Diese Liste enthält Fragen und kurze Antworten rund um das Thema Datenschutz. Bei weiteren Fragen oder für ergänzende Ausführungen wenden Sie sich bitte an die zuständigen Dezernenten für Datenschutz in den jeweiligen Regionalen Landesämtern für Schule und Bildung. Stand: 01.03.2023.Regionalabteilungen.(Link zur Seite der RLSB: https://bildungsportal-niedersachsen.de/schulorganisation/datenschutz-an-schulen/dsgvo-an-schulen-und-studienseminaren/haeufige-fragen-und-antworten-zum-datenschutz)
Abkürzungen:
NDSG – Niedersächsisches Datenschutzgesetz
NSchG – Niedersächsisches Schulgesetz
DSGVO – Datenschutzgrundverordnung
I. Allgemeines:
1. Welche Vorschriften sind anzuwenden NDSG oder DSGVO?
Seit dem 25.05.2018 ist für Schulen als öffentliche Stellen die DSGVO unmittelbar anzuwenden. Ergänzt werden die Regelungen der DSGVO durch das am 16.05.2018 verabschiedete neue NDSG. Relevant sind für Schulen lediglich die Teile 1 und 3. Als bereichsspezifisches Recht findet das Niedersächsische Schulgesetz – hier insbesondere § 31 NSchG – Anwendung.
2. Müssen öffentliche Schulen eine/n Datenschutzbeauftragte/n bestellen?
Ja, dieses Erfordernis ergibt sich aus Artikel 37 Abs. 1 a) DSGVO.
Beachten Sie, dass die Kontaktdaten des/r Datenschutzbeauftragten veröffentlicht werden müssen und eine Mitteilung an die Landesbeauftragte für den Datenschutz Niedersachsen erfolgen muss, Art. 37 Abs. 7 DSGVO. Die Landesbeauftragte für den Datenschutz bietet hierfür einen Online-Service an. Das Meldeportal ist unter folgender Adresse erreichbar: nds.dsb-meldung.de
Sofern vorhanden, kann die Veröffentlichung auf der schuleigenen Homepage mittels Nutzung einer Funktionsadresse wie z.B. Datenschutz@musterschule.de erfolgen.
3. Bestehen Haftungsrisiken für den Datenschutzbeauftragten?
Für einen schulischen Datenschutzbeauftragten gelten die Grundsätze des innerbetrieblichen Schadensausgleichs. D.h. bei einer zu vertretenen Pflichtverletzung haftet er/sie grds. nur bei Vorsatz (Absicht) oder grober Fahrlässigkeit (Verletzung der im Verkehr erforderlichen Sorgfalt in besonders schwerem Maße, d.h. naheliegenste Überlegungen wurden nicht angestellt und es wurde nicht beachtet, was im gegebenen Fall jedem eingeleuchtet hätte).
4. Wer trägt die Verantwortung für die Verarbeitung von personenbezogenen Daten in der Schule?
Der Schulleiter ist für die Einhaltung der Vorschriften bezüglich der Verarbeitung personenbezogener Daten in der Schule verantwortlich (vgl. § 43 Abs. 2 Satz 2 NSchG).
5. Besteht ein Haftungsrisiko für den Verantwortlichen?
Es gelten die Ausführungen zu Frage 3.
6. Was sind personenbezogene Daten?
Das sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte „betroffene Person“) beziehen. (Beispiel: Name, Geburtsdatum, Konfession, Schulnoten, IP-Adresse). Daten gelten solange als personenbezogene Daten, wie ein Rückschluss auf eine Person möglich ist.
7. Welche personenbezogenen Daten verarbeitet eine Schule?
Die Schule verarbeitet personenbezogene Daten von Schülerinnen und Schülern, Lehrkräften (sowie anderen Beschäftigten in der Schule) und Erziehungsberechtigten.
