Logo Bildungsland NRW - Bildungsportal

Datenschutz im Schulbereich

recht_datenschutzrecht_istockphoto-541282164

Datenschutzrecht

Aufgabe des Datenschutzes ist es, Einzelne vor Beeinträchtigungen ihres Rechts zu bewahren, selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen.

Aufgabe des Datenschutzes in der öffentlichen Verwaltung ist es, Einzelne davor zu schützen, dass sie durch die Verarbeitung personenbezogener Daten von öffentlichen Stellen in unzulässiger Weise in ihrem Recht beeinträchtigt werden, selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen (informationelles Selbstbestimmungsrecht). Datenschutz hat Verfassungsrang.
Artikel 4 Abs. 2 der Landesverfassung konstituiert aber nicht nur den Anspruch Einzelner auf Schutz ihrer personenbezogenen Daten, sondern bestimmt auch, dass Eingriffe in das Recht auf informationelle Selbstbestimmung zulässig sind, dies jedoch nur im überwiegenden Interesse der Allgemeinheit auf Grund eines Gesetzes.

Ein wesentlicher Grundsatz ist dabei, dass sich die Verarbeitung auf den erforderlichen Umfang beschränken muss und grundsätzlich nur für die Zwecke zulässig ist, für die die Daten erhoben wurden. Wesentlich sind auch die Rechte betroffener Personen auf Auskunft, Berichtigung, Sperrung und Löschung.

Die §§ 120 bis 122 Schulgesetz (SchulG) bilden die grundlegenden Bestimmungen für die Verarbeitung personenbezogener Daten der Schülerinnen und Schüler, Eltern, Lehrerinnen und Lehrer sowie des weiteren Personals im Schulbereich. Diese bereichsspezifischen Regelungen konkretisieren auf Grundlage der europarechtlichen Ermächtigung aus Art. 6 Abs. 1 Buchstabe e und Abs. 3 der Datenschutz-Grundverordnung (DSGVO) die Datenverarbeitungen, die bei Erfüllung der öffentlichen Bildungs- und Erziehungsaufgaben der Schule zulässig sind.

Die Einzelheiten der Datenverarbeitung, sei es auf analoge oder digitale Weise, werden in der Folge durch Rechtsverordnungen umfassend und detailliert geregelt. Sie sichern eine landeseinheitliche und für alle betroffenen Personen transparente Behandlung ihrer personenbezogenen Daten. Die Schulleiterin oder der Schulleiter ist für den Schutz der Daten und die Einhaltung der datenschutzrechtlichen Bestimmungen in der Schule verantwortlich.

Welche Beschäftigtendaten Schulen, Schulaufsichtsbehörden, Zentren für schulpraktische Lehrerausbildung, die Qualitäts- und UnterstützungsAgentur – Landesinstitut für Schule und das Landesamt für Qualitätssicherung und Informationstechnologie der Lehrerausbildung zu welchen Zwecken verarbeiten dürfen, ist in der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer sowie des sonstigen Personals im Schulbereich (VO-DV II)  festgelegt. Die digitale Verarbeitung ist zulässig auf dienstlichen Geräten (stationären Endgeräten in der Schule oder persönlichen dienstlichen Endgeräten der Lehrkräfte) und in schulischen Netzwerken, wenn über technische und organisatorische Maßnahmen die Sicherheit der Verarbeitung gewährleistet ist (vgl. § 2 Abs. 1 VO-DV II).  Die genauen Datenkataloge und Verarbeitungszwecke sind in den Anlagen zur Verordnung ausführlich konkretisiert. Die Verordnung regelt auch Fälle der Datenübermittlung und bestimmt die Aufbewahrungs- und Löschungsfristen für Dateien und Akten. Sie enthält Vorgaben zur Datensicherheit und zu Auskunfts- und Berichtigungsansprüchen der betroffenen Personen.

