Logo Bildungsland NRW - Bildungsportal
Symbolbild: Grafische Darstellung geschlossener Vorhängeschlösser vor einem Foto tippender Hände auf einer Laptoptastatur.

Fragen und Antworten zum Datenschutz

Hier finden Sie weitere Informationen zum Datenschutz im Schulbereich.

Schulhomepage

Beim Betrieb einer Homepage sind u. a. die Vorgaben gem. § 5 Telemediengesetz (Impressumspflicht) einzuhalten sowie die Informationsrechte der Betroffenen zu wahren, die in der Datenschutzerklärung erfüllt werden. Bei Daten mit Personenbezug ist zu beachten, dass eine Veröffentlichung nur auf Grundlage einer Einwilligung erfolgen kann. Anderes gilt nur, wenn entsprechende Veröffentlichungspflichten bestehen (z. B. Name der/des Datenverantwortlichen, Art. 13 Abs. 1 a) DSGVO; Geschäftsverteilungspläne/Organigramme mit Namen der Beschäftigten gem. § 12 IFG, siehe unten). 

Es ist zudem sicherzustellen, dass eine technische Pflege der Schulhomepage gewährleistet wird. Beispielsweise sollte das System, mit dem die Schulhomepage betrieben wird (meist ein Content-Management-System), regelmäßig mit Sicherheitsupdates versorgt werden.

Ein Muster einer Datenschutzerklärung wird hier als ausfüllbares Word-Dokument zur Verfügung gestellt.

Zu den zu veröffentlichenden Kontaktdaten der bzw. des Datenschutzbeauftragten gehören mindestens folgende Informationen: dienstliche Adresse, Telefonnummer und E-Mail-Adresse (vgl. o. g. Muster-Datenschutzerklärung). Artikel 37 Abs. 7 DSGVO gibt nicht vor, dass auch der Name der oder des Datenschutzbeauftragten zu den zu veröffentlichenden Daten gehört. Empfohlen wird, zumindest für die Beschäftigten auch den Namen zugänglich zu machen.

Die Namen von Beschäftigten zu veröffentlichen, ist zulässig, weil die DSGVO den Mitgliedsstaaten nationale Regelungsmöglichkeiten eröffnet. Indem öffentliche Stellen gemäß § 12 des Informationsfreiheitsgesetzes NRW (IFG) verpflichtet sind, unter anderem Organigramme und Geschäftsverteilungspläne (soweit vorhanden) zu veröffentlichen, beinhaltet dies die gesetzliche Ermächtigung, Namen von Mitarbeitenden bzw. Lehrkräften auf der Homepage anzugeben.           

Namen von Schülerinnen, Schülern und Eltern dagegen dürfen nur auf Grundlage der Einwilligung der Betroffenen veröffentlicht werden. Diese ist mit Wirkung für die Zukunft widerrufbar. 

Einwilligungen sind insbesondere auch erforderlich für das Einstellen von Fotos und Videos, in denen Schülerinnen und Schüler, Eltern aber auch Lehrkräfte oder andere Personen aus dem Schulleben abgebildet sind.

Die Bedingungen für eine Einwilligung nach der DSGVO finden Sie weiter unten in dieser FAQ-Liste unter: "Erfordernis der Einwilligung zu bestimmten Datenverarbeitungen". Dabei ist jedoch zu berücksichtigen, dass rechtswirksame Einwilligungen im schulischen Bereich nur in engen Grenzen möglich sind: 

Es muss insbesondere ausgeschlossen werden können, dass eine Einwilligung infolge einer sozialen Gruppen-/Drucksituation erteilt wurde oder aufgrund eines empfundenen Zwanges, weil sonst Nachteile im bestehenden Schulverhältnis bzw. Arbeits-/ Dienstverhältnis befürchtet würden.

Daher ist es beispielsweise nicht zulässig, über die Schulhomepage Videos zu veröffentlichen, die als Unterrichtsinhalt erarbeitet wurden und personenbezogene Daten der Mitwirkenden enthalten.

Für die Veröffentlichung von Fotos auf der Homepage ist es grundsätzlich nicht möglich, eine einmal erteilte Einwilligung dauerhaft gelten zu lassen. Dies ist allenfalls denkbar, wenn eindeutig wäre, um welche Fotos es sich handelt, wie z.B. ein Klassenfoto, das jeweils zu Schuljahresbeginn zentral in der Schule gemacht wird und das die  Eltern / Betroffenen vor Veröffentlichung gesehen haben.

Nicht ausreichend ist es somit, dass Eltern bei der Einschulung eine „General“-Einwilligung für Fotos für die Dauer des Schulbesuchs abgeben, ohne zu wissen, welches Foto ihres Kindes konkret veröffentlicht wird.  

Hinweise zur Veröffentlichung von Fotos finden Sie auch in einer Veröffentlichung der LDI zu Bildaufnahmen in der Schule.

Ausnahmsweise ohne Einwilligung der Betroffenen wäre die Veröffentlichung von Fotos oder Videos mit Personen zulässig, sofern diese lediglich als sog. Beiwerk abgebildet sind (§ 23 Abs. 1 KunstUrhG).

Personen sind „Beiwerk“ eines Fotos, wenn die Personendarstellung für das eigentliche Bildmotiv nicht wesentlich ist. Dies ist dann der Fall, wenn sich die Gesamtwirkung des Bildes nicht verändert, sofern die Personen weggelassen oder ausgetauscht würden.  

Personen können beispielsweise ein „Beiwerk“ darstellen, wenn zu Zwecken der Öffentlichkeitsarbeit auf der Schulhomepage ein Foto einer Schule oder ein Video mit einem Schwenk über das Schulgelände eingestellt wird und darauf zufällig anwesende Schüler und Schülerinnen beiläufig erfasst sind, diese also nicht zentral positioniert und absichtlich präsentiert werden.

Folglich ist bei Bildern oder Filmen, in denen z.B. Schülerinnen und Schüler oder Lehrkräfte abgebildet sind, vor Veröffentlichung in jedem Einzelfall aus objektiver Sicht zu prüfen, ob deren Darstellung als „unwesentlich“ im o.g. Sinne zu bewerten ist.

Zum Bereitstellen von Informationen werden online-basierte Plattformen, wie z.B. Facebook, Instragram, Twitter und TikTok, breit genutzt. Wenn öffentliche Stellen auf ihren Homepages soziale Netzwerke als Medium der Öffentlichkeitsarbeit nutzen, sind datenschutzrechtliche Anforderungen zu beachten.

 

1. Schutz der Nutzenden dieses Angebots

Wenn auf der Schulhomepage ein soziales Netzwerk angeboten wird, werden Daten derjenigen, die das Angebot nutzen, nicht nur beim Betreiber der Schulhomepage verarbeitet – sondern unvermeidlich auch bei den Betreibern dieser öffentlichen Plattformen.

Das hat datenschutzrechtliche Folgen: Nach der Rechtsprechung des EuGH und des BVerwG sind Betreiber der Homepage und Betreiber des sozialen Netzwerkes gemeinsam für die Verarbeitung der personenbezogenen Daten verantwortlich. 