8. Was sind besondere Kategorien personenbezogener Daten?
Besondere Kategorien personenbezogener Daten werden auch als sensible Daten bezeichnet. Dabei handelt es sich um Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht, sowie genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (vgl. Art. 9 Abs. 1 DSGVO).
9. Was versteht man unter Datenverarbeitung?
Nach Art. 4 Nr. 2 DSGVO ist Datenverarbeitung das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
10. Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?
Eine Verarbeitung von personenbezogenen Daten ist nur zulässig, wenn eine Rechtsvorschrift (z.B. § 31 NSchG) dies erlaubt oder die Betroffenen eingewilligt haben (Artikel 6 Absatz 1 a) und e) und Artikel 9 DSGVO).
11. Was ist bei einer Einwilligung zu beachten?
Art. 7 und 8 DSGVO enthalten Bedingungen für die Einwilligung. Sie muss informiert erfolgen, d.h. dem Betroffenen muss bekannt sein zu welchem Zweck sie erteilt wird und wozu die Daten genutzt werden. Des Weiteren muss ein Hinweis auf die Widerrufsmöglichkeit für die Zukunft enthalten sein und die Einwilligung muss freiwillig erfolgen. Der Betroffene soll keine Nachteile befürchten müssen, wenn er nicht einwilligt. Um die Freiwilligkeit zu gewährleisten, können dem Betroffenen Alternativen angeboten werden.
Ein Muster für eine Einwilligung finden Sie auf der Internetseite https://bildungsportal-niedersachsen.de/schulorganisation/datenschutz-an-schulen
12. Muss eine Einwilligung schriftlich erteilt werden?
Der Verantwortliche muss nachweisen, dass die betroffene Person in die Verarbeitung eingewilligt hat (Art. 7 Abs. 1 DSGVO). Dazu bietet sich die Schriftform an.
13. Gelten bereits erteilte Einwilligungen nach dem 25.05.2018 fort?
Ja, wenn die erteilten Einwilligungen den Bedingungen der DSGVO entsprechen. Ansonsten müssten die Einwilligung erneut eingeholt werden.
14. Wie oft muss eine Einwilligung eingeholt werden?
Empfehlenswert ist es, eine Einwilligung zu Beginn jedes neuen Schuljahres abzufragen.
15. Was ist das Verzeichnis von Verarbeitungstätigkeiten?
Das ist eine Aufstellung, in welcher alle Vorgänge und Prozesse, bei denen in der Schule personenbezogene Daten verarbeitet werden, erfasst werden.
16. Was muss in dieses Verzeichnis aufgenommen werden?
Es muss für jede Verarbeitungstätigkeit ein Verzeichnis nach Maßgabe des Art. 30 DSGVO angefertigt werden. Als Verarbeitungstätigkeit wird allgemein ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Die Summe der Einzelbeiträge ergibt das Verzeichnis von Verarbeitungstätigkeiten.
Befüllte Muster finden Sie hier:
17. In welcher Form muss dieses Verzeichnis geführt werden?
Es ist schriftlich zu führen. Es kann auch elektronisch geführt werden (vgl. Art. 30 DSGVO).
18. Was ist eine Datenschutz-Folgenabschätzung?
Die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) dient der Bewertung von Risiken, die (insbesondere bei der Einführung neuer Technologien) durch die Verarbeitung personenbezogener Daten entstehen und zu einer Rechtsverletzung der Betroffenen führen können.
19. Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Die Datenschutz-Folgenabschätzung ist durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DSGVO sowie ErwGr. 84, 90).
Die Datenschutzaufsichtsbehörde hat hierzu unter https://lfd.niedersachsen.de
- Datenschutzreform
- DS-GVO
- Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO
eine sogenannte Blacklist veröffentlicht.
Durchgeführt werden muss eine Datenschutz-Folgenabschätzung beispielsweise bei der Einführung eines elektronischen Klassenbuches.
20. Was ist eine Auftragsverarbeitung?
Eine datenverarbeitende öffentliche Stelle (hier: Schule) beauftragt eine andere öffentliche oder private Stelle personenbezogene Daten für sie weisungsgebunden zu verarbeiten (vgl. Art. 28 DSGVO).
