Praxisleitfaden Datenschutz
Hinweise zur Nutzung des Praxisleitfadens:
Der vorliegende Praxisleitfaden hat das Ziel, insbesondere Schulleitungen bei dem Prüf- und Bewertungsvorgang vor der Einführung eines digitalen Dienstes zu unterstützen. Dazu wird ein Überblick über den Datenschutz in der Schule gegeben, indem die wesentlichen Prüf- und Dokumentationsschritte dargestellt werden. Infolge des § 2 Schul-Datenschutzverordnung (SchulDSVO) trägt die Schulleitung die Verantwortung für die Organisation und Einhaltung des Datenschutzes in ihrer Institution. Die Umsetzung datenschutzrechtlicher Vorgaben in Schulverwaltung und Unterricht ist allerdings eine Herausforderung für alle in Schule tätigen Personen, die nur als Team gelingen kann.
Einführung eines digitalen Dienstes zur unterrichtlichen Nutzung
Mit der zunehmenden Digitalisierung des Unterrichts ergeben sich für die Schulen vielfältige zusätzliche Anforderungen. Es gibt zahlreiche digitale Dienste (Programme, Apps, Web-Anwendungen), die die pädagogische Arbeit unterstützen. Damit hierbei die Persönlichkeitsrechte der Schülerinnen, Schüler und Lehrkräfte (insbesondere das Recht auf informationelle Selbstbestimmung) gewahrt bleiben, müssen bei der Dienstauswahl und -einrichtung eine Reihe von Prüf- und Dokumentationsschritten durch die Schulleitung oder von ihr beauftragtes qualifiziertes Personal durchgeführt werden. Dieser Praxisleitfaden verfolgt das Ziel, diese Schritte übersichtlich darzustellen, ihre Inhalte zu erläutern und Unterstützungsangebote sichtbar zu machen. Der Leitfaden ist auf digitale Dienste ausgerichtet, die ausschließlich für pädagogische Zwecke verwendet werden dürfen (keine Verwaltungstätigkeiten).
Die wesentlichen (Prüf-)Schritte, die vor dem Einsatz neuer digitaler Dienste absolviert werden müssen, sind im obigen Schema dargestellt. Die pädagogische Prüfung beantwortet zunächst die Frage, ob bereits ein vergleichbarer Dienst im Einsatz ist. Ist dies nicht der Fall, wird geprüft, ob der unterrichtliche Einsatz des Dienstes sinnvoll ist. Nur wenn dies zutrifft, beginnt mit der Datenschutz-Vorprüfung der zweite Schritt. Hier wird vor allem die Frage beantwortet, ob personenbezogene Daten über ein Netzwerk (das Internet) bzw. auf einem Server verarbeitet werden. Ist dies der Fall, muss beantwortet werden, welche Daten dies sind, wo diese verarbeitet werden, durch wen und ob ein Auftragsverarbeitungsvertrag (AVV) möglich ist. Können diese Fragen zufriedenstellend geklärt werden, erfolgt die vollständige Prüfung. Am Ende dieses letzten Prüfschrittes muss die Schulleitung begründen können, ob ein rechtmäßiger Einsatz des vorgeschlagenen Dienstes im Unterricht möglich ist. Außerdem sollte sie einschätzen können, ob der datenschutzrechtliche Dokumentations- und Pflegeaufwand gegenüber dem erwarteten Nutzen gerechtfertigt ist. Nur in diesem Fall erfolgt die Umsetzung.
Die einzelnen Prüfschritte werden im Hinblick auf das jeweilige Ziel auf einer eigenen Seite erklärt (s. Seitennavigation). Neben der Zielformulierung und einer detaillierten Erläuterung der Schritte, werden auf den Unterseiten dieses Praxisleitfadens zudem die vom Land bereitgestellten Unterstützungsangebote dargestellt bzw. es ist auf diese verlinkt. Die datenschutzrechtliche Dokumentation erfolgt parallel zu den Prüfschritten. Ihre einzelnen Komponenten sind wiederum auf mehreren Unterseiten erläutert. Das Vorgehen nach Abschluss der Prüfungen umfasst beide Fälle: ein positives wie auch eine negatives Prüfergebnis.
Landes- und Einzellösungen
Eine Ausnahme des hier beschriebenen Prozesses bilden die sogenannten Landes- und Einzellösungen. Hierbei handelt es sich einerseits um Dienste, die direkt vom Land bereitgestellt werden und für die Schulen kostenlos nutzbar sind. Andererseits handelt es sich um kostenpflichtige Einzellösungen. Für diese Dienste entfällt eine datenschutzrechtliche Prüfung durch die Schule, weil das Land diese bereits durchgeführt hat und entsprechende Dokumentenpakete für ein datenschutzkonformes Nutzungsszenario für Schulen in Schleswig-Holstein zur Verfügung stellt. Die einzelnen Dokumente müssen von den Schulleitungen bzw. von den von ihr dazu beauftragten Lehrkräften um schulspezifische Informationen ergänzt, den Nutzenden bekannt gegeben und anhand der enthaltenen Hinweise umgesetzt werden. Von der Schule festzulegen und zu dokumentieren sind die Vergaben bestimmter Rollen (bspw. Schuladministration, Klassenlehrkraft, Fachlehrkraft, Gast etc.), die die Berechtigungen in den IT-Verfahren ordnungsgemäß bestimmen. Die Pflichten der Schule bei der Nutzung der Landeslösungen als sog. beteiligte Stelle sind in § 6 der Zentrale-Stelle-Verordnung Schule festgelegt. Die Pflichten der Schule bei den Einzellösungen bleiben dieselben wie bei eigenständig geprüften und dokumentierten Diensten, insbsondere muss ggf. ein AVV mit dem Anbieter geschlossen werden. Eine Übersicht über alle Dokumentenpakete der Landes- und Einzellösungen und ihre Kernfunktionen gibt es hier.
Weitere Hinweise
Eine Übersicht über alle datenschutzrechtlich relevanten Gesetze für Schule in Schleswig-Holstein sowie Links zu weiteren Informationsmaterialien finden Sie in diesem Glossar-Eintrag des Ministeriums.
Auf den Seiten dieses Praxisleitfadens wird immer wieder die Datenschutzgrundverordnung (DSGVO) referenziert. Wir verlinken in den Texten der Übersichtlichkeit halber eine aufbereitete Version der DSGVO. Den Originaltext finden Sie hier.
Downloads
Die Erich Kästner-Schule Norderstedt hat basierend auf dem Praxisleitfaden Datenschutz einen Prüfbogen entwickelt, um sich und anderen Schulen die strukturierte Prüfung digitaler Dienste zu vereinfachen. In Zusammenarbeit mit dem IQSH und dem DSB Schule wurde dieses Dokument finalisiert. Wir freuen uns daher, Ihnen dieses Dokument (s. u.) als Muster zur Verfügung stellen zu können. Bei dem Prüfbogen ist zu beachten, dass die Antworten je nach Nutzungsszenario unterschiedlich ausfallen können, dieses sollte daher vorab definiert werden.
[Letzte inhaltliche Änderung am 24.07.2023]