Dadurch, dass die Schule die sozialen Netzwerke einsetzt, werden erst entsprechende Nutzerdaten erzeugt, die vom Plattformbetreiber weiterverarbeitet werden. Über diese eigenverantwortliche Nutzung sind die Nutzenden aufzuklären. Problematisch dabei ist, dass schulische Homepages auch von Kindern und Jugendlichen genutzt werden, die die Tragweite der weiteren Datenverarbeitungen ggf. nicht überblicken. 

Die Schulen trifft insoweit eine besondere Verantwortung, vor allem die Informationspflicht darüber, welche Nutzerdaten abgerufen werden und wie diese von den Plattformbetreibern weiterverarbeitet werden.

Gerade das Erfüllen dieser Informationspflichten aber kann problematisch sein, wenn der Schule selbst nicht hinreichende Informationen über die weiteren Verarbeitungen durch den Plattformbetreiber vorliegen. Klare und vollständige Informationen sind jedoch erforderlich, damit in die Verarbeitung der Nutzerdaten rechtswirksam eingewilligt werden kann (§ 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz - TDDDG).

Mindestens sind daher die Datenschutzinformationen des Plattformbetreibers zu verlinken – aber auch auf dessen evtl. problematische Datenverarbeitungen hinzuweisen, z.B. dass Cookies gesetzt sind, mit denen das Nutzerverhalten erfasst und Nutzerprofile angelegt werden könnten, die für Werbezwecke genutzt werden. 

Die Schule muss zudem sicherstellen, dass die über ein Soziales Netzwerk zur Verfügung gestellten Informationen auch anderweitig für interessierte Personen zugänglich sind, z.B. über die übliche schulische Homepage. Denn es darf keinesfalls mittelbar ein Zwang erzeugt werden, Soziale Netzwerke nutzen und somit die eigenen Nutzerdaten preisgeben zu müssen, nur um bestimmte schulische Informationen überhaupt erhalten zu können. 

Für nähere Einzelheiten wird ergänzend auf die Veröffentlichung der LDI NRW sowie die Richtlinie der LfDI Baden-Württemberg verwiesen.

Bei Bedarf kann die bzw. der schulische Datenschutzbeauftragte oder die zuständige Schulaufsichtsbehörde beraten.

 

2. Inhalt des Angebots

Zudem ist vor allem zu beachten, dass keine datenschutzrechtlich unzulässigen Inhalte und Materialien über die Sozialen Netzwerke verbreitet werden.             

Genutzt werden könnten solche Plattformen für Informationen über die Schule und das Schulleben, d.h., Daten und Fakten, Schulprofil, Hinweise auf Veranstaltungen, u.ä.  

Es dürfen seitens der Schule jedoch grundsätzlich keine personenbezogenen Daten der Schülerinnen und Schüler sowie der Beschäftigten eingestellt werden.     

Ausnahmen wären allenfalls mit Einwilligung der Betroffenen möglich. Dabei sind jedoch die engen Grenzen zu beachten, die rechtswirksamen Einwilligungen im schulischen Bereich gesetzt sind.        

Auf die vorstehenden Ausführungen unter dem Reiter zum Einstellen von Fotos, Videos etc. wird insoweit ausdrücklich verwiesen. Auch werden dort Hinweise gegeben zum Sonderfall der Personen als sog. Beiwerk auf Fotos oder in Videos.      

 

Fragen zur Umsetzung des Datenschutzrechts an Schulen

In welchen Fällen ist eine Einwilligung zur Datenverarbeitung erforderlich und was muss diese enthalten?

Immer dann, wenn eine bestimmte Verarbeitung von Schüler- oder Lehrerdaten nicht durch eine konkrete Rechtsgrundlage gestattet ist, ist eine Einwilligung der Betroffenen erforderlich. Für den Schulbereich bestimmen §§ 120 bis 122 SchulG i.V. mit der VO-DV I und VO-DV II, welche Datenverarbeitungen zulässig sind.       

Bei minderjährigen Schülerinnen und Schülern ist in der Regel die Einwilligung der Eltern erforderlich, es sei denn, sie können aufgrund ihres Alters und Reife in der konkreten Angelegenheit selbst Bedeutung und Tragweite der Einwilligung sowie ihrer rechtlichen Folgen beurteilen und danach entscheiden (vgl. § 120 Abs. 2 Satz 5 SchulG).         

Die Bedingungen für die vorherige Einwilligung in eine Datenverarbeitung ergeben sich aus Art. 4 Nr. 11 und Art. 7 DSGVO:    

  • Die Einwilligung muss durch eine eindeutige Handlung der betroffenen Person erfolgen, mit der freiwillig und unmissverständlich erklärt wird, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Dies erfordert zwingend, dass die einwilligende Person zuvor über die beabsichtigte Datenverarbeitung ausreichend informiert wird, d.h. mindestens sind anzugeben: Verantwortliche Person, relevante Daten, Art/Prozess der Verarbeitung, Zweck, Speicherung, Löschung.
  • Der betroffenen Person dürfen keine Nachteile entstehen, wenn sie die Einwilligung verweigert. Im schulischen Bereich sind wegen des Ungleichgewichts der Beteiligten (Schulverhältnis; Schulpflicht; Leistungsbewertungen) grundsätzlich hohe Anforderungen an die Freiwilligkeit der Entscheidung zu stellen. Nach Erwägungsgrund 42 DS-GVO sollte nur dann davon ausgegangen werden, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, sich frei von sozialem Druck oder Zwang für oder gegen die in Rede stehende Verarbeitung ihrer personenbezogenen Daten zu entscheiden.
     
  • Die Erklärung kann schriftlich, mündlich oder elektronisch erfolgen. Die Erteilung der Einwilligung unterliegt grundsätzlich keinem Schriftformerfordernis. Etwas anderes gilt, wenn eine speziellere Rechtsvorschrift ein Schriftformerfordernis vorsieht. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit bedeuten noch keine Einwilligung.
     
  • Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO). Die betroffene Person muss vor Abgabe der Einwilligung auf diese Möglichkeit des Widerrufs hingewiesen werden. Der Widerruf muss auf ebenso einfache Weise ermöglicht werden wie das Erteilen der Einwilligung.
  • Dass eine wirksame Einwilligung für die Datenverarbeitung vorliegt, muss die bzw. der Verantwortliche nachweisen können. Deshalb ist die Schriftform zu empfehlen.

Generell ist zu bedenken: In den VO-DV I und VO-DV II ist spezifisch für den Schulbereich dezidiert geregelt, welche Datenverarbeitungen in Schule, Schulaufsicht etc. zulässig sind – eben ohne dass es hierfür auf eine Einwilligung der Betroffenen ankommt.

Für die grundlegenden schulischen Hauptaufgaben des Lehrens und Lernens sind Einwilligung daher nicht erforderlich. Die Erfüllung des Erziehungs- und Bildungsauftrags kann nicht von freiwilligen und jederzeit widerruflichen Einwilligungserklärungen abhängen.


Existiert ein Genehmigungsvordruck für datenschutzrechtliche Einwilligungen, z.B. zum Erstellen von Fotos in der Schule?

Da Anlässe und Verarbeitungszwecke in der Regel individuell sind, ist es nicht zweckmäßig, einen allgemeingültigen Vordruck für Einwilligungen zu entwickeln.

Die Rechtmäßigkeit der Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen ist an das Vorliegen der allgemeinen datenschutzrechtlichen Voraussetzungen, d.h. an die Einwilligung der Betroffenen, gekoppelt. Die Lehrkraft muss sicherstellen, dass Schülerinnen und Schülern, die einer Aufzeichnung nicht zustimmen, nachteilsfrei das erwartete Unterrichtsziel erreichen.