Liegt Auftragsverarbeitung vor, so ist für die Übermittlung der personenbezogenen Daten von der Schule an den Auftragsverarbeiter keine Rechtsgrundlage erforderlich, denn durch die Weisungsgebundenheit bleibt die Schule die datenverarbeitende Stelle. Der Auftragsverarbeiter wird nur als „verlängerter Arm“ der Schule tätig.
Ein Bespiel für Auftragsverarbeitung ist die Nutzung von IServ.
Hat der Auftragsverabreiter einen eigenen Ermessensspielraum bei der Datenverabreitung, liegt keine Auftragsverarbeitung vor.
21. Was muss in einem Auftragsverarbeitungsvertrag festlegt werden?
Gemäß Artikel 28 Abs. 9 DSGVO bedarf es der schriftlichen Festlegung des Auftrages, der Weisungen zu technischen und organisatorischen Maßnahmen und zur Zulassung von Unterauftragsverhältnissen. Es müssen Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen sowie Rechte und Pflichten des Verantwortlichen festgelegt sein. Ein Muster finden Sie hier:
22. Wann muss die Schule den Personalrat einschalten?
Bei der Einführung neuer Technologien zur Datenverarbeitung ist auch der Personalrat gem. dem Niedersächsischen Personalvertretungsgesetz zu beteiligen (§ 67 Abs. 1 Nr. 2 NPersVG).
Der Personalrat der Schule muss der Bestellung der/des Datenschutzbeauftragten zustimmen (vgl. § 67 Abs. 1 Nr. 9 NPersVG).
23. Müssen Schulen mit Geltung der DSGVO mit Abmahnungen rechnen?
Nein, Verstöße gegen datenschutzrechtliche Vorschriften können nur dann kostenpflichtig abgemahnt werden, wenn die Parteien als Wettbewerber am Markt teilnehmen.
24. Müssen Schulen bei Datenschutzverstößen mit der Verhängung eines Bußgeldes rechnen?
Aus § 20 Absatz 5 NDSG ergibt sich, dass der Datenschutzaufsichtsbehörde die Befugnis Bußgelder zu verhängen nur zusteht, soweit diese als Unternehmen am Wettbewerb teilnehmen. Das ist bei den Schulen nicht der Fall. Insoweit ist für Schulen weiterhin nicht mit der Verhängung eines Bußgeldes zu rechnen.
25. Gilt etwas anderes, wenn die Schule eine Schülerfirma betreibt?
Nein. Eine Schülerfirma verfolgt in erster Linie pädagogische und keine wirtschaftlichen Ziele. Um unzulässige Wettbewerbsverzerrungen zu vermeiden, darf sie grundsätzlich nicht mit anderen Wirtschaftsunternehmen in Konkurrenz treten. Bereits bei der Gründung unterliegt eine Schülerfirma weder den gesetzlichen Anforderungen die an einen Wirtschaftsbetrieb gestellt werden, noch muss sie dem Kostendruck standhalten, der durch den globalisierten Markt erzeugt wird.
II. Während des Schulbetriebes:
1. Welche Daten von Schülerinnen und Schülern dürfen bei der Anmeldung erhoben werden?
Rechtsgrundlage ist § 31 NSchG. Erhoben werden dürfen die Daten, die für die Wahrnehmung der Aufgabenerledigung erforderlich sind. Erforderlich sind z.B. Name, Anschrift, Geburtsdatum, Geschlecht, Geburtsort. Es können auch Angaben auf freiwilliger Basis gemacht werden für z.B. Handynummer oder die Faxnummer. Diese Angaben müssen entsprechend als freiwillige Angaben gekennzeichnet werden. Es dürfen darüber hinaus keine sensiblen personenbezogenen Daten wie beispielsweise die ethnische Herkunft erhoben werden.
