Basisinformationen Datenschutz
Auf dieser Seite wollen wir Ihnen eine kurze Übersicht über die wichtigsten zu beachtenden Regelungen zum Thema Datenschutz in der Schule geben. Die folgenden Informationen können von Schulleitungen beispielsweise auch genutzt werden, um die datenschutzrechtliche Belehrung um praktische Themen zu ergänzen oder eine allgemeine Dienstanweisung für den Umgang mit personenbezogenen Daten in der Schule zu verfassen.
Im Folgenden werden installierbare Software, Online-Dienste und automatisierte Verfahren einheitlich als „Anwendungen“ bezeichnet.
Was ist bei der Nutzung dienstlicher Endgeräte zu beachten?
Für die sogenannten Lehrkräfteendgeräte, die den Schulen seit Sommer 2021 über das Land zur Verfügung gestellt werden, gibt es allgemeine Nutzungshinweise, die allen Lehrkräften bekannt sein sollten. Die meisten dieser Hinweise können auch auf andere Dienstgeräte angewendet werden. Die Nutzungshinweise und weitere Dokumente können über diese Seite heruntergeladen werden.
Welche Anwendungen dürfen in der Schule genutzt werden?
Es dürfen nur durch die Schulleitung genehmigte Anwendungen genutzt werden.
Anwendungen, die in der Softwareliste Windows bzw. in der Softwareliste iPad für Lehrkräfteendgeräte aufgeführt sind, dürfen auch auf schulischen Endgeräten für Schülerinnen und Schülern eingesetzt werden. Die in den Listen sowie auf den Webseiten selbst vorhandenen Erläuterungen und Nutzungshinweise sind zu beachten.
Diese Aussagen sind unabhängig davon, ob personenbezogene Daten verarbeitet werden.
Neben dem Datenschutz sind bei der Auswahl auch immer weitere rechtliche Fragestellungen wie z. B. Urheberrecht und Jugendschutz zu beachten.
Was ist zu beachten, wenn bei Nutzung der Anwendungen personenbezogene Daten verarbeitet werden?
Werden bei Nutzung einer Anwendung personenbezogene Daten verarbeitet, ist die Erstellung einer Datenschutzdokumentation und die korrekte, transparente Einführung der Anwendung in der Schule erforderlich. Für einige Anwendungen kann hierfür auf die zentral bereitgestellten Dokumentenpakete zurückgegriffen werden. Existiert kein zentral bereitgestelltes Dokumentenpaket, muss dieses durch die Schule selbst erstellt werden. Hinweise hierzu gibt es im Praxisleitfaden. Erfolgt der Zugang über das Internet ist grundsätzlich immer davon auszugehen, dass personenbezogene Daten (bspw. IP-Adressen, Geräte-IDs) verarbeitet werden.
Werden durch die Anwendung personenbezogene Daten durch einen Dienstleister oder den Schulträger verarbeitet, ist von der Schulleitung neben der Erstellung der Dokumentation zusätzlich ein Auftragsverarbeitungsvertrag abzuschließen, bevor die Anwendung genutzt wird.
Werden durch einen Dritten personenbezogene Daten zu eigenen Zwecken (Werbung, Profilerstellung, Analyse des Nutzungsverhaltens etc.) verarbeitet, ist eine Nutzung der Anwendung grundsätzlich unzulässig. Lehrkräfte dürfen in diesem Fall nicht zur Nutzung der Anwendung und der Erstellung eines eigenen Nutzerkontos verpflichtet werden. Gleiches gilt für Schülerinnen und Schüler. Ein Hinweis auf die Verarbeitung von personenbezogenen Daten zu eigenen Zwecken ist immer der Einsatz von Trackern und Analysetools (hierzu gehörten zum Beispiel Google Analytics oder Facebook). Ausnahmen sind nur zulässig, soweit eine gesonderte Dienstanweisung die Rahmenbedingungen regelt und gewährleistet. Ein Beispiel hierfür ist der verpflichtende Einsatz nicht personalisierter Endgeräte im SchulWLAN, wodurch der Umfang der Verarbeitung personenbezogener Daten und damit das Risiko minimiert werden können.
