Praxisleitfaden Datenschutz

Mit der zunehmenden Digitalisierung des Unterrichts ergeben sich für die Schulen vielfältige zusätzliche Anforderungen. Es gibt zahlreiche digitale Dienste (Programme, Apps, Web-Anwendungen), die die pädagogische Arbeit unterstützen. Damit hierbei die Persönlichkeitsrechte der Schülerinnen, Schüler und Lehrkräfte (insbesondere das Recht auf informationelle Selbstbestimmung) gewahrt bleiben, müssen bei der Dienstauswahl und -einrichtung eine Reihe von Prüf- und Dokumentationsschritten durch die Schulleitung oder durch von ihr beauftragtes qualifiziertes Personal durchgeführt werden. Dieser Praxisleitfaden verfolgt das Ziel, diese Schritte übersichtlich darzustellen, ihre Inhalte zu erläutern und Unterstützungsangebote sichtbar zu machen. Der Leitfaden ist vornehmlich auf digitale Dienste ausgerichtet, die für pädagogische Zwecke verwendet werden sollen.

Die wesentlichen (Prüf-)Schritte, die vor dem Einsatz neuer digitaler Dienste absolviert werden müssen, sind im obigen Schema dargestellt. Die pädagogische Prüfung beantwortet zunächst die Frage, ob bereits ein vergleichbarer Dienst im Einsatz ist. Ist dies nicht der Fall, wird geprüft, ob der unterrichtliche Einsatz des Dienstes sinnvoll ist. Nur wenn dies zutrifft, beginnt mit der Datenschutz-Vorprüfung der zweite Schritt. Hier wird vor allem die Frage beantwortet, ob personenbezogene Daten über ein Netzwerk (das Internet) bzw. auf einem Server verarbeitet werden. Ist dies der Fall, muss beantwortet werden, welche Daten dies sind, wo diese verarbeitet werden, durch wen und ob der Abschluss eines Auftragsverarbeitungsvertrages (AVV) möglich ist. Können diese Fragen zufriedenstellend geklärt werden, erfolgt die vollständige Prüfung. Am Ende dieses letzten Prüfschrittes muss die Schulleitung begründen können, ob ein rechtmäßiger Einsatz des vorgeschlagenen Dienstes im Unterricht möglich ist oder nicht. Außerdem sollte sie einschätzen können, ob der datenschutzrechtliche Dokumentations- und Pflegeaufwand gegenüber dem erwarteten Nutzen gerechtfertigt ist. Nur in diesem Fall sollte die Umsetzung erfolgen.

Die einzelnen Prüfschritte werden im Hinblick auf das jeweilige Ziel auf einer eigenen Seite dieses Leitfadens erklärt (s. Seitennavigation). Neben der Zielformulierung und einer detaillierten Erläuterung der Schritte werden auf den Unterseiten des Praxisleitfadens zudem die vom Land bereitgestellten Unterstützungsangebote dargestellt bzw. es ist auf diese verlinkt. Die datenschutzrechtliche Dokumentation erfolgt parallel zu den Prüfschritten. Ihre einzelnen Komponenten sind wiederum auf mehreren Unterseiten erläutert. Das Vorgehen nach Abschluss der Prüfungen umfasst beide Fälle: ein positives wie auch ein negatives Prüfergebnis.

Eine Ausnahme des hier beschriebenen Prozesses bilden die sogenannten Landes- und Einzellösungen. Hierbei handelt es sich einerseits um Dienste, die direkt vom Land bereitgestellt werden und für die Schulen kostenlos nutzbar sind. Andererseits handelt es sich um ausgewählte Einzellösungen, die die Schule in der Regel selbst einkauft. Für die Landeslösungen entfällt eine datenschutzrechtliche Prüfung durch die Schule, weil das Land diese bereits durchgeführt hat und entsprechende Dokumentenpakete für ein datenschutzkonformes Nutzungsszenario für Schulen in Schleswig-Holstein zur Verfügung stellt.

Für die Einzellösungen stellt das IQSH vorbereitete Dokumentenpakete zur Verfügung, die die Schule gleichfalls von den Prüfaufgaben entlasten.

Die einzelnen Dokumente müssen von den Schulleitungen bzw. von den von ihr dazu beauftragten Lehrkräften lediglich noch um schulspezifische Informationen ergänzt, den Nutzenden bekannt gegeben und anhand der enthaltenen Hinweise umgesetzt werden. Von der Schule festzulegen und zu dokumentieren sind die Vergaben bestimmter Rollen (bspw. Schuladministration, Klassenlehrkraft, Fachlehrkraft, Gast etc.), die die Berechtigungen in den IT-Verfahren ordnungsgemäß bestimmen.

Die Pflichten der Schule bei der Nutzung der Landeslösungen als sog. beteiligte Stelle sind in § 6 der Zentrale-Stellen-Schule-Verordnung (ZStSchulVO) festgelegt. Die Pflichten der Schule bei den Einzellösungen bleiben dieselben wie bei eigenständig geprüften und dokumentierten Diensten, insbesondere muss ggf. ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter geschlossen werden.

Eine Übersicht über alle datenschutzrechtlich relevanten Gesetze für Schule in Schleswig-Holstein sowie Links zu weiteren Informationsmaterialien finden Sie in diesem Glossar-Eintrag des Ministeriums.

Auf den Seiten dieses Praxisleitfadens wird immer wieder die Datenschutzgrundverordnung (DSGVO) referenziert. Wir verlinken in den Texten der Übersichtlichkeit halber eine aufbereitete Version der DSGVO. Den Originaltext finden Sie auf der offiziellen Webseite der Europäischen Union zur DSGVO.