2. Welche Speicher- und Löschfristen gelten für personenbezogene Daten in Schulen?
Nach § 17 Abs. 2 NDSG a. F. bzw. Artikel 17 DSGVO sind personenbezogene Daten zu löschen oder an das zuständige Archiv abzugeben, wenn ihre Kenntnis zur Aufgabenerfüllung nicht mehr erforderlich ist; für personenbezogene Daten in Akten gilt dies ggf. nach Maßgabe der für die Aufbewahrung der gesamten Akte geltenden Vorschriften. Näheres regelt der Erlass „Aufbewahrung von Schriftgut in öffentlichen Schulen: Löschung personenbezogener Daten nach § 17 Abs. 2 NDSG“
(RdErl. d. MK v. 2.1.2012 – 11-02201/1, 05410/1.2 (Nds.MBl. Nr.3/2012 S.81; SVBl. 3/2012 S.162) – VORIS 22560 – Im Einvernehmen mit der StK und dem MI -)
Dieser Erlass findet bis zur abschließenden Ausarbeitung einer neuen Version weiterhin Anwendung.
3. Welche Daten dürfen in die Schülerakte aufgenommen werden?
Es dürfen diejenigen Daten erhoben und zur Akte genommen werden, die für die Erfüllung der Aufgaben der Schule erforderlich sind (vgl. § 31 NschG).
4. Wer darf Einsicht in die Schülerakte nehmen?
Das Recht auf Einsicht in die Schülerakte haben die minderjährigen Schülerinnen und Schüler und deren Erziehungsberechtigte. Volljährige Schülerinnen und Schüler haben selbst das Recht, ihre Schülerakte einzusehen. Die Person, welche die Schülerakte einsehen darf, kann eine andere Person, z.B. einen Rechtsanwalt, zur Einsichtnahme bevollmächtigten. Anderen Personen darf grundsätzlich keine Einsicht in die Schülerakte gewährt werden (vgl. Artikel 15 DSGVO).
5. Welche Daten dürfen bei einem Schulwechsel weitergegeben werden?
Bei einem Schulwechsel wird nicht die vollständige Schülerakte an die aufnehmende Schule übermittelt. Aus datenschutzrechtlicher Sicht dürfen lediglich die in der Schülerakte enthaltenen personenbezogenen Daten, welche für die aufnehmende Schule zur Erfüllung deren Aufgaben erforderlich sind, übermittelt werden. Dies sind in erster Linie die Schülerstammdaten und die Schullaufbahndaten. Nicht übermittelt werden dürfen Dokumentationen über Erziehungsmittel und Ordnungsmaßnahmen. Die übrigen Daten verbleiben in der Akte bei der abgebenden Schule und sind gem. den Vorgaben des Runderlasses „Aufbewahrung von Schriftgut in öffentlichen Schulen; Löschung personenbezogener Daten nach § 17 Abs. 2 NDSG“ RdErl. d. MK v. 2.1.2012 – 11-02201/1, 05410/1.2 (Nds.MBl. Nr.3/2012 S.81; SVBl. 3/2012 S.162) – VORIS 22560 – aufzubewahren und nach Ablauf der Aufbewahrungsfristen zu löschen.
6. Dürfen auch Großeltern und andere Verwandte Informationen über schulische Leistungen bekommen?
Entscheidend ist, wer erziehungsberechtigt ist, § 55 NSchG. Besonderheiten ergeben sich bei volljährigen Schülerinnen und Schülern, die das 21.Lebensjahr noch nicht vollendet haben, siehe hierzu § 55 Absatz 4 NSchG.