Erforderlich ist sowohl die Einwilligung der betroffenen Schülerinnen und Schüler
(§ 120 Abs. 6 SchulG) als auch die Einwilligung der Lehrkräfte (§ 121 Abs. 1 Sätze 3, 8 und 9 SchulG).

Näheres zu den Anforderungen an eine wirksame Einwilligung finden Sie oben unter "Erfordernis der Einwilligung zu bestimmten Datenverarbeitungen" in dieser FAQ-Liste.

Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen.

Schülerinnen und Schüler, die ihre eigenen Geräte einsetzen, sind im Rahmen der Medienkompetenzbildung bzgl. der Rechte, Pflichten und Konsequenzen zu sensibilisieren, z. B. Fotos nicht ungefragt in sozialen Netzwerken zu posten.

Fotos von Schülerinnen, Schülern, Eltern und Lehrkräften dürfen nur auf Grundlage der Einwilligung der Betroffenen abgebildet werden. Dies gilt auch für die nicht öffentliche Schulchronik.

Für die Aufnahme von Fotos in Jahrbücher ist es grundsätzlich nicht möglich, eine einmal für diesen Zweck erteilte Einwilligung dauerhaft für jedes Jahr gelten zu lassen. Dies ist allenfalls denkbar, wenn klar wäre, um welche Fotos es sich handelt, wie z.B. ein Klassenfoto, das jeweils zu Schuljahresbeginn zentral in der Schule gemacht wird und das die Eltern/Betroffenen vor Veröffentlichung gesehen haben.

Nicht ausreichend ist, dass Eltern bei der Einschulung eine „General“-Einwilligung für mehrere Schuljahre abgeben, ohne zu wissen, welches Foto ihres Kindes konkret veröffentlicht wird.

Bei Schulveranstaltungen, wie Einschulung, Abschlussfeiern, Schulfesten, u. ä, möchten Eltern häufig Fotos von ihren Kindern machen oder auch Schülerinnen und Schüler sich untereinander fotografieren.

Zwar sind die Schulleitungen und Lehrkräfte nach datenschutzrechtlichen Maßgaben nicht dafür verantwortlich, ob und welche Fotos von Eltern oder Schülerinnen und Schülern privat erstellt werden und wie damit umgegangen wird.

Problematisch ist es jedoch, wenn solche Fotos in soziale Netzwerke eingestellt werden und auf ihnen auch fremde Kinder identifizierbar zu erkennen sind. Denn die Persönlichkeitsrechte jedes Einzelnen sind regelmäßig verletzt, wenn Bilder ohne Einwilligung der betroffenen Person veröffentlicht werden (vgl. § 22 Satz 1 Kunsturhebergesetz).    

Zweckmäßig wäre es daher, wenn die Schulleitungen anlässlich von Schulveranstaltungen die Eltern vorher für dieses Thema sensibilisieren.

Daneben steht es einer Schulleitung frei, darüber zu entscheiden, ob sie bei einzelnen Schulveranstaltungen auf Grundlage ihres Hausrechts gemäß § 59 Abs. 2 Nr. 6 SchulG das Fotografieren einschränken oder gar gänzlich versagen möchte, falls sie dies zum Schutz der Persönlichkeitsrechte insbesondere der Schülerinnen und Schüler für erforderlich hielte.

In § 1 Abs. 1 Satz 2 VO-DV I ist klargestellt, dass die Verarbeitung von Schülerdaten soweit erforderlich auch bei schulischen Aufgaben erfolgen kann, die außerhalb der Schulgebäude wahrgenommen werden. Bei der Verarbeitung personenbezogener Daten im häuslichen Umfeld sind die Vorgaben zum Datenschutz und der Datensicherheit zu beachten. Insbesondere muss sichergestellt sein, dass Dokumente mit Schülerdaten unberechtigten Personen nicht zugänglich sind. Zur digitalen Verarbeitung auf Privatgeräten wird auf obige Hinweise unter "Datenverarbeitung auf privaten digitalen Geräten der Lehrkräfte" verwiesen.

In § 120 Abs.1 SchulG ist festgelegt, dass in der Schule personenbezogene Daten nur denjenigen Personen zugänglich gemacht werden dürfen, die sie zur Erfüllung ihrer Aufgaben benötigen.

Damit hat sich der Gesetzgeber bewusst dafür entschieden, den Kreis der Berechtigten nicht abschließend aufzuzählen, sondern die Zugänglichkeit der personenbezogenen Daten allein von der Aufgabenerfüllung abhängig zu machen.

Zu dem grundsätzlich berechtigten Personenkreis zählen sicherlich die Lehrerinnen und Lehrer nach § 57 SchulG und das sonstige im Landesdienst stehende pädagogische und sozialpädagogische Personal nach § 58 SchulG. Darüber hinaus gibt es im System Schule aber noch weitere Personen, die personenbezogene Daten von Schülerinnen und Schüler zur Aufgabenerfüllung benötigen können. Ohne Anspruch auf Vollständigkeit seien genannt:

Personal im Schulsekretariat, Schulverwaltungsassistenz, Integrationshelferinnen und -helfer, Hausmeister, Eltern, die sich gemäß § 44 Abs. 3 SchulG in der Schule engagieren, Schülerinnen, Schüler und Eltern, die in Mitwirkungsgremien gem. §§ 62 ff SchulG tätig sind.

Ebenso ist es im Rahmen der Aufgabenerfüllung zulässig, den Mitarbeiterinnen und Mitarbeitern der Multiprofessionellen Teams (vgl. Rd. Erl. BASS 21-13 Nr. 9) eine Liste mit den Namen der Schülerinnen und Schüler, die sie zu betreuen haben, auszuhändigen. 

Daneben darf auch Personal, das im Ganztagsangebot eingesetzt wird (vgl. Nr. 7 des Rd. Erl. zum Ganztagsangebot – BASS 12-63 Nr. 2), Schüler- und Elterndaten erhalten. Denn Ganztagsangebote auch außerschulischer Träger gelten als schulische Veranstaltung. Entsprechend dürfen den Mitarbeiterinnen und Mitarbeitern des Ganztags diejenigen Daten zugänglich gemacht werden, die diese zur Erfüllung der Angebote des Ganztags benötigen.

Dabei gilt für sämtliche vorgenannten gem. § 120 Abs. 1 SchulG berechtigten Personen, dass ihnen nur diejenigen Daten und nur in dem Umfang zur Verfügung gestellt werden dürfen, soweit dies zu deren konkreten Aufgabenerfüllung tatsächlich erforderlich ist (Grundsätze der Erforderlichkeit und Datensparsamkeit).

Zum Umgang mit Datenschutzverletzungen bestehen Vorgaben gemäß Art. 33 und 34 DSGVO. Hinweise hierzu finden sich weiter unten in dieser FAQ-Liste unter "DSGVO: Meldung von Datenschutzverletzungen".

