Startseite Bildungsportal NRW

Wie in der Vergangenheit auch, sind bei der Verarbeitung analoger Daten im häuslichen Umfeld die Vorgaben zum Datenschutz und der Datensicherheit zu beachten. Insbesondere muss sichergestellt sein, dass Dokumente mit Schülerdaten nicht unberechtigten Personen zugänglich sind. Wenn dies gewährleistet ist, steht auch der traditionellen Führung von Notenlisten auf Papier nichts im Wege.

Die zur Verarbeitung - und somit auch zur Speicherung - auf privaten ADV-Anlagen zugelassenen Daten sind in Anlage 3 zur VO DV I abschließend aufgeführt und im Genehmigungsvordruck unter Nr. 3 entsprechend benannt.

Die Aufbewahrungsfrist für die auf privaten Endgeräten von Lehrkräften gespeicherten Daten beträgt ein Jahr. Sie beginnt mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler nicht mehr von der Lehrkraft unterrichtet wird (§9 Abs. 2 S. 2 u.3 VO DV I). Darunter fallen auch ggf. erstellte Backups. Sollten Daten über diese Frist hinaus gespeichert werden, so sind diese auf schulische Anlagen zu übertragen.

Die Bedingungen für die vorherige Einwilligung in eine Datenverarbeitung ergeben sich aus Art.7 EU-DSGVO und entsprechen im Wesentlichen denen, die bisher bereits nach Datenschutzgesetz NRW für eine Einwilligung galten:

• Die Einwilligung muss durch eine eindeutige Handlung der betroffenen Person erfolgen, mit der freiwillig und unmissverständlich erklärt wird, dass die betroffene Person mit der Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck oder mehrere konkrete Zwecke einverstanden ist. Dabei muss die einwilligende Person über die Bedeutung der Einwilligung informiert sein. Zudem dürfen ihr keinerlei Nachteile entstehen, wenn sie die Einwilligung verweigert.
• Die Erklärung kann schriftlich, mündlich oder elektronisch erfolgen. Die Erteilung der Einwilligung unterliegt grundsätzlich keinem Schriftformerfordernis. Etwas anderes gilt, wenn eine speziellere Rechtsvorschrift ein Schriftformerfordernis vorsieht (zum Beispiel § 3 Abs. 2 VO DO I). Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit bedeuten noch keine Einwilligung.
• Die betroffene Person muss vor Abgabe der Einwilligung auf die Möglichkeit des Widerrufs mit Wirkung für die Zukunft hingewiesen werden.
• Dass eine wirksame Einwilligung für die Datenverarbeitung vorliegt, muss der Verantwortliche nachweisen können. Deshalb ist die Schriftform gemäß § 3 Abs. 2 VO DV I verpflichtend (ggf. ausnahmsweise elektronische Form), wenn Daten, die nicht in den Anlagen zur VO DV I aufgeführt sind, verarbeitet werden; auch in sonstigen Fällen ist stets die Schriftform zu empfehlen.

Nach den Regelbeispielen im Verordnungstext der DSGVO ist dies insbesondere bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (z. B. systematisches Profiling; kommunale Meldedaten; umfangreiche behördliche Erhebungen im Zuge der Bewilligung von Sozialleistungen).

Daher besteht für die Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke, über die auf Ebene einer Einzelschule üblicherweise entschieden wird, nach Einschätzung des Ministeriums für Schule und Bildung in der Regel keine Verpflichtung der Schulleitung, eine Datenschutzfolgeabschätzung durchzuführen.

Die Erhebung und sonstige Verarbeitung (z.B. Übermittlung) personenbezogener Daten wie Name, Anschrift und Telefonnummer von Eltern durch die Schule ist insoweit zulässig, als es zur Erfüllung der der Schule durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist (§120 Abs. 1 S. 1 SchulG).

Zu den Aufgaben der Schule gehört es auch, zu gewährleisten, dass Eltern durch ihre Vertretungen auf unterschiedlichen Ebenen an der Gestaltung des Schulwesens zum Beispiel in der Klassen- und Schulpflegschaft mitwirken können (§§ 62, 72 Abs. 2 und 4, 73 SchulG).

Für eine datenschutzrechtliche Prüfung der Arbeit der Gremien ist relevant, welche Aufgaben ein Gremium konkret hat und inwieweit dazu die Verarbeitung von Schüler-/Elterndaten tatsächlich notwendig ist.