7. Welche personenbezogenen Daten (von Schülerinnen und Schülern) dürfen im Klassenbuch notiert werden?
Grds. sollen nur die unbedingt erforderlichen personenbezogenen Daten wie die Namen und Geburtsdaten der Schülerinnen und Schüler, Vermerke über versäumte Schulveranstaltungen, Namen und Anschriften der Erziehungsberechtigten eingetragen werden. Nicht erforderlich und damit nicht zulässig ist es dagegen, personenbezogene Daten der Schülerinnen und Schüler über Zensuren, Erziehungsmittel und Ordnungsmaßnahmen, Krankheiten und Behinderungen oder über Gutachten und Berichte zur Aufnahme oder zum Übergang in Schulen im Klassenbuch zu dokumentieren. Diese müssten gesondert dokumentiert werden.
8. Darf ein elektronisches Klassenbuch eingesetzt werden?
Ja, die Einführung ist nach § 31 Abs. 1 NSchG möglich.
9. Was muss bei der Einführung eines elektronischen Klassenbuches beachtet werden?
Erforderlich ist die Durchführung einer Datenschutz-Folgenabschätzung, Art. 35 DSGVO. Darüber hinaus muss der Einsatz des elektronischen Klassenbuches durch entsprechende Dokumentation in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden, Art. 30 DSGVO.
Ggf. ist Vertrag zur Auftragsverarbeitung abzuschließen.
10. Darf eine Lehrkraft personenbezogene Daten auf deren privaten IT-Systemen verarbeiten?
Unter Beachtung der Vorgaben aus dem Erlass „Verarbeitung personenbezogener Daten auf privaten IT-Systemen von Lehrkräften“ vom 01.01.2020 ist dies möglich. Erforderlich ist ein Antrag auf Genehmigung durch die Schulleitung, die Abgabe einer Verpflichtungserklärung sowie die Einhaltung eines bestimmten Datenrahmens.
11. Dürfen die mündlichen Noten oder Zeugnisnoten der einzelnen Schülerinnen und Schüler im Klassenverband bzw. vor der gesamten Klasse genannt oder besprochen werden?
In der Regel sollten die Noten vertraulich besprochen werden.
Eine Besprechung vor der Klasse kann zulässig sein, wenn dies aus pädagogischen Gründen notwendig erscheint. Eine solche Besprechung darf allerdings nicht dazu führen, dass sich Schülerinnen oder Schüler gedemütigt fühlen.
12. Dürfen bei Klassenarbeiten Notenspiegel und die Durchschnittsnote der Klasse bekannt gegeben werden?
Ja, solche Bekanntgaben sind datenschutzrechtlich zulässig, sofern keine Rückschlüsse auf einzelne Schülerinnen oder Schüler möglich sind.
13. Was ist bei der Anfertigung und Veröffentlichung von Fotos von Schülerinnen und Schülern zu beachten?
Es muss stets eine Einwilligung eingeholt werden.
14. Dürfen Gruppenfotos ohne Einwilligung erstellt und veröffentlicht werden?
Das Erfordernis der Einholung einer Einwilligung gilt auch für Gruppenfotos.
15. Dürfen die Namen der an der Schule tätigen Lehrkräfte auf der Homepage der Schule veröffentlicht werden?
Die Daten dürfen veröffentlicht werden, wenn die Einwilligung der Betroffenen vorliegt oder wenn der Dienstverkehr dies erfordert (vgl. § 88 NBG). Letzteres ist der Fall bei Personen, deren Tätigkeit nach außen wirkt wie z.B. Schulleiter, Fachbereichsleiter, Ansprechpartner für Projekte usw.
Ist die Veröffentlichung von einer Rechtsgrundlage gedeckt (vgl. § 88 NBG), haben die Lehrkräfte das Recht, dieser Verarbeitung nach Art 21 DSGVO zu widersprechen. Erfolgt ein Widerspruch, hat die Schule die geltend gemachten schutzwürdigen persönlichen Gründe der Lehrkraft gegen das Interesse der Schule an der Veröffentlichung abzuwägen. Falls die persönlichen Gründe der Lehrkraft überwiegen, dürfen die Daten der Lehrkraft nicht im Internet veröffentlicht werden.
16. Welche Daten von Lehrkräften dürfen auf der Homepage veröffentlicht werden?
Name, Funktion, Adresse der Schule, dienstliche Telefonnummer.
