Datenschutz in der Schule

Corona und die damit erfolgende Digitalisierung hat bekanntermaßen überall im Leben Einzug gehalten. So auch im schulischen Bereich. Nun könnten wir uns speziell mit dem Thema der Videokonferenzen in Schulen auseinandersetzen. In diesem Beitrag möchten wir uns aber mit dem Datenschutz in der Schule allgemein befassen. Denn in der Schule ist dieser nicht nur bei den Videokonferenzen, Impf- und Serostatusnachweisen oder etwaigen anderen Covid-19 bezogenen Themen wichtig.

Der besondere Schutz von Kinderdaten

Eine Schule als Verantwortliche verarbeitet eine Vielzahl von personenbezogenen Daten. Dabei verarbeitet eine Schule nicht nur Daten von Erwachsenen (z. B. den Beschäftigten und Eltern), sondern auch von den Kindern. Gerade bei den Kindern handelt es sich dann um Daten, die besonders schützenswert sind. Dies, obwohl sie nicht zwangsläufig unter die Kategorie der besonderen personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO fallen. Den Grund hierfür finden wir in ErwG 38. Dieser sagt deutlich: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz […]“.

Verarbeitung von Kinderdaten

Bei den besonders zu beachtenden Daten von Kindern, die eine Schule üblicherweise verarbeitet, kann es sich u. a. um folgende Datenkategorien handeln:

1)     biometrische Daten (bspw. beim Bezahlen für das Schulessen),

2)    Gesundheitsdaten (bspw. Daten zu einem Impfstatus),

3)    Verhaltensdaten oder auch

4)    Leistungsdaten.

Gründe für den besonderen Schutz

Daten von Kindern kommt ein besonderer Schutz zu. Dies schon deswegen, weil Kinder eine höhere Bereitschaft zur Preisgabe von ihren Daten zeigen und auch die möglichen Konsequenzen dieser nicht unbedingt einschätzen können.

Schutz der Daten der Eltern, Beschäftigten, Lieferanten etc.

Generell sind auch die personenbezogenen Daten aller anderen Personen, die eine Schule verarbeitet, zu schützen. Darunter fallen die Daten der Eltern, der Lehrer, Hausmeister, Verwaltung, IT etc., aber auch die von beispielsweise externen Personen, wie Lieferanten etc. Ggf. kann es auch hier beispielsweise zur Verarbeitung besonderer Datenkategorien kommen, beispielsweise steuerrelevanter Daten wie Kirchenzugehörigkeit oder im Zuge der Nachweisdokumentation von Impfdaten als Teil des Hygienekonzeptes einer Schule (§ 20 Abs. 9 – 11 IfSG). – Hier ist übrigens darauf zu achten, dass das Gesetz aussagt, dass der Impfnachweis vorzulegen ist. Folglich darf eine Schule dann einen Vermerk machen, ob der jeweilige Angestellte die Impfung nachgewiesen hat. Eine Kopie des Impfnachweises anzufertigen, ist dagegen unzulässig. Darauf weist auch der Landesbeauftragter für den Datenschutz Sachsen-Anhalt hin (Link). –

In Schulen übliche Verarbeitungstätigkeiten

Natürlich stimmen die Verarbeitungstätigkeiten in Schulen in vielen Bereichen mit denen anderer Einrichtungen und Unternehmen überein. In Zeiten des erhöhten Infektionsschutzes setzen Schulen häufiger digitale Dienste wie Videokonferenzen, E-Mail-Versand, Lern-Apps etc. ein. Des Weiteren unterhalten Lehrer sich untereinander über Schüler und deren Leistungen und Verhaltensweisen, um beispielsweise zu planen, besondere Begabungen mit den Eltern und dem Kind zu besprechen. Zusätzlich tragen die Lehrer beständig Test-, Klausuren- und sonstige Bewertungsergebnisse zusammen. Möglicherweise setzt eine Schule hierfür ein Daten-Management-System ein und trägt die Daten zentral zusammen.

Maßnahmen zum Schutz der Daten

Aufgrund der Datenkategorien, die eine Schule zur Erfüllung ihrer Pflichten und Zwecke verarbeitet, muss der Betreiber einer Schule auch ein besonderes Augenmerk auf den Schutz dieser Daten haben. Ein paar solcher Maßnahmen können beispielsweise folgende sein:

1)     Zwei-Faktor-Authentifizierung bei der Anmeldung,

2)    Verschlüsselung aller Datenträger,

3)    Aufbewahrung des Verschlüsselungs-Schlüssels an einem sicheren Ort,

4)    Anfertigung von Backups der Daten in regelmäßigen, ausreichend häufigen Abständen,

5)    Unterbindung der Übermittlung von personenbezogenen Daten in ein unsicheres Drittland,

6)    Authentisierung der Videokonferenzteilnehmer,

7)    Sensibilisierung zum Datenschutz und zur -sicherheit aller Beschäftigten einer Schule,

8)    Zutrittsregelung und -beaufsichtigung u. v. m.

Natürlich gelten die oben genannten Beispiele nicht nur für Schulen. Sie sind aber ein paar der Maßnahmen, die speziell dazu beitragen können, dass eine Schule eine unbefugte Verarbeitung von Daten vermeiden kann.

Datenschutzkoordination

Viele Schulen sind öffentliche Einrichtungen. Demnach sind sie leider oft in der Annahme, dass jegliche Koordination zur Umsetzung des Datenschutzes vom jeweiligen Bundesland ausgehen muss und sie nicht selbst dazu etwas unternehmen müssen. Dies ist allerdings nicht zwingend der Fall. Eine Schule selbst gilt als Verantwortliche gemäß Art. 4 Nr. 7 DSGVO. Demnach muss die Schule selbst dafür sorgen, dass sie die Vorgaben der DSGVO einhält und den Datenschutz und die Datensicherheit gewährleisten kann.

Hilfestellungen der Datenschutzaufsichtsbehörden

Auch die Datenschutzaufsichtsbehörden beantworten Fragen zum Datenschutz in Schulen auf ihren Webseiten, so auch beispielsweise folgende:

1)     Die Landesbeauftragte für Datenschutz und Informationssicherheit Nordrhein-Westfalen geht auf das Thema hier ein.

2)    Von dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg gibt es u. a. einen Beitrag zum Einsatz von Microsoft 365 in Schulen (Link).

3)    Der Bayerische Landesbeauftragte für den Datenschutz beantwortet u. a. unter diesem Link ein paar Fragen zum Thema Datenschutz in Schulen.

Fazit

Das Bewusstsein und Wissen zum Datenschutz hat in Schulen stark zugenommen. Aber auch hier gilt oft, dass die Beschäftigten einer Schule das vorrangige Ziel der Bildung der Schüler haben. Dadurch bleibt nicht oft Zeit, sich eingehend mit den neuesten Änderungen durch Urteile oder Gesetze mit Einfluss auf den Datenschutz, Orientierungshilfen der Datenschutzaufsichtsbehörden oder auch allgemeinen Neuigkeiten zum Datenschutz zu befassen. Dies übernehmen wir gern. Gern beraten und unterstützen wir Sie bei der Umsetzung der DSGVO in Ihrer schulischen Einrichtung. Kontaktieren Sie uns am besten noch heute.