Dürfen aus Datenschutzperspektive Hausaufgaben aufgegeben werden, die auf digitalen Endgeräten erledigt werden müssen?
Für die verbindliche Vergabe von Hausaufgaben, für deren Bearbeitung ein digitales Endgerät oder eine spezielle Anwendung erforderlich ist, gelten verschiedene schulrechtliche Vorgaben, die alle zu prüfen sind (bspw. aus §4a Abs. 2 SchulG).
Aus Datenschutzperspektive dürfen Hausaufgaben aufgegeben werden, solange die Bearbeitung keine Verarbeitung personenbezogener Daten erfordert, welche über die in § 11 Abs. 4 SchulDSVO genannten Daten hinaus geht. Werden die in § 11 Abs. 4 SchulDSVO genannten personenbezogenen Daten durch einen externen Anbieter verarbeitet, muss die Schule einen Auftragsverarbeitungsvertrag geschlossen haben.
Soll eine spezifische Anwendung für Hausaufgaben genutzt werden, ist dies nur zulässig, wenn sie aufgrund der Dokumentation der Schule auch auf privaten Endgeräten eingesetzt werden darf. Ist eine Anwendung bspw. nur auf nicht personalisierten Endgeräten freigegeben, dann sind Hausaufgaben hierüber nicht zulässig.
Bei freien Internetrecherchen ist zu beachten, dass es hierbei in der Regel zu einer für Schule nicht vollständig zu überblickenden Verarbeitung von personenbezogenen Daten kommen kann (bspw. durch Cookies und Tracker, mind. jedoch die IP-Adresse).
Was ist bei Bild-, Video- und Tonaufnahmen zu beachten?
Bild-, Video- und Tonaufnahmen dürfen nur mit Einwilligung der Erziehungsberechtigten bzw. der volljährigen Schülerinnen und Schüler selbst erstellt werden. Einzelheiten hierzu sind in diesem FAQ-Eintrag erläutert.
Was ist bei Passwörtern zu beachten?
Es sind sichere Passwörter zu wählen. Ein sicheres Passwort besteht gemäß der Passwortrichtlinie des Landes aus mindestens acht Zeichen (je länger, desto besser) und enthält Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Es sollten keine Zahlen, Buchstabenfolge oder Reihen auf der Tastatur sein und weder im Wörterbuch noch im Telefonbuch zu finden sein und auch keine Namen oder Geburtsdaten verwendet werden.
Vom Softwareanbieter übermittelte (Start-)Passwörter sollten unmittelbar nach Übermittlung geändert werden.
Für verschiedene Dienste sollten verschiedene Passwörter verwendet werden. Zum Verwalten der Passwörter auf Lehrkräfteendgeräten wird die Nutzung eines vom Browser unabhängigen Passwort-Managers empfohlen. Eine Anleitung hierzu finden Sie auf der entsprechenden Unterseite der IQSH-Medienberatung. Wir empfehlen ab einem angemessenen Alter auch den Schülerinnen und Schülern die Nutzung eines Passwort-Managers beizubringen.
Wenn eine 2-Faktor-Authentifizierung für durch Lehrkräfte genutzte Dienste angeboten wird, sollte diese genutzt werden. Auch für die von Schülerinnen und Schülern genutzten Anwendungen ist, soweit vorhanden und möglich, die Nutzung der 2-Faktor-Authentifizierung zu empfehlen.
Was gilt für die Speicherung und Löschung von personenbezogenen Daten?
Personenbezogene Daten dürfen auf externen Speichermedien (z.B. USB-Stick) nur verschlüsselt gespeichert werden. Es müssen entweder die Daten selbst oder der externe Speicher verschlüsselt werden. Die Speichermedien dürfen nur an dienstlichen Geräten betrieben werden, dürfen nur dienstliche Daten enthalten und sind regelmäßig auf Schadsoftware zu prüfen. Idealer Weise stellt die Schule jeder Lehrkraft individuell das entsprechende Speichermedium für die dienstliche Nutzung zur Verfügung.