 

 

Schülerinnen und Schüler sind berechtigt, bei Bedarf Einsicht in die sie betreffenden Unterlagen zu nehmen und Auskunft über die sie betreffenden Daten zu erhalten
(§ 120 Abs. 9 SchulG). Dies beinhaltet auch das Recht, Kopien zu erhalten. Nach Art. 15 Abs. 3 DSGVO ist eine Kopie unentgeltlich zur Verfügung zu stellen. Diese Vorgabe der höherrangigen DSGVO gilt unmittelbar.

Entsprechendes gilt z. B. für Abschlussklausuren ehemaliger Schülerinnen und Schüler oder für die in der Schule aufbewahrten Zweitschriften von Abgangs- und Abschlusszeugnissen. Auch hier gilt: Eine Kopie ist unentgeltlich zur Verfügung zu stellen, Auslagen können nur weitere Kopien verlangt werden. Dieses Recht wird nur auf Antrag Einzelner gewährt; selbstverständlich muss die Schule nicht von Amts wegen für den gesamten Abschlussjahrgang Kopien erstellen.

Weitere Hinweise zu Abschlussarbeiten/-klausuren etc. finden Sie hier unter dem Stichwort "Notengebung, Zeugnisse, Versetzung“:  „Wann kann ich meine schriftlichen Abschlussarbeiten/-klausuren (z. B. der Zentralen Prüfungen 10 oder die Abiturklausuren) einsehen oder diese zurückbekommen?“

Die Erhebung und sonstige Verarbeitung (z.B. Übermittlung) personenbezogener Daten wie Name, Anschrift und Telefonnummer von Eltern durch die Schule ist insoweit zulässig, als es zur Erfüllung der der Schule durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist (§ 120 Abs. 1 S. 1 SchulG).

Zu den Aufgaben der Schule gehört es auch, zu gewährleisten, dass Eltern durch ihre Vertretungen auf unterschiedlichen Ebenen an der Gestaltung des Schulwesens zum Beispiel in der Klassen- und Schulpflegschaft mitwirken können (§§ 62, 72 Abs. 2 und 4, 73 SchulG).

Für eine datenschutzrechtliche Prüfung der Arbeit der Gremien ist relevant, welche Aufgaben ein Gremium konkret hat und inwieweit dazu die Verarbeitung von Schüler-/Elterndaten tatsächlich notwendig ist.

  1. Danach dürfen den Klassenpflegschaften und den Schulpflegschaften die Kontaktdaten aller Eltern einer Klasse, Stufe oder Schule prinzipiell nicht durch die Schule zur Verfügung gestellt werden. Die Kenntnis dieser Daten wäre zur Erfüllung ihrer Funktion zwar dienlich und nützlich, sie sind zur Erfüllung der Aufgaben aber nicht erforderlich. Die Einladungen zu den Sitzungen oder zu ähnlichen Veranstaltungen können durch die Schule weitergeleitet werden, indem die Klassenleitung die Einladungsschreiben über die Kinder an die Eltern ausgibt. Insoweit ist die Schule verpflichtet, die Mitwirkungsgremien wirksam zu unterstützen. Im Übrigen ist es z.B. Klassenpflegschaftsvorsitzenden unbenommen, die Eltern bei der konstitutiven Sitzung oder bei einem anderen Elternabend um ihre Einwilligung zur Aufnahme ihrer Kontaktdaten in eine Klassenliste zum Zwecke der Kontaktpflege untereinander zu bitten. Abwesende Eltern können wiederum über die Klassenleitung, wie oben beschrieben, um ihre Einwilligung gebeten werden.
  2. Anders zu beurteilen ist dagegen die Weitergabe der Namen, Anschriften und Telefonnummern nur der Klassenpflegschaftsvorsitzenden, Jahrgangsstufen-vertretungen und deren Stellvertretungen an die Schulpflegschaftsvorsitzenden und deren Stellvertretungen. Diese Mitglieder der Schulpflegschaft sind ehrenamtliche Funktionsträger der Schule, die sich zur Übernahme ihrer besonderen Aufgaben in ihr Amt haben wählen lassen. Zur Erfüllung dieser Aufgaben kann es erforderlich werden, dass die oder der Vorsitzende kurzfristig Kontakt zu Mitgliedern der Schulpflegschaft aufnehmen muss, um z. B. Termine abzustimmen oder Besprechungsinhalte zu koordinieren. Aus datenschutzrechtlicher Sicht ist es daher hinnehmbar, wenn die Schule die relevanten Daten der Klassenpflegschaftsvorsitzenden, Jahrgangsstufenvertretungen und ggf. Vertretungen ohne Einwilligung der Betroffenen an die Schulpflegschaftsvorsitzenden/Stellvertretungen weiterleitet. Die Daten dürfen nur für die Zwecke des Schulpflegschaftsamtes verwendet werden und sind vertraulich zu behandeln.      

Mit dem 16. Schulrechtsänderungsgesetz (vom 08.03.2022) wurde im schulischen Datenschutzrecht die ausdrückliche gesetzliche Rechtsgrundlage für die Nutzung von Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen in digitaler Form geschaffen (§ 120 Abs. 5 und § 121 Abs. 1 Satz 2 SchulG). Dies schließt alle Systeme sowie Plattformen im Sinne des § 8 Absatz 2 SchulG ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.

Von der Regelung umfasst ist somit auch ein mittels eines Videokonferenzsystems durchgeführter Unterricht. Ebenso besteht die Möglichkeit, Schülerinnen und Schüler, die nicht an Präsenzunterricht teilnehmen können (z.B. Quarantäne, Wechsel von Präsenz- und Distanzphasen, Krankheit etc.) am Unterricht vor Ort „zuzuschalten“ und somit am Unterricht teilhaben zu lassen.

Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist. In diesem Rahmen sind die Schülerinnen und Schüler sowie Lehrkräfte zur Nutzung der Systeme sowie bei Videokonferenzsystemen zum Einschalten von Ton und Bild verpflichtet.

Sofern freiwillig kein privates Endgerät genutzt werden kann, müssen schulische Geräte mit dienstlich zugelassenen Anwendungen verfügbar sein, denn Eltern bzw. Schülerinnen und Schüler sind schulrechtlich nicht verpflichtet, ein digitales Endgerät für den Unterricht anzuschaffen oder einzusetzen.

Die Entscheidung über die Nutzung liegt im pflichtgemäßen Ermessen der Schule. Das Nähere, insbesondere unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.  

Weitere Hinweise sind in der Veröffentlichung der LDI hier zu finden.

Datenschutzrechtlich relevant sind Inhalte, die personenbezogene Daten der Schülerinnen und Schüler oder Eltern enthalten. Derartige dienstliche Kommunikation über E-Mail kommt daher aus datenschutzrechtlicher Sicht nur über dienstliche E-Mail-Adressen und Kommunikationssysteme in Betracht, die von der Schulleitung bzw. dem Schulträger bereitgestellt wurden. Inhaltlich zulässig sind soweit erforderlich die nach VO-DV I und VO-DV II zugelassenen Daten.

Voraussetzung dafür ist allerdings, dass die Eltern bzw. die einwilligungsfähigen Schülerinnen und Schüler mit der E-Mail-Kommunikation einverstanden sind; denn die Angabe ihrer privaten E-Mail-Adresse ist nach der VO-DV I grundsätzlich freiwillig und jederzeit widerrufbar (soweit sie nicht im Einzelfall erforderlich ist). In der Schulpraxis kann das Einverständnis auch konkludent erfolgen, indem z.B. Eltern sich selber per E-Mail mit Anfragen an die Schule wenden.