17. Dürfen Fotos von Lehrkräften ohne deren Zustimmung (auf der Homepage) veröffentlicht werden?
Nein, hierfür gibt es kein dienstliches Erfordernis. Hierfür bedarf es der Einwilligung der Lehrkräfte.
18. Dürfen Vertretungspläne auf der Homepage veröffentlicht werden?
Ja, allerdings ist dabei darauf zu achten, dass die Angabe von personenbezogenen Daten vermieden wird, da diese grds. nicht erforderlich sind. Gemeinhin reichen Angaben darüber, dass es einen Unterrichtsausfall gibt oder dass ein anderes Fach unterrichtet wird, aus. Unter keinen Umständen darf der Vertretungsgrund, wie z.B. Urlaub oder Krankheit, angegeben werden. Diese Angaben sind vertraulich zu behandeln (vgl. § 12 Abs. 1 NDSG – § 50 Satz 3 BeamtStG, §§ 88 ff. NBG).
19. Ist eine Videoüberwachung an einer öffentlichen Schule zulässig?
Während der Schulzeiten ist eine Videoüberwachung öffentlich-zugänglicher Bereiche grundsätzlich ausgeschlossen, da sie einen schwerwiegenden Eingriff in die Persönlichkeitsrechte der Schülerinnen, Schüler, Lehrkräfte und weiterer an der Schule tätigen Personen darstellt. Diese können sich der Überwachung nicht entziehen, da sie verpflichtet sind die Schule aufzusuchen, bzw. sich in ihr aufzuhalten. Ausgenommen sein kann im Einzelfall eine Überwachung der Fahrradständer und des Parkplatzes, da die Möglichkeit der Nutzung freiwillig ist und der Aufenthalt auf einen kurzen Zeitraum beschränkt ist. Außerhalb der Schulzeiten sind Schulen grundsätzlich nicht dazu bestimmt von einem unbestimmten Personenkreis betreten und genutzt zu werden, sodass es sich nicht um einen öffentlich-zugänglichen Bereich handelt. Anders verhält es sich, sofern die Räume oder Flächen für die Öffentlichkeit zur Verfügung gestellt werden, z.B. Nutzung der Sporthalle durch Vereine, Nutzung der Aula für Konzerte, Nutzung der Klassenräume für Volkshochschulkurse. Eine Videoüberwachung ist in solchen Fällen nur zulässig, soweit sie zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der von der Videoüberwachung betroffenen Person überwiegen, § 14 Abs. 1 Satz 1 NDSG.
III. Personaldatenschutz in der Schule
1. Dürfen Personalnebenakten für die Lehrkräfte in den Schulen geführt werden?
Ja, dies ist zulässig, weil neben der Schule auch die RLSB für Lehrkräfte zuständig sind. In der Personalnebenakte dürfen sich nur solche Unterlagen befinden, deren Kenntnis zur Aufgabenerledigung der Schule erforderlich sind.
2. Was ist bei der Aufbewahrung von Personalnebenakten in den Schulen zu beachten?
Personalnebenakten sind in den Schulen vertraulich zu behandeln. Sie sind insbesondere vor Einsichtnahme durch unbefugte Personen zu schützen. Daher sind die Aktenschränke, in denen sie gelagert werden bei Abwesenheit des Bearbeiters zu verschließen. Unterlagen, die Personaldaten enthalten, sind dem Aktenvernichter zuzuführen.
3. Wer darf Einsicht in Personal(neben)akten nehmen?
Einsicht nehmen darf in erster Linie der Bedienstete selbst. Außerdem ist Bevollmächtigten der Bediensteten, z.B. Rechtsanwälten, Einsicht zu gewähren. Soweit dienstliche Gründe nicht entgegenstehen, können bei der Einsichtnahme Auszüge, Abschriften, Ablichtungen oder Ausdrucke gefertigt werden.
