Die zunehmende Digitalisierung innerhalb der schulischen Arbeitsprozesse fordert auch von Lehrerinnen und Lehrern sowie weiteren an Schule tätigen Professionen eine aktive Auseinandersetzung mit dem Datenschutz. Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) verlangt ein hohes Maß an Informationspflichten gegenüber den Betroffenen (Schülerinnen und Schüler, Eltern, Lehrkräfte, sozialpädagogische Professionen). Insofern steht insbesondere die Schulleiterin/der Schulleiter im Fokus, denn sie/er ist für den Datenschutz an der Schule verantwortlich. Wichtige Regelungen zum Datenschutz finden sich an folgenden Stellen:

-        - § 120 – 122 SchulG
- VO-DV I (Schülerinnen, Schüler und Eltern) und VO-DV II (Lehrkräfte und sonstiges Personal im Schulbereich)
- Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (BASS 10-41 Nr. 4)

Die Vorschriften für Personal im Schulbereich unterscheiden zwischen der Datenverarbeitung auf einem dienstlichen Endgerät, worauf Schülerinnen und Schüler keinen Zugriff haben und einem privaten Gerät. Zu den dienstlichen Endgeräten gehören sowohl stationäre schulische „Verwaltungsrechner“ als auch mobile dienstliche Endgeräte für Lehrkräfte. Der Begriff der automatisierten Verarbeitung personenbezogener Daten meint das Auslesen, Öffnen, Bearbeiten, Speichern oder Weiterleiten auf einem Computer oder einem anderen Endgerät, also auch Tablets und Smartphones.

Datenschutzmaßnahmen greifen immer nur dann, wenn es um personenbezogene Daten geht. Welche personenbezogenen Daten zu unseren Schülerinnen und Schülern, sowie den Erziehungsberechtigten verarbeitet werden dürfen, regelt die VO-DV I. Dort sind all die Daten in Anlagen aufgeführt, die zur Erfüllung der übertragenen Aufgaben der Lehrkräfte zugelassen sind. Die Daten, die nicht automatisiert verarbeitet werden dürfen, sind besonders gekennzeichnet. Dazu gehören beispielsweise medizinische Gutachten und Atteste. Bild- und Tonaufnahmen von Schülerinnen und Schülern dürfen nur mit aktiver Zustimmung der Erziehungsberechtigten verarbeitet werden. Aus diesem Grund ist es ratsam, bei Einschulung bzw. bei Wechsel in eine weiterführende Schule eine solche Zustimmung zu erwirken. In dieser Zustimmung muss eindeutig formuliert sein, welche Fotos (ggfls. auch Videos und Tonaufnahmen) zu welchem Zweck wie lange auf welchen Geräten verarbeitet werden dürfen. Außerdem muss das Papier den Hinweis tragen, dass diese Zustimmung freiwillig geschieht und jederzeit widerrufen werden kann.

Bei Schulanmeldung müssen die Erziehungsberechtigten darüber informiert werden, welche Daten zu welchem Zweck wie lange für schulische Belange verarbeitet werden. Dazu könnte die VO-DV I in Papierform oder als ausgelegtes Exemplar zur Verfügung gestellt werden. Weiterhin sollten solche Hinweise auch auf der Homepage der Schule zu finden sein. Beispieltexte dazu stellt das Ministerium auf seiner Homepage zur Verfügung.

Durch den Erlass von Förderrichtlinien zur Anschaffung dienstlicher Computer für Lehrkräfte (auch Sozialpädagogische Fachkräfte und weitere am Bildungsprozess Beteiligte) durch die Kommunen dürfen Lehrkräfte in der Regel auch nur diese Geräte nutzen, um personenbezogene Daten zu verarbeiten. Diese dienstlichen Geräte sind datenschutzrechtlich durch den Bereitsteller (Schulträger) konfiguriert und abgesichert. Eine Nutzungsvereinbarung zwischen Lehrkraft und Schulträger sollte Rechtssicherheit herstellen. Eine Musternutzungsordnung ist von der Medienberatung NRW online bereitgestellt worden.

Die für das Schulpersonal relevante Verordnung VO DV I betrifft neben den Lehrkräften auch pädagogisches und sozialpädagogisches Personal sowie involvierte Schulpsychologinnen und Schulpsychologen. Bei Zurverfügungstellung eines dienstlichen digitalen Endgerätes darf nur noch auf diesem Gerät eine Verarbeitung personenbezogener Daten vorgenommen werden. Auch eine vorhandene Genehmigung zur Datenverarbeitung mit Personenbezug für ein privates Endgerät erlischt dann. Es gibt lediglich eine Übergangsfrist von vier Wochen zur Übertragung der Daten vom privaten auf das dienstliche Gerät. Unabhängig davon gibt es noch eine Ausnahmeregelung zur weiteren Nutzung eines privaten Gerätes bei der Verarbeitung von Daten mit Personenbezug, wenn dies aus bestimmten Gründen zur vollumfänglich erforderlichen Datenverarbeitung erforderlich ist. Diese muss aber durch die Schulleiterin/den Schulleiter begründet, dokumentiert und schriftlich genehmigt werden und kann nur befristet sein. Außerdem gilt dann bei der Nutzung des privaten Endgerätes die entsprechende Anlage (Genehmigung) gemäß den Bestimmungen zur „Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule“ (BASS 10-41 Nr. 4). Bei dieser Ausnahmegenehmigung zur Nutzung des privaten Endgerätes muss beachtet werden, dass nur die in der Anlage 3 der VO-DV I aufgeführten (eingeschränkten!) Daten verarbeitet werden dürfen.

Dienstliche mobile Endgeräte sind den dienstlichen stationären Rechnern in der Schule (Verwaltungsrechner, auf die Schüler*innen keinen Zugriff haben) gleichgestellt. Das hat zur Konsequenz, dass auf diesen dienstlichen Computern (im Gegensatz zu genehmigten privaten Rechnern) auch AO-SF Gutachten und Förderpläne verarbeitet werden dürfen. Eine Genehmigung durch die Schulleiter*in ist für dienstliche Computer nicht erforderlich.

Die getroffenen Datenschutzmaßnahmen an den zur Verfügung gestellten dienstlichen Endgeräten sind durch den Schulträger konfiguriert. Ggfls. müssen allerdings die in den Nutzungsvereinbarungen beschriebenen Updates des Betriebssystems bzw. des Virenscanners vom Nutzer durchgeführt werden. Die Datenschutzmaßnahmen am privaten Endgerät sind in der Anlage der Dienstanweisung dargestellt und müssen vom Nutzer eingerichtet sein.

Sind die geforderten Datenschutzmaßnahmen getroffen und es kommt trotz alledem zu einer Datenpanne (z. B. „Hacking“/Entwendung von Daten), so ist man vor Haftungsansprüchen gegenüber Dritten geschützt. Nur bei „grober Fahrlässigkeit“ oder „Vorsatz“ dürften sich Haftungsansprüche geltend machen lassen.

Eine weitere wichtige Komponente zur Datenabsicherung ist die Nutzung der Plattform LOGINEO NRW. Hier können Lehrkräfte datenschutzrechtlich abgesichert kommunizieren und auch in einem Datensafe sensible Daten, z. B. Zeugnisdateien, ablegen und bearbeiten.

Die zuständigen behördlichen Datenschutzbeauftragten für Schulen in kommunaler und staatlicher Trägerschaft werden vom zuständigen Schulamt bestellt. Sie fungieren auch als Anlaufstelle für Anfragen von schulischem Personal. Eine Liste finden Sie hier. 

VBE Kompakt