Derzeit bestehen Initiativen der KMK gegenüber Microsoft unter beratender Teilnahme einiger Datenschutzaufsichtsbehörden mit dem Ziel, einen datenschutzgerechten Einsatz von MS 365 an Schulen zu erreichen. Seitens des MSB wird daher weiterhin auf die datenschutzrechtlichen Bedenken gegen die Nutzung von MS 365-Produkten hingewiesen. Das MSB empfiehlt, bei der Beschaffung und Nutzung von cloudbasierten Anwendungen auf das landesseitig zur Verfügung gestellte Angebot LOGINEO NRW für Datenspeicherung und E-Mail-Verkehr, auf LOGINEO NRW LMS als Lernmanagementsystem sowie auf LOGINEO NRW Messenger mit integrierter Videokonferenzoption zurückzugreifen. Zudem ist künftig für LOGINEO NRW die Anbindung einer Office-Komponente vorgesehen. 

Andererseits ist zu berücksichtigen, dass es sich bei der Produktfamilie MS 365 um in Wirtschaft und Verwaltung weit verbreitete Anwendungen handelt. Insofern ist zu berücksichtigen, dass der Bildungs- und Erziehungsauftrag von Schule (§ 2 SchulG) auch den Aspekt des digitalen Kompetenzerwerbs beinhaltet, um für ein Studium und für berufliche Handlungsfähigkeit in einer digitalisierten Welt zu befähigen. Zudem waren bzw. sind einzelne Anwendungen, trotz offener datenschutzrechtlicher Fragestellungen, zur Organisation und Durchführung z.B. von digital erteiltem Distanzunterricht vielfach unumgänglich. Insoweit ist die Verpflichtung leitend, den - verfassungsmäßigen - Anspruch der Kinder und Jugendlichen auf Bildung erfüllen zu können; im Kern handelt es sich also um eine Grundrechtsabwägung. Aus Sicht des MSB ist somit insgesamt ein generelles Verbot der Verwendung von MS-Produkten weiterhin derzeit nicht angezeigt

In Einzelfällen stellt sich in Schulen die Frage, ob der Einsatz sogenannter Telepräsenzroboter zulässig ist. Mit Hilfe eines solchen Produktes soll es schwerkranken Kindern ermöglicht werden, trotz ihrer Krankheit dem regulären Unterricht in ihrer Klasse folgen und daran teilnehmen zu können. Der Telepräsenzroboter wird von der erkrankten Schülerin bzw. dem erkrankten Schüler von zu Hause oder dem Krankenbett aus gesteuert; über die eingebaute Kamera und ein Mikrofon soll per Live-Stream der Präsenzunterricht übertragen werden können.

Der Einsatz solcher Telepräsenzroboter ist unter den Anwendungsbereich der digitalen Systeme gem. §§ 120 Abs. 5, 121 Abs. 1 Satz 2 SchulG zu subsumieren und unter den dort genannten Voraussetzungen datenschutzrechtlich zulässig. Weitere Informationen dazu finden Sie weiter oben unter "Dürfen Schulen digitale Lehr- und Lernsysteme, Arbeitsplattformen und Videokonferenzsysteme einsetzen und zur Nutzung verpflichten?"

Weitere Hinweise sind in der Veröffentlichung der LDI hier zu finden.

Nach Mitteilung der LDI NRW begegnet der Einsatz der Plattform „Padlet“ datenschutzrechtlichen Bedenken, soweit darin personenbezogene oder personenbeziehbare Daten verarbeitet werden. Gleiches gilt für einzelne digitale Pinnwände, die von Lehrkräften über diese Plattform erstellt werden.

Das Schulministerium empfiehlt daher, stattdessen die diversen Produkte des landesseitig zur Verfügung gestellten Angebots von LOGINEO NRW zu nutzen.

Nach Art. 35 Abs. 1 DSGVO und den Regelbeispielen in Art. 35 Abs. 3 DSGVO ist eine DSFA insbesondere bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (z. B. systematisches Profiling; kommunale Meldedaten; umfangreiche behördliche Erhebungen im Zuge der Bewilligung von Sozialleistungen).

Daher besteht für die Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke, die auf Ebene einer Einzelschule üblicherweise erfolgt, nach hiesiger Einschätzung in der Regel keine Verpflichtung der Schulleitung, eine DSFA durchzuführen. Weitere Hinweise finden sich unter "Einzelne wesentliche Regelungsbereiche der Datenschutzgrundverordnung" unter dem Stichwort "Datenschutz-Folgeabschätzung".

Videoüberwachungen von öffentlich zugänglichen Räumen, zu denen auch Schulgebäude und Schulhöfe zählen, sind nur innerhalb der engen datenschutzrechtlichen Grenzen des § 20 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) zulässig:

In Wahrnehmung des Hausrechts könnte eine Videoüberwachung in Betracht kommen, wenn sie erforderlich ist, um Personen, die sich im öffentlich zugänglichen Bereich des Schulgebäudes oder auf dem Schulgelände aufhalten, vor Gefahren für Leib und Leben zu schützen oder um erhebliche Eigentumsbeeinträchtigungen, insbesondere nach Ende des regulären Unterrichtbetriebs, zu verhindern.

Ob eine Videoüberwachung im Einzelfall erforderlich ist, muss jeder Schulträger in eigener Zuständigkeit im Dialog mit der Schule vor Ort entscheiden. Dabei ist stets die gesetzliche Regelung des § 20 DSG NRW zu beachten, wonach eine umfassende Interessenabwägung im Sinne einer Verhältnismäßigkeitsprüfung erfolgen muss. Zudem ist gemäß § 20 Abs. 2 DSG NRW auf die Videobeobachtung deutlich hinzuweisen und es sind die in dieser Vorschrift genannten Informationspflichten zu erfüllen.        

In Schulen werden teilweise zur Gebäudesicherung elektronische Schließanlagen mit Zugangskontrollsystemen betrieben. Es besteht keine rechtliche Grundlage, personenbezogene Daten von Lehrkräften zu verarbeiten, z.B. mittels Erfassen von Nutzungszeiten oder Aufschließzeiten der Räume mit Personenzuordnung.    

Zulässig ist, Schließanlagen mit Funktionalitäten zu betreiben, die eine reine Zugangskontrolle sicherstellen; dem Zweck, die Sicherheit für Personen, Anlagen und Gegenstände in Schulgebäuden zu erhöhen, ist damit gedient.

Genehmigung zur Nutzung privater digitaler Geräte

Die Schulleitung darf Lehrkräften und sonstigem sozial-/pädagogischen und schulpsychologischen Personal die Nutzung eines Privatgeräts zur Verarbeitung personenbezogener Schülerdaten grundsätzlich nur erteilen, wenn kein persönliches dienstliches Gerät zur schulischen Nutzung ausgehändigt wurde (vgl. § 2 Abs. 2 VO-DV I). Die Genehmigung und Nutzung eines Privatgeräts ist nur zulässig, soweit dies zur Erfüllung schulischer Aufgaben erforderlich ist. Dazu bedarf es einer qualifizierten Genehmigung der Schulleitung (vgl. Genehmigungsvordruck lt. Dienstanweisung ADV), in der alle rechtlichen und technischen Bedingungen verbindlich vorgegeben sind. Welche Daten überhaupt auf Privatgeräten verarbeitet werden dürfen, ist restriktiv in Anlage 3 der VO-DV I enumerativ festgelegt.        