4. Wer darf Zugang zu Personalakten haben?
Zugang zur Personalakte und Personalnebenakte dürfen nur Bedienstete haben, die von der zuständigen Stelle mit der Bearbeitung von Personalangelegenheiten beauftragt sind. In den Schulen sind dies neben der Schulleitung lediglich Verwaltungsmitarbeiterinnen und -mitarbeiter.
5. Dürfen Krankmeldungen, Listen über Minus- oder Plusstunden im Lehrerzimmer ausgehängt werden?
Nein, solche Angaben sind unzulässig, da sie für die Kollegen nicht erforderlich sind.
Insbesondere Angaben über Krankheiten sind vertraulich zu behandeln (vgl. § 12 Abs. 1 NDSG – § 50 Satz 3 BeamtStG, §§ 88 ff. NBG).
IV. Weitergabe von Daten außerhalb der Schule
1. Darf die Schule Adresslisten von Schulklassen an Dritte weitergeben?
Nein, nur wenn eine Einwilligung der Betroffenen vorliegt.
2. Darf die Schule Eltern private Adressdaten von Lehrkräften zur Verfügung stellen?
Nein, es handelt sich dabei um sog. Personalaktendaten. Diese dürfen nur mit Einwilligung rausgegeben werden (vgl. § 12 Abs. 1 NDSG, § 92 Abs. 3 NBG). Eine Kontaktaufnahme ist über das Schulsekretariat möglich.
3. Dürfen Namenslisten und Fotos an Zeitungen gegeben werden?
Nein, nur wenn eine Einwilligung aller Betroffenen vorliegt.
4. Dürfen personenbezogene Daten der Schülerinnen und Schüler und ihrer Erziehungsberechtigten an Gesundheitsämter übermittelt werden?
Grundsätzlich ist dies zulässig, wenn eine Rechtsgrundlage hierfür vorliegt. Für die Schuleingangsuntersuchung ergibt sich dies aus § 31 Abs. 2 S. 1 Nr. 1 NSchG.
5. Dürfen Schulen und ihre Fördervereine zusammenarbeiten, indem sie personenbezogene Daten austauschen?
Eine gesetzliche Ermächtigung ist hierfür nicht vorgesehen. Sollen Erziehungsberechtigte also z.B. als Fördermitglied gewonnen und dafür die Daten der Erziehungsberechtigten an den Förderverein übermittelt werden, ist diese Datenweitergabe nur mit einer Einwilligung zulässig.
Hinweis: Die jeweiligen Fördervereine müssen sich in eigener Zuständigkeit um die Einhaltung der datenschutzrechtlichen Vorgaben (für Vereine) bemühen. Dafür ist nicht die Schule zuständig.
Auf der Internetseite der Landesbeauftragten für Datenschutz finden Vereine Informationen zum Datenschutz (Themen > Vereine).
V. Socialmedia
1. Dürfen Lehrkräfte Facebook zur Kommunikation mit Schülern nutzen?
Es ist davon abzuraten, Facebook zur Kommunikation mit Schülern zu nutzen. Aus den Nutzungsbedingungen von Facebook ergibt sich, dass personenbezogene Daten der Schüler auf Servern von Facebook verarbeitet werden, auf welche die Schule keinen Zugriff hat. Zum besteht das Risiko, dass bei der Kommunikation dienstliche und private Belange vermischt werden. Eine enge private Verbindung zwischen Lehrkräften und Schülern ist nicht angezeigt.
2. Dürfen Messenger, wie z.B. WhatsApp, für die Kommunikation mit Schülern oder Eltern eingesetzt werden?
Die Nutzung von WhatsApp für die schulische Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern ist datenschutzrechtlich unzulässig. Lehrkräfte dürfen sich insoweit auch nicht an WhatsApp-Gruppen von Schülerinnen und Schülern und Eltern beteiligen.
Es wird empfohlen die Kommunikation mit Schülerinnen und Schülern und Eltern über eine schulische E-Mail-Adresse abzuwickeln.