Welche Daten der Schülerinnen und Schüler sowie ihrer Eltern Schulen und Schulaufsichtsbehörden in Dateien oder Akten verarbeiten dürfen, ist in der Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I) festgelegt. Die digitale Verarbeitung ist zulässig auf dienstlichen Geräten (stationären Endgeräten in der Schule oder persönlichen dienstlichen Endgeräten der Lehrkräfte) und in schulischen Netzwerken, wenn über technische und organisatorische Maßnahmen die Sicherheit der Verarbeitung gewährleistet ist (vgl. § 2 Abs. 1 VO-DV I).  Es handelt sich im Wesentlichen um die erforderlichen Personaldaten (wie Name, Anschrift, Erreichbarkeit), bei Schülerinnen und Schülern auch um alle relevanten Schullaufbahn- und Leistungsdaten, die in das Schülerstammblatt aufzunehmen sind. Die VO-DV I regelt unter anderem auch die Übermittlung von Daten an andere Stellen oder bei einem Schulwechsel und bestimmt die Fristen für die Aufbewahrung, Löschung und Vernichtung der Dateien und Akten. Beispielsweise müssen Zweitschriften von Abgangs- und Abschlusszeugnissen 50 Jahre aufbewahrt werden. Nur so können verlorengegangene Originale ersetzt werden. Die VO-DV I enthält zudem Vorgaben zur Datensicherheit, zu Auskunfts- und Berichtigungsansprüchen sowie zum Akteneinsichtsrecht von Schülerinnen, Schülern und Eltern. Die Schule darf zeitlich unbefristet eine nicht öffentliche Schulchronik führen, in der für schulinterne Zwecke die Namen der Schülerinnen und Schüler und das Jahr der Beendigung des Schulverhältnisses verzeichnet sind.

Die Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I)  bestimmt auch die Voraussetzungen, unter denen Lehrkräfte Daten von Schülerinnen, Schülern und Eltern auf privaten digitalen Geräten verarbeiten dürfen (§ 2 Abs. 2 VO-DV I).  

Dies ist nur zulässig, soweit es zur Erfüllung schulischer Aufgaben erforderlich ist. Dazu bedarf es einer qualifizierten Genehmigung der Schulleitung (vgl. Genehmigungsvordruck lt. Dienstanweisung ADV), in der alle rechtlichen und technischen Bedingungen verbindlich vorgegeben sind. Welche Daten überhaupt auf Privatgeräten verarbeitet werden dürfen, ist restriktiv in Anlage 3 der VO-DV I enumerativ festgelegt.  

Eine solche Genehmigung zu erteilen ist jedoch nicht zulässig, wenn ein persönliches dienstliches Gerät zur schulischen Nutzung ausgehändigt wurde. Eine bereits erteilte Genehmigung erlischt mit Aushändigung eines Dienstgeräts.    

Trotz Ausstattung mit einem dienstlichen Gerät kann die Nutzung von Privatgeräten nur in begründeten, zu dokumentierenden Einzelfällen vorübergehend von der Schulleitung zugelassen werden, soweit dies zur vollumfänglichen schulischen Verarbeitung per­sonenbezogener Daten erforderlich ist und die datenschutzgerechte Verar­beitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist (§ 2 Abs. 2 Satz 7 VO-DV I).        

Der vorübergehende Charakter muss dem sachlichen Grund geschuldet sein. Relevant ist insoweit, wie lange der Einsatz erforderlich ist, z.B. weil eine technisch realisierbare Software-Alternative fehlt bzw. ein dienstliches Gerät, das die schulisch notwendige Aufgabenerfüllung ermöglicht, nicht verfügbar ist. Dies zu entscheiden liegt in der Verantwortung der Schulleitung.

Dabei können sowohl die persönlichen dienstlichen Endgeräte als auch weitere Geräte, etwa in der Schule vorhandene Ausstattung, berücksichtigt werden. Der Einsatz anderweitiger Hard- bzw. Software ist zu prüfen. Vorrangig ist bereits bei der Planung der schulischen IT-Ausstattung in Abstimmung mit dem Schulträger zu berücksichtigen, dass darüber die schulisch notwendigen Anwendungen technisch leistbar sind.    

Die Beratung der Schulen erfolgt durch Datenschutzbeauftragte, Medienberatung NRW und zuständige Schulaufsicht.

Weitere Informationen zu praktischen Detailfragen der Genehmigung sind hier unter dem Stichpunkt "Genehmigung zur Nutzung privater digitaler Geräte" eingestellt.