Danach dürfen den Klassenpflegschaften und den Schulpflegschaften die Kontaktdaten aller Eltern einer Klasse, Stufe oder Schule prinzipiell nicht durch die Schule zur Verfügung gestellt werden.
Die Kenntnis dieser Daten wäre zur Erfüllung ihrer Funktion zwar dienlich und nützlich, sie sind zur Erfüllung der Aufgaben aber nicht erforderlich. Die Einladungen zu den Sitzungen oder zu ähnlichen Veranstaltungen können durch die Schule weitergeleitet werden, indem die Klassenleitung die Einladungsschreiben über die Kinder an die Eltern ausgibt. Insoweit ist die Schule verpflichtet, die Mitwirkungsgremien wirksam zu unterstützen.
Im Übrigen ist es z.B. Klassenpflegschaftsvorsitzenden unbenommen, die Eltern bei der konstitutiven Sitzung oder bei einem anderen Elternabend um ihre Einwilligung zur Aufnahme ihrer Kontaktdaten in eine Klassenliste zum Zwecke der Kontaktpflege untereinander zu bitten. Abwesende Eltern können wiederum über die Klassenleitung, wie oben beschrieben, um ihre Einwilligung gebeten werden.

Anders zu beurteilen ist dagegen die Weitergabe der Namen, Anschriften und Telefonnummern nur der Klassenpflegschaftsvorsitzenden, Jahrgangsstufenvertretungen und deren Stellvertretungen an die Schulpflegschaftsvorsitzenden und deren Stellvertretungen.
Diese Mitglieder der Schulpflegschaft sind ehrenamtliche Funktionsträger der Schule, die sich zur Übernahme ihrer besonderen Aufgaben in ihr Amt haben wählen lassen. Zur Erfüllung dieser Aufgaben kann es erforderlich werden, dass die oder der Vorsitzende kurzfristig Kontakt zu Mitgliedern der Schulpflegschaft aufnehmen muss, um z. B. Termine abzustimmen oder Besprechungsinhalte zu koordinieren. Aus datenschutzrechtlicher Sicht ist es daher hinnehmbar, wenn die Schule die relevanten Daten der Klassenpflegschaftsvorsitzenden, Jahrgangsstufenvertretungen und ggf. Vertretungen ohne Einwilligung der Betroffenen an die Schulpflegschaftsvorsitzenden/Stellvertretungen weiterleitet.
Die Daten dürfen nur für die Zwecke des Schulpflegschaftsamtes verwendet werden und sind vertraulich zu behandeln.

In Schulen werden teilweise zur Gebäudesicherung elektronische Schließanlagen mit Zugangskontrollsystemen betrieben. Es besteht keine rechtliche Grundlage, personenbezogene Daten von Lehrkräften zu verarbeiten, z. B. mittels Erfassen von Nutzungszeiten oder Aufschließzeiten der Räume mit Personenzuordnung.

Zulässig ist, Schließanlagen mit Funktionalitäten zu betreiben, die eine reine Zugangskontrolle sicherstellen; dem Zweck, die Sicherheit für Personen, Anlagen und Gegenstände in Schulgebäuden zu erhöhen, ist damit gedient.

Vertretungspläne sollen u. a. dazu dienen, das durch den Stundenplan vorbereitete Verhalten von Schülerinnen und Schülern oder Lehrkräften aktuellen Gegebenheiten anzupassen. Schülerinnen und Schüler benötigen Informationen, wenn sie einen anderen als den geplanten Lernort aufsuchen müssen. Vertretende Lehrkräfte benötigen Informationen, um den Vertretungsunterricht fachlich übernehmen zu können.

Die Veröffentlichung von Vertretungsplänen über digitale schwarze Bretter innerhalb der Schule ist zulässig, ebenso wie die Bereitstellung über einen passwortgeschützen Bereich (z. B. LOGINEO NRW). Die öffentliche Bekanntgabe von Vertretungsplänen im Internet, z. B. auf der Schulhomepage widerspricht dem Datenschutz.

Der Zugang zum passwortgeschützen Bereich, in dem der Vertretungsplan liegt, ist nicht zwingend über personalisierte Logins zu realisieren. Es wird als ausreichend angesehen, wenn den berechtigten Personen der Schulgemeinede die Zugangsdaten z.B. mit Ausgabe des Stundenplans bekannt gegeben werden. Schulhalbjährlich und wenn bekannt wird, dass eine größere Zahl nicht berechtigter Personen Kenntnis der Zugangsdaten erlangt haben sollten, sind die Zugangsdaten zu ändern.

Rechtsgrundlage für die Erhebung und Verarbeitung von Protokolldaten bei der Nutzung informationstechnischer Systeme – z. B. einer Lernplattform – stellt die in der DSGVO geforderten Sicherheit der Verarbeitung dar. Die dazu erhobenen Daten werden also nicht auf Basis des Schulgesetzes erhoben, sondern dienen allein der Integrität der informationstechnischen Systeme.

Die Herausgabe von Protokolldaten durch zugriffsberechtigte Personen - z. B. Administratoren - darf nur nach richterlicher Anordnung an die Ermittlungsbehörden erfolgen. Hier steht das Recht auf informationelle Selbstbestimmung der Schülerinnen und Schüler klar über den pädagogischen Interessen der Lehrkräfte – „einen Lehrer interessiert außerhalb einer Klassenfahrt nicht, wann die Schüler ins Bett gehen“.