VI. Homepage
1. Was ist grundsätzlich bei einer Schulhomepage zu beachten?
Die Homepage muss ein Impressum (§ 5 TMG) und eine Datenschutzerklärung zur Erfüllung der Informationspflichten gemäß Art. 13 DSGVO enthalten (s. auch das Merkblatt der LfD Niedersachsen mit dem Titel „Informationen für Betreiber von Webseiten zur Anpassung an die Vorgaben der Datenschutz-Grundverordnung ab dem 25.05.2018“). Bei der Einstellung von Fotos von Schülerinnen und Schülern und/oder Lehrerinnen und Lehrern ist die vorherige Einholung einer Einwilligung erforderlich. Bei der Veröffentlichung fremden Inhalts ist eine Beachtung urheberrechtlicher Regelungen zwingend erforderlich.
2. Was sind Cookies?
Cookies sind kleine Textdateien, die auf Veranlassung des Anbieters einer Internetseite durch den Browser des Nutzers auf dessen Rechner gespeichert werden und eine Individualisierung des Nutzers ermöglichen.
3. Wozu dienen Cookies?
Cookies dienen dazu, Informationen auf dem Rechner des Nutzes zu speichern und dem Server des Anbieters der Internetseite, die Möglichkeit zu geben, bei Bedarf auf diese Informationen zuzugreifen. Diese Informationsübermittlung kann zur Verbesserung der Nutzbarkeit der Internetseite, aber auch zur der Auswertung der Nutzung der Internetseite durch den Besucher dienen.
4. Was ist Google Analytics?
Google Analytics ist ein von dem Unternehmen Google Inc. angebotenes sog. Tracking Tool, das Betreiber von Internetseiten in ihre Webseite implementieren können, um die Dienstleistung in Anspruch zu nehmen. „Tracking“ meint Nachverfolgung des individuellen Verhaltens des Nutzers der Internetseite, das z.B. durch Cookies technisch umgesetzt und ermöglicht wird. Die Cookies werden von Google gesetzt und verwendet, um das Nutzungsverhalten einer Internetseite zu analysieren und das Analyseergebnis dem Betreiber der Internetseite zur Verfügung zu stellen.
5. Wann kann Google Analytics datenschutzkonform eingesetzt werden?
Wenn vor seinem Einsatz eine wirksame Einwilligung der Nutzer und die Zertifizierung von Google nach dem EU-US Privacy Shield vorliegen. Dabei ist darauf zu achten, dass die für den Einsatz notwendigen Cookies erst und nur dann gesetzt werden, nachdem die Einwilligung tatsächlich abgegeben worden ist. Ferner ist zu gewährleisten, dass die Nutzung der Internetseite auch möglich ist, ohne dass Cookies von Google Analytics gesetzt werden.
6. Was sind Google Fonts und wie sind sie aus datenschutzrechtlicher Sicht zu beurteilen?
Google Fonts sind Schriftarten, die Google Betreibern von Internetseiten zur Verfügung stellt, um die Internetseite für den Nutzer ansprechender zu gestalten. Der Abruf dieser Schriftarten kann sowohl von dem Server des Betreibers der Internetseite als auch von einem Server von Google erfolgen. Im ersten Fall wird die IP-Adresse des Nutzers nur an den Betreiber der Internetseite übertragen. Im zweiten Fall. erfolgt eine Übermittlung der IP-Adresse des Nutzers an Google. Aus datenschutzrechtlicher Sicht ist die Variante zu wählen, bei der keine Übertragung personenbezogener Daten der Nutzer der Internetseite an Google erfolgt.
7. Wie haben Schulen damit umzugehen?
Wenn die Einwilligung technisch nicht den Vorgaben entsprechend umgesetzt werden kann, sollte grundsätzlich auf den Einsatz von Cookies, die einwilligungsbedürftig sind, verzichtet werden.
Für die technische Umsetzung der Einwilligung müsste auf die Schulträger verwiesen werden.