Für das Ministerium für Schule und Bildung NRW ist Herr Constantin Körner zum Behördlichen Datenschutzbeauftragten bestellt. Kontakt: MSB NRW, Völklingerstr. 49, 40221 Düsseldorf, datenschutz[at]msb.nrw.de (datenschutz[at]msb[dot]nrw[dot]de) Tel.: 0211/5867-3296.

Für die Schulen sind gesonderte Behördliche Datenschutzbeauftragte zu benennen. Für Schulen in kommunaler und staatlicher Trägerschaft wählen dazu die Schulämter geeignete Personen aus. Die Benennung erfolgt durch die Bezirksregierung. Die schulischen Datenschutzbeauftragten betreuen sodann mehrere Schulen des jeweiligen Schulamtsbezirks. Alternativ können schuleigene Datenschutzbeauftragte benannt werden. Dies könnte insbesondere bei großen oder besonders technisierten Schulen zweckmäßig sein.

Die schulischen Datenschutzbeauftragten unterstützen die Schulleitungen in allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragen. Die Aufgaben ergeben sich aus Art. 39 DSGVO (https://dsgvo-gesetz.de/art-39-dsgvo/).

Datenschutzbeauftragte für Schulen haben demnach insbesondere folgende Aufgaben:

  • Unterrichtung und Beratung der Schulleitung, der Lehrkräfte und sonstigen Beschäftigten hinsichtlich ihrer Pflichten nach der DSGVO und der schulspezifischen Regelungen.
     
  • Überwachung der Einhaltung aller Datenschutzvorschriften einschließlich Überprüfungen, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter.       
     
  • Anlaufstelle für Anfragen von Lehrkräften/Beschäftigten, Schülerinnen, Schülern und Eltern in mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte zusammenhängenden Fragen. Die bzw. der Datenschutzbeauftragte ist bei der Bearbeitung von Anfragen zur Verschwiegenheit über die Identität der Betroffenen verpflichtet.

Die LDI hat auf ihrer Homepage ausführliche Informationen zur Tätigkeit der Datenschutzbeauftragten im Rahmen einer FAQ eingestellt:     

Datenschutzbeauftragte | LDI - Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (nrw.de)

Die Kontaktdaten der schulischen Datenschutzbeauftragten finden Sie hier

Nach Art. 37 Abs. 7 DSGVO ist die Schulleitung verpflichtet, die Kontaktdaten der bzw. des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde (LDI) mitzuteilen. Die LDI hat dazu auf ihrer Homepage ein Meldeportal eingerichtet.

 

Das Lernen unter Nutzung des Internets gehört inzwischen zum Schulalltag. Im Unterricht, in Selbstlernphasen, aber auch außerhalb des Unterrichts und für digitale Interaktions- und Kommunikationsformen wird das Medium genutzt. Hierzu sind Informationen im Bildungsportal bereitgestellt unter  Lehren und Lernen in der Digitalen Welt | Bildungsportal NRW (schulministerium.nrw). Für die pädagogische und organisatorische Arbeit der Schule ergeben sich damit differenzierte Aufgaben, Verantwortlichkeiten und rechtliche Fragen, auch zum Datenschutz. Die einzelne Schule muss Regeln für die Nutzung des Internets und die Kontrolle von Missbrauch durch Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 25 Schulgesetz aufstellen und dabei die medien- und datenschutzrechtlichen Bestimmungen beachten. Ebenso ist über die Nutzung der vom Schulträger bereitgestellten Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form zu entscheiden. Auch hierzu ist gemäß § 65 Abs. 2 Nr. 6 SchulG die Schulkonferenz zu beteiligen.

Zu der Medienkompetenz, die den Schülerinnen und Schülern in der Schule im Umgang mit dem Internet vermittelt wird, gehört auch Datenschutzkompetenz, denn wer im Internet "surft" oder weltweit kommuniziert und dabei seine personenbezogenen Daten preisgibt, hinterlässt nicht rückholbare Datenspuren, aus denen sich Nutzungs- und Kommunikationsprofile erstellen lassen. Schülerinnen und Schüler über Datenschutzbestimmungen, Risiken und Schutzmaßnahmen aufzuklären, ist daher unverzichtbarer Teil der Medienerziehung in der Schule.