf nicht zu großzügig ausgelegt werden, da dies ansonsten dem Prinzip der Datensparsamkeit widerspricht. Zudem darf die Verarbeitung nicht mit der „Verordnung über die Verarbeitung personenbezogener Daten“ kollidieren (siehe unter Links). Eine pauschale Begründung für alle Verarbeitungstätigkeiten kann dies daher nicht sein.
Hierbei gibt es verschiedene Punkte zu beachten:
- Es ist auf den Zweck der Fotografie, Veröffentlichungsart/-ort und die Möglichkeit des (nachträglichen) Widerspruchs hinzuweisen und wie dieser erfolgen kann. Hinzukommen noch andere Pflichtangaben, wie Speicherdauer, wer verantwortlich ist usw.
- Wenn die Fotos Einzelpersonen oder Gruppen hervorheben, wird immer eine explizite Einwilligung der abgelichteten Personen benötigt, welche die Informationen zu 1. enthält.
- Für Fotos, die die Veranstaltung im Allgemeinen zeigen, kann als Rechtsgrundlage das sogenannte „Berechtigte Interesse“ verwendet werden (bspw. zum Zweck der Öffentlichkeitsarbeit). Hierfür ist keine Einwilligung erforderlich, aber es müssen alle Anstrengungen unternommen werden, die Personen gemäß 1. zu informieren: auf der Einladung, bei Anmeldung sowie durch offensichtlichen Aushang am Eingang zum Veranstaltungsort
- Vor Veröffentlichung muss nochmals geprüft werden, dass die gezeigte Person nicht widersprochen hat. Nachträgliche Widersprüche sind ggf. ebenfalls zu berücksichtigten.
- Die Fotos dürfen für keine anderen Zwecke verwendet werden.
Die Nutzung von Flinky in der Schule wurde vom Schulträger in Frankfurt mit dem hessischen Datenschützer geklärt. Ähnlich wie der ENC (Noteneingabe über LUSD) wird sie nicht auf den Computern der Schule installiert, sondern auf einem USB-Stick als "Portable Software" verwendet. Die Zeugnisse werden dann auf dem USB-Stick gespeichert.
https://flinky-zeugnis.de/
Grundsätzlich ist für alles was auf einer Schulhomepage veröffentlicht wird die jeweilige Schulleitung verantwortlich und wird auch dementsprechend im Impressum und in der Datenschutzerklärung als verantwortliche Person aufgeführt.
Da für Schulen verpflichtend ein Datenschutzbeauftragter zu benennen ist, handelt es sich im Zweifelsfall um die Geschäftsleitung (hier: Schulleitung), die dann allerdings im Interessenkonflikt steht.
Siehe Broschüre „Datenschutz in Schulen. Überblick und Materialien zur Durchführung des Datenschutzes in Schulen“ im Downloadbereich auf dieser Seite.
Verantwortlich ist immer die Schulleitung. Der Datenschutzbeauftragte berät die Schulleitung entsprechend seiner Fachkunde. Der interne DSB ist (im Gegensatz dem externen DSB) nach außen hin nicht für die fehlerhafte Umsetzung haftbar. Im Innenverhältnis wird nach leichter Fahrlässigkeit, normaler und grober Fahrlässigkeit unterschieden, wie bei einem herkömmlichen Arbeitsverhältnis. Es empfiehlt sich, die an die Schulleitung adressierten Missstände oder nicht umgesetzten Empfehlungen zu dokumentieren, um sich im Zweifelsfall entlasten zu können.
Im Handel gibt es sowohl verschlüsselbare USB-Sticks, als auch passwortgeschützte Festplatten, in unterschiedlichen Preislagen. Veracrypt ist eine gängige Datenverschlüsselungssoftware, mit der sich prinzipiell jeder Datenträger verschlüsseln lässt. Als Verschlüsselung sollte AES-256 gewählt werden.
In der Regel ist ein bereits verschlüsselter Datenträger aus dem Handel vorzuziehen, da hierfür keine speziellen IT-Kenntnisse notwendig sind.
Der google Authenticator ist ein gängiges Beispiel zum Einloggen in die Hessen-Dienstadresse, es gibt auch andere Anbieter. Das Einloggen muss nicht über ein Handy erfolgen, es ist auch mit einem anderen digitalen Endgerät möglich.
Auf der Webseite des Medienzentrums gibt es bspw. eine Anleitung für die Verwendung von winAUTH auf dem PC:
2FA mit WinAuth statt Google-Authenticator auf Smartphone (medienzentrum-frankfurt.de)
Ja, soweit das im Rahmen ihrer dienstlichen Aufgabenstellung zu einem bestimmten Zweck erforderlich ist. Siehe: Datenschutzrechtliche Bedingungen | Digitale Schule Hessen
Ja, sofern es sich um eine Datenverarbeitung gemäß §83 HSchG handelt. Siehe: Datenschutzrechtliche Bedingungen | Digitale Schule Hessen
Die Schule hat ein berechtigtes Interesse, Kontaktdaten auf der Webseite zu veröffentlichen, sofern diese für die Aufgabenerfüllung des Betroffenen notwendig sind. Hierzu zählen i.d.R. Name, E-Mailadresse oder Durchwahl von Stufenleitung oder Beratungslehrkräften, Mitarbeitern im Sekretariat oder die Schulleitung. Betroffene müssen vorab informiert werden. Für die Veröffentlichung von Fotos, weiterer Daten oder Daten anderen Personen/Lehrkräfte muss zwingend eine Einwilligung inkl. Widerrufsbelehrung eingeholt werden.
Es sind bisher keine einschlägigen Regelungen diesbezüglich bekannt. Hier veröffentlicht das Land Hessen Antworten auf häufige Fragen, bspw. ob dienstliche E-Mails damit abgerufen werden können:
Das Landes-Videokonferenzsystem (BigBlueButton) im Schulportal Hessen (und Schul-Moodle) ist für unterrichts- und schulische Zwecke vorgesehen und ohne weitere Prüfung und Einwilligung verwendbar.
Weitere Systeme, sofern nicht von höherer Stelle abgelehnt (Bsp. Videokonferenztool in Teams), können nach Prüfung durch die Schule und in deren Verantwortung verwendet werden.
Das Vorgehen umfasst (1.) die Eindämmung der Datenpanne, (2.) eine Risikobewertung hinsichtlich der Rechte und Freiheiten des Betroffenen, (3.) ggf. die fristgerechten Meldungen an Aufsichtsbehörde und Betroffene, (4.) die Dokumentation aller Informationen und Erkenntnisse sowie (5.) die Analyse und Nachbearbeitung zur künftigen Verbesserung der Situation. Information hierzu liefern Art. 33 und Art 34 DSGVO sowie die Erwägungsgründe 85-88.
Nutzungsvereinbarungen dürfen keine negativen Regelungen für die Schüler haben (wie z.B. umfangreiches Logging, Profilbildung). Wird eine Nutzungsvereinbarung nicht unterzeichnet, muss technisch sichergestellt werden, dass die entsprechenden Dienste durch den Betroffenen auch nicht genutzt werden können. Sind die Dienste für den schulischen Bildungsauftrag erforderlich (z.B. Klausure per Tablet), ist wie bei anderen, ähnlichen Sachverhalten vorzugehen.