Nur in Ausnahmefällen darf die Nutzung eines Privatgeräts genehmigt werden, obwohl ein persönliches dienstliches Gerät verfügbar ist.

Sind einschränkende Anmerkungen im Antrag zulässig?     

Anpassungen des Genehmigungsvordrucks durch einschränkende Anmerkungen von Beschäftigten, z. B. in Bezug auf die verfügbare Sicherheitssoftware des individuell verwendeten Gerätes oder weitergehende Konkretisierungen der Schulleitung, sind durchaus zulässig. Es liegt jedoch in der Verantwortung der Schulleitung, ob sie die Genehmigung auf Basis der Änderungen erteilt, denn das Mindestmaß an notwendigen Maßnahmen zum Datenschutz darf nicht unterschritten werden. Dabei sollte sie sich von der bzw. dem zuständigen behördlichen Datenschutzbeauftragten beraten lassen.

Zu welchem Zweck wird die Seriennummer der Hardware auf dem Genehmigungsvordruck abgefragt?

Die Seriennummer dient der Identifizierung eines genehmigten Gerätes und somit dem Nachweis, dass auf diesem Gerät personenbezogene Schülerdaten verarbeitet werden dürfen. Die Angabe kann zudem hilfreich sein, wenn z.B. über einen Schadensersatzanspruch bei Beschädigung eines Gerätes zu entscheiden ist.

Sind Tablets und Handys generell unsicher? Welches sichere Gerät darf ich für die Arbeit mit Schülerdaten benutzen?

Zwar sind Tablets oder Handys nicht grundsätzlich unsicherer als Notebooks oder stationäre Desktop-PC. Es können jedoch nur Geräte eingesetzt werden, bei denen die nach § 2 Abs. 2 VO-DV I geforderten und in der Genehmigung benannten Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden können. Wichtig ist bei allen Geräten und Betriebssystemen die Pflege und Wartung der verwendeten Software. Beim häuslichen Einsatz von Tablets und Handys ist die Zweckmäßigkeit und Erforderlichkeit einer Verwendung stets zu bedenken:

Sinn und Zweck der Verordnungsregelung ist, die Verarbeitung von Schülerdaten auf privaten digitalen Geräten aufgrund einer Genehmigung zu ermöglichen, weil Lehrkräfte einen Teil ihrer Arbeit am häuslichen Arbeitsplatz oder mobil in der Schule erledigen.

Verbleiben trotz Beachtung der Regelungen und Umsetzung der empfohlenen Maßnahmen im konkreten Fall Zweifel, ob die datenschutzrechtlichen Bedingungen mit einzelnen mobilen oder auch stationären Geräten erfüllt werden können, ist die Verarbeitung personenbezogener Schülerdaten darauf nicht vertretbar.

Muss der Abschnitt über die Verarbeitung von Daten von Referendarinnen und Referendaren auch von Lehrkräften ausgefüllt werden, die Gutachten im Rahmen des Ausbildungsunterrichts anfertigen?  

Lehrkräfte, die an Schulen in die Ausbildung von Lehramtsanwärterinnen, Lehramtsanwärtern oder Lehrkräften in Ausbildung eingebunden sind, benötigen für die Verarbeitung von Daten dieser Personen auf Privatgeräten eine Genehmigung. Die Genehmigung wird von der Schulleitung erteilt (§ 2 Abs. 4 Satz 3 VO-DV II).

Ist eine Genehmigung erforderlich, wenn eine Lehrkraft Stundenpläne oder Vertretungspläne auf dem privaten Smartphone speichert?      

Soweit es dabei nur um die Verarbeitung der hierzu erforderlichen Daten anderer Lehrkräfte geht, ist mit einem Smartphone die Nutzung von z.B. Vertretungs- und Aufsichtsplänen, Stundenplänen, Protokollen über Konferenzen, u.ä. ohne Genehmigung der Schulleitung möglich. Dies wurde in § 2 Abs. 5 VO-DV II extra neu geregelt und somit vereinfacht:

Soweit es sich um dienstliche bekannte Daten und Kontaktdaten als Amtsträger handelt, ist deren Verarbeitung auf Privatgeräten zulässig, wenn dies für die Aufgabenerledigung erforderlich ist und ein angemessener technischer Schutz vor unberechtigtem Zugang zu den Daten gewährleistet ist.

Wo werden die Anträge gesammelt?      

Es gehört zum Verantwortungsbereich der Lehrkräfte, sich für die Nutzung ihrer Privatgeräte eine Genehmigung der Schulleitung erteilen zu lassen. Falls erforderlich, muss diese auch nachgewiesen werden können. Es ist daher ratsam, ein Exemplar zu den eigenen Unterlagen zu nehmen.  Daneben ist ein Exemplar in die persönliche Akte jeder Lehrkraft beim Schulleiter aufzunehmen (vgl. § 5 Abs. 2 VO-DV II).      

Wer genehmigt Schulleitungen den Einsatz von Privatgeräten?

Es ist in den schulischen Regularien zum Datenschutz nicht vorgesehen, dass die Schulaufsichtsbehörde eine solche Genehmigung für Schulleitungen zu erteilen hätte. Wenn die Schulleitung ein Privatgerät zur Verarbeitung von Daten des Personals oder der Schülerinnen, Schüler und Eltern nutzt, hat sie dies somit selbst im Rahmen ihrer datenschutzrechtlichen Gesamtverantwortung zu vertreten.

Zur eigenen Sicherheit sollte die Schulleitung sich an den Inhalten des Genehmigungsvordrucks orientieren. Sie kann sich zudem von der bzw. dem schulischen Datenschutzbeauftragten beraten lassen.

Auch Schulleiterinnen und Schulleiter dürfen allerdings auf privaten digitalen Geräten nur die personenbezogenen Schülerdaten der Anlage 3 verarbeiten, und nur dann, soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich und der Schutz der Daten technisch sichergestellt ist (vgl. § 2 Abs. 2 letzter Satz VO-DV I).
Entsprechendes gilt für Daten von Beschäftigten nach § 2 Abs. 6 VO-DV II.        

Üblicherweise dürften jedoch Schulleitungen vom Schulträger im Rahmen der Arbeitsplatzausstattung zusätzlich mit einem digitalen Arbeitsplatz bzw. einem persönlichen Endgerät ausgestattet sein, so dass die Nutzung eines Privatgerätes regelmäßig nicht erforderlich sein dürfte.

Wie verhält es sich mit den Bedenken der LDI zum Einsatz von Privatgeräten?

Die Bedenken der LDI sind dem MSB bekannt. Angesichts des Umstands, dass Lehrkräfte traditionell einen Teil ihrer dienstlichen Tätigkeit zu Hause erbringen, ist es jedoch nicht gänzlich auszuschließen, dass Lehrkräfte am heimischen Arbeitsplatz ein Privatgerät nutzen müssen.

Deshalb ist zum einen die Pflicht zur Genehmigung vorgegeben; zum anderen steht sie unter dem Vorbehalt, dass die Lehrkraft nicht über ein persönliches dienstliches Gerät für die Aufgabenerledigung verfügt. Die Genehmigung beinhaltet u. a. die datenschutzrechtlich erforderlichen technischen und organisatorischen Maßnahmen. Die Lehrkraft ist damit verpflichtet, die personenbezogenen Schülerdaten nur für dienstliche Zwecke zu verarbeiten und die technischen und organisatorischen Vorgaben umzusetzen und einzuhalten.

