Hinweise zur Einführung eines elektronischen Klassenbuchs (Stand: 2018-09-03)

Stand: 2018-09-03

Seit einigen Tagen ist der unten stehende Text auf der Homepage der Landesbeauftragten für den Datenschutz Niedersachsen zu finden:

Grundsätzlich ist die Einführung eines elektronischen Klassenbuchs nach § 31 Abs. 1 Niedersächsisches Schulgesetz (NSchG) möglich. Es ist darauf zu achten, dass dabei nur die Daten erhoben werden, die auch für das Klassenbuch in Papierform erforderlich sind. Da dort keine Noten eingetragen werden dürfen, ist dies auch im elektronischen Klassenbuch nicht zulässig.

Wenn sich die Schule nach der Beteiligung der entsprechenden Gremien (Gesamtkonferenz und Schulvorstand sind zu unterrichten; Schülerrat und Schulelternrat sind zu hören) entscheidet, das automatisierte Verfahren einsetzen zu wollen, muss dieses nach Art. 30 DS-GVO in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Hinweise und Muster finden Sie dazu auf meiner Homepage www.lfd.niedersachsen.de unter Datenschutzreform – DS-GVO – Verzeichnis von Verarbeitungstätigkeiten. Vor der Einführung eines elektronischen Klassenbuchs hat die Schulleitung als verantwortliche Stelle eine Risikoabwägung durchzuführen. Wird dabei ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Schülerinnen und Schüler oder der Lehrkräfte festgestellt, ist nach Art. 35 Datenschutz-Grundverordnung (DS-GVO) eine Datenschutz-Folgenabschätzung durchzuführen.

Die Folgenabschätzung enthält zumindest Folgendes:
1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung;
2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1;
4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Weitere Erläuterungen zu den einzelnen Punkten erhalten Sie in dem Kurzpapier Nr. 5 der Datenschutzkonferenz des Bundes und der Länder. Dieses finden Sie auf meiner Homepage www.lfd.niedersachsen.de unter Datenschutzreform – DS-GVO – Anwendung der DS-GVO: Kurzpapiere.

Zu beachten ist außerdem, dass die Informationen zu den einzelnen Schülerinnen und Schülern im Klassenbuch nach Art. 5 Abs. 1 lit. e DS-GVO nur so lange gespeichert werden dürfen, wie sie für den Zweck, zu dem sie gespeichert wurden, erforderlich sind. In der Regel ist dies nach Ablauf eines Jahres nach der Zeugnisausgabe nicht mehr der Fall.

Wenn die Datenverarbeitung nicht in der Schule stattfindet, sondern ein Dienstleister damit beauftragt wird, ist Art. 28 DS-GVO zu beachten. Sie müssen einen sog. Auftragsverarbeitungsvertrag abschließen. Der Dienstleister muss Ihnen mindestens offene, transparente und detaillierte Informationen über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption vorlegen, damit Sie klare Entscheidungskriterien bei der Wahl zwischen den Anbietern haben. Insbesondere ist der Ort der Datenverarbeitung anzugeben und es ist schriftlich festzulegen, ob Unterauftragsverhältnisse zugelassen sind.

Hierzu finden Sie auf meiner Homepage unter Themen – Auftragsverarbeitung nach Art. 28 DS-GVO (rechts im Downloadbereich) eine Formulierungshilfe.

Zu beachten ist ferner, dass die Eingabe der Daten in das elektronische Klassenbuch mit dienstlichen Geräten erfolgt. Der Einsatz privater mobiler IT-Systeme der Lehrkräfte wäre allenfalls verantwortbar, wenn
1. das private mobile Endgerät lediglich als Web-Endgerät genutzt wird und
2. gewährleistet wird, dass die Datenhaltung (Speicherung, Transformation, Nutzersteuerung durch Rechte-Rollen-Konzept usw.) ausschließlich auf einem gesicherten Server der Schule (oder einer beauftragten Stelle i. S. d. Art. 28 DS-GVO) und nicht lokal auf dem mobilen Gerät in einer App stattfindet.

In diesen Fällen würde die Lehrkraft ihr Gerät nur als Terminal zur Ein- und Ausgabe nutzen, die Verarbeitung der Daten fände auf dem Schulserver bzw. dem Server der beauftragten Stelle statt. Dabei ist sicherzustellen, dass die Funktionalität auf dem Endgerät keine Datenausleitungen zur Weiterverarbeitung auf dem Endgerät oder auf anderen in der Cloud befindlichen IT-Systemen zulässt.

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599

Stand: 03.09.2018

Das Dokument erhalten Sie zum Download von der Seite der Landesbeauftragten für den Datenschutz Niedersachsen:

https://www.lfd.niedersachsen.de/download/115587/Hinweise_zur_Einfuehrung_eines_elektronischen_Klassenbuchs_Stand_03.09.2018_.pdf