Eine Speicherung in der Cloud ist unzulässig, es sei denn es handelt sich um eine rechtmäßig an der Schule eingeführte Cloud-Anwendung. Die Trennung von pädagogisch-didaktischen und Verwaltungsdaten ist zu beachten.
Bzgl. pädagogisch-didaktischer Daten auf nicht personalisierten Endgeräten für Schülerinnen und Schüler, zum Beispiel aus dem Tabletkoffer, muss darauf geachtet werden, dass Arbeitsergebnisse/personenbezogene Daten am Ende der Unterrichtsstunde gelöscht werden, damit die nachfolgenden Nutzenden diese Daten nicht sehen und verarbeiten können. Ggf. können diese vorher gesichert werden. Die Sicherung erfolgt entweder auf von der Schule bereitgestellten Speicherorten (z. B. in einem Lernmanagementsystem, einer schulischen Dateiablage) oder auf externen (verschlüsselten) Speichermedien.
Personenbezogene Daten sind zu löschen, sobald sie für die Aufgabenerfüllung nicht mehr erforderlich sind. Ausnahmen hiervon regeln die §§ 10 und 15 SchulDSVO.
Auf welchem Weg dürfen personenbezogene Daten übermittelt werden?
Im schulischen Kontext gibt es hinsichtlich der Kommunikation verschiedene Konstellationen, z. B.:
- Lehrkräfte mit Schülerinnen und Schülern
- Lehrkräfte der eigenen Schule untereinander
- Lehrkräfte mit Eltern
Dabei gibt es ebenso unterschiedliche Kommunikationswege, z. B.:
- analog
- per Email
- Messenger
- Lernmanagementsysteme (LMS)
Es kommt bei der Bewertung entscheidend auf die zu übermittelnden Inhalte, die Kommunikationspartner und das gewählte Kommunikationsmittel an. Eine allgemeingültige Aussage ist daher nicht möglich. Grundsätzlich gilt jedoch, dass so wenige Daten wie möglich übertragen werden sollten.
Es ist zu prüfen, ob die Übermittlung schulrechtlich zulässig ist (bspw. dürfen beim Schulwechsel von der abgebenden Schule proaktiv keine Daten an die aufnehmende Schule übermittelt werden).
Besonders sensible Informationen sind nach Möglichkeit persönlich zu besprechen. Ist eine elektronische Datenübertragung erforderlich, so muss geprüft werden, ob diese Daten verschlüsselt übertragen werden müssen.
Für die dienstliche Kommunikation ist die dienstliche Email-Adresse (XXX@schule-sh.de) zu verwenden. Ausführliche Informationen dazu, sind in diesem FAQ-Eintrag zu finden.
Zum Thema Messenger an Schule existiert ebenfalls ein eigener FAQ-Eintrag.
Wo bekomme ich weiterführende Informationen oder Hilfe?
Abgesehen von den Informationen, die Sie hier auf den Seiten der Medienberatung im Bereich des Schuldatenschutzes finden, empfehlen wir Ihnen für konkrete Fragen einen Blick in das Schuldatenschutz FAQ des MBWFK. Wird Ihre Frage dort nicht beantwortet, wenden Sie sich direkt an den zentralen Datenschutzbeauftragten der Schulen oder geben Sie eine Anfrage über den IQSH Helpdesk auf. Nach Eingabe Ihrer Dienststellnummer wählen Sie unter "Bereich" den Eintrag "Medienberatung - Schuldatenschutz". So erreicht Ihre Anfrage ohne Umwege die richtigen Personen. Ihre Dienststellennummer können Sie ggf. hier ermitteln.
[Letzte inhaltliche Änderung 25.10.2023]