Den Einsatz von Privatgeräten unter der Voraussetzung einer qualifizierten Genehmigung zu ermöglichen, ist aus Sicht des MSB vertretbar, um datenschutzrechtliche Anforderungen mit der Praxis und der fortschreitenden Digitalisierung vereinbaren zu können.

Welche Daten dürfen wie lange auf privaten Endgeräten gespeichert werden?

Die zur Verarbeitung - und somit auch zur Speicherung - auf privaten ADV-Anlagen zugelassenen Daten sind in Anlage 3 zur VO DV I abschließend aufgeführt und im Genehmigungsvordruck unter Nr. 3 entsprechend benannt.

Die Aufbewahrungsfrist für die auf privaten Endgeräten von Lehrkräften gespeicherten Daten beträgt ein Jahr. Sie beginnt mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler nicht mehr von der Lehrkraft unterrichtet wird (§ 9 Abs. 2 Satz 2 und 3 VO DV I). Darunter fallen auch ggf. erstellte Backups. Müssen Daten über diese Frist hinaus gespeichert werden, so sind sie auf schulische Anlagen zu übertragen.

Dürfen Wortzeugnisse auf privaten Endgeräten erstellt werden, obwohl diese ja Verhaltensinformationen enthalten können?

In Anlage 3 zur VO DV I sind abschließend die Daten aufgeführt, deren Verarbeitung auf Privatgeräten zulässig ist. Unter Abschnitt I Nr. 10 sind genannt: „Leistungsbewertungen und Bemerkungen zum Arbeits- und Sozialverhalten in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet.“

Bemerkungen zum Arbeits- und Sozialverhalten können erforderlich sein für spätere, nachvollziehbare Leistungsbewertungen.

„Leistungsbewertungen“ können nach Maßgabe des § 48 Abs. 1 SchulG anstelle von Noten auch schriftliche Aussagen sein. Die einzelne Lehrkraft hat also die Möglichkeit, Bewertungen und Textpassagen automatisiert zu verarbeiten, die vorbereitend für spätere Zeugniseintragungen für ihre jeweiligen Schülerinnen und Schüler sind, - allerdings nur bezogen auf die konkreten Fächer der Lehrkraft.
           
Der Personenkreis, der vollständige Zeugnisse (also sämtliche Angaben für alle Fächer und Zeugnisbemerkungen) auf Privatgeräten verarbeiten darf, ist unter Abschnitt II der Anlage 3 restriktiv genannt, nämlich: Stellvertretende Schulleitung  und Beauftragte sowie Klassen-/Stufenleitung, zudem die Schulleitung (über § 2 Abs. 2  letzter Satz VO-DV I)

Dürfen Gutachten, Zeugnisse etc. mit Pseudonymen auch ohne Genehmigung auf Privatgeräten erstellt werden?

Sofern die Identität der Betroffenen soweit geschützt ist, dass ein Rückschluss auf die betreffende Person nicht möglich ist, ist dieses Vorgehen zulässig. Zu beachten ist, dass in den entsprechenden Dokumenten nicht nur keine Klarnamen verwendet werden, sondern auch andere Daten mit Personenbezug zu pseudonymisieren sind. Denn ein Personenbezug kann sich auch durch Kombination verschiedener Informationen oder Zusatzwissen ergeben. Insgesamt ist daher darauf zu achten, dass abgesehen von eindeutig personenbezogenen Daten  (z. B. Name, Geburtsdatum, Adresse) auch durch sonstige Angaben (wie z. B. ungewöhnlicher Bildungsweg, ausführliche Anamnese) kein Bezug zu einzelnen Personen herstellbar ist.

Die „Funktionstabelle“, also die Zuordnung eines Dokuments zu einer Person, darf jedoch nicht auf dem Privatgerät gespeichert werden. Denn sie müsste zwangsläufig personenbezogene Daten enthalten und deren Verarbeitung ist ohne die Genehmigung ja gerade nicht zulässig. Ohne eine Genehmigung zur Nutzung des Privatgeräts für personenbezogene Schülerdaten ist die Zuordnungstabelle getrennt in analoger Form zu führen und vor unbefugtem Zugang geschützt aufzubewahren.

Dürfen von Privatgeräten E-Mails oder WhatsApp-Nachrichten mit Schülerinnen und Schülern oder Eltern ausgetauscht werden?

Auf Privatgeräten dürfen - sofern genehmigt -  nur die Daten nach Anlage 3 zur VO-DV I verarbeitet werden. Die Schulleitung steht in der Verantwortung für die Beachtung der Datenschutzbestimmungen. Nach diesen Vorgaben muss bei der dienstlichen Kommunikation gewährleistet sein, dass der gewählte Kommunikationskanal die datenschutzrechtlichen Voraussetzungen erfüllt. Sofern personenbezogene Schülerdaten übermittelt werden, erfüllt WhatsApp diese datenschutzrechtlichen Voraussetzungen nicht. Auch die Nutzung privater E-Mail-Dienste kann nicht von der Schulleitung verantwortet werden.

Eine Genehmigung umfasst daher keine Korrespondenz, die über E-Mail-Dienste und Kommunikationsplattformen/-dienste erfolgt, die nicht von der Schule eingerichtet bzw. bereitgestellt wurden. Dienstliche Kommunikation hat datenschutzgerecht über schulische E-Mail-Accounts zu erfolgen (siehe obige Hinweise unter "Welche Inhalte dürfen mit Eltern über E-Mail ausgetauscht werden?").

Ein dienstlicher E-Mail-Austausch über das Privatgerät wäre allenfalls möglich, wenn ein schulisch bereitgestelltes datenschutzkonformes Kommunikationssystem vom Privatgerät aus genutzt werden kann, z.B. LOGINEO NRW. Diese Kommunikation unterliegt allerdings den für die Datenverarbeitung auf Privatgeräten üblichen Bedingungen (Genehmigung; Beschränkung auf Daten der Anlage 3).

Soweit Lehrkräfte über ihre privaten E-Mail-Konten oder per WhatsApp, Telegram u.ä. mit Schülerinnen und Schülern oder Eltern kommunizieren, ist dies ihre persönliche Entscheidung, die zudem nur mit Einwilligung der Eltern bzw. Schülerinnen und Schülern erfolgen kann. Diese Kommunikation fällt nicht in die datenschutzrechtliche Verantwortung der Schulleitung.

Wie gehe ich mit sensiblen Dokumenten um, die mir Eltern oder Schüler per E-Mail zukommen lassen?

Sollten Schülerinnen oder Schüler sowie Eltern sensible Dokumente per E-Mail versenden, so liegt dies in deren eigener Verantwortung. Lernende sollten im Rahmen der Medienkompetenzbildung über die Folgen informiert werden.   

Sollte eine Lehrkraft sensible Dokumente per E–Mail erhalten, so sind diese Dokumente umgehend in eine datenschutzrechtlich konforme Umgebung zu überführen.

Wie lange darf ich Fotos auf meinem Handy speichern?

Fotos sind - wie alle anderen auf Basis einer Einwilligung durch die betroffenen Schülerinnen und Schüler bzw. deren Eltern erhobenen Daten mit Personenbezug - nach Wegfall des in der Einwilligungserklärung angegebenen Verarbeitungszweckes oder ggf. nach Maßgabe gesonderter Festlegungen in der Einwilligungserklärung zu löschen. Weitere Informationen sind unter dem Reiter "Fragen zur Umsetzung des Datenschutzrechts an Schulen" zum Thema "Einwilligung" eingestellt.

Dürfen Lehrkräfte ihr Handy für die telefonische Kommunikation mit Eltern nutzen? 

Telefongespräche mit einzelnen Eltern von einem mobilen Telefon aus zu führen ist unproblematisch. Telefonnummern oder Namenslisten von Schülerinnen und Schülern und Eltern mit Kontaktdaten auf einem mobilen Handy zu speichern, bedarf dagegen der Einwilligung der Betroffenen, oder, sofern die Speicherung erforderlich wäre, der Genehmigung der Schulleitung zur Nutzung dieses Gerätes für personenbezogene Schüler-/Elterndaten.

Darf sonstiges sozial-/pädagogisches Personal und dürfen andere an Schule tätige Personen (z.B. Ganztagspersonal, Integrationshelfer) Daten auf privaten Endgeräten verarbeiten?

Nach § 2 Abs. 2 Satz 1 VO-DV I ist nunmehr zugelassen, dass neben Lehrkräften auch sonstigem sozial-/pädagogischen Personal eine Genehmigung erteilt werden kann, personenbezogene Schülerdaten auf ihren privaten ADV-Anlagen zu verarbeiten. Diese Möglichkeit besteht für das Personal gemäß § 58 Schulgesetz, aber auch für nicht im Landesdienst stehendes sozial-/pädagogisches Personal. Gleiches gilt für Schulpsychologinnen und Schulpsychologen, die in Krisenfällen oder bei konkreten Beauftragungen in einer Schule auf die Daten zurückgreifen müssen.

Praxissemesterstudierenden und Studierenden im Eignungs- und Orientierungspraktikum im Lehramtsstudium (EOP) dagegen ist diese Möglichkeit nicht eröffnet. Für ihre vorübergehende Tätigkeit in Schulen ist die Datenverarbeitung auf Privatgeräten nicht erforderlich, sie sind nicht unter dem Begriff „Personal“ zu subsumieren.

Auch für sonstiges Hilfspersonal (z. B. Integrationshelfer, externes Personal für die Ganztagbetreuung) fehlt eine landesrechtliche Grundlage zur Verarbeitung der Schülerdaten auf Privatgeräten. Daher wäre eine Einwilligung im Einzelfall im Rahmen des jeweiligen Vertragsverhältnisses mit den Eltern erforderlich.

Woher erhalten Personal und Schulleitungen Anleitungen und Unterstützung zur Umsetzung der geforderten Maßnahmen?

Die behördlichen Datenschutzbeauftragten für die Schulen, die Medienberaterinnen und Medienberater und die Medienberatung NRW stehen zur Beratung zur Verfügung.

Welche Fachkenntnisse werden von Beschäftigten zur Umsetzung der Maßnahmen gefordert?

Die geforderten Maßnahmen übersteigen nicht die Anforderungen an die erforderlichen Kenntnisse, die auch bei einer rein privaten Nutzung von Informationstechnologie zu beachten sind. Wird in der Schule oder bei einzelnen Beschäftigten diesbezüglich ein Qualifizierungsbedarf festgestellt, sollte dieser durch entsprechende Informationsveranstaltungen und Fortbildungsmaßnahmen gedeckt werden.

Wie wird sichergestellt, dass die Maßnahmen von den Beschäftigten umgesetzt werden?

Die Umsetzung liegt in der Eigenverantwortung der Beschäftigten. Es ist praktisch nicht möglich, dass eine Schulleitung die Einhaltung dienstlicher Pflichten der Beschäftigter ständig kontrolliert, sei es an dienstlich zur Verfügung gestellten oder sei es an privaten Endgeräten.

Wer darf die privaten Geräte auf Umsetzung der geforderten Maßnahmen prüfen?

Die geregelten Bedingungen in der Genehmigung beinhalten selbstverständlich nicht die Berechtigung, private Endgeräte von Beschäftigten persönlich zu überprüfen.

Wie wird im Schadensfall nachgewiesen, dass die geforderten Maßnahmen umgesetzt wurden?

Die Art und Weise des Nachweises hängt vom Einzelfall ab, dies kann daher nicht pauschal beantwortet werden. Grundsätzlich können nur die Beschäftigten selber den Nachweis erbringen, ob und welche Maßnahmen sie umgesetzt haben.

Welche Anwendungen sind erlaubt?

Zulässig sind Anwendungen, bei denen sichergestellt werden kann, dass Daten mit Personenbezug aus der Schule nach den Vorgaben der DSGVO verarbeitet werden können. Es muss u.a. sichergestellt sein, dass die Daten nur von berechtigten Personen verarbeitet werden und unberechtigte Dritte keinen Zugang haben.

Dürfen Webanwendungen wie SchiLD Web oder LOGINEO NRW auch ohne Genehmigung auf privaten Endgeräten genutzt werden?

Eine Genehmigung ist für die Nutzung eines privaten Endgerätes einzuholen, sobald Daten mit Personenbezug auf diesem verarbeitet werden sollen (vgl. § 2 Abs. 2 Satz 1 VO-DV I bzw. § 2 Abs. 4 VO-DV II). Dieses gilt auch, wenn z. B. Webanwendungen mit personenbezogenen Daten nur aufgerufen werden; auch das reine Betrachten bzw. Lesen von Daten auf dem Bildschirm fällt bereits unter den Begriff der Datenverarbeitung.

Darf ich auf privaten Endgeräten Programme wie 'Whatsapp', IMessage' oder 'Telegram' benutzen, wenn ich auf dem gleichen Gerät meine dienstlichen Daten verarbeite?

Bei Nutzung eines Privatgerätes für dienstliche Zwecke ist von der Lehrkraft sicherzustellen und zu verantworten, dass andere Anwendungen keinen Zugriff auf die Schülerdaten haben. Im Zweifelsfall ist von der Nutzung der Anwendung abzusehen.

Werden Lehrkräften digitale Endgeräte zur dienstlichen Nutzung bereitgestellt?

Das Land hat verstärkt in die Digitalisierung von Schulen investiert, dies unabhängig von Fragen der Zuständigkeit des Schulträgers nach § 79 SchulG. Die Ausstattung aller Lehrkräfte mit digitalen Endgeräten und geeigneter Software ist angestrebt.

Wenn Lehrkräfte private Endgeräte benutzen, wer trägt dann die Kosten der geforderten Sicherheitsvorkehrungen für das eigene Gerät?

Die Genehmigung ist rein datenschutzrechtlicher Natur und bezieht sich allein auf die Nutzung privater Endgeräte für die Verarbeitung personenbezogener Daten. Die Finanzierung der Geräte selbst, wie auch die Umsetzung der für die Erteilung der Genehmigung erforderlichen Maßnahmen, z. B. durch den Erwerb von Virenschutz-Software, trägt die einzelne Lehrkraft. Die entstandenen Kosten können ggf. steuerlich geltend gemacht werden.