Die zunehmende Digitalisierung an den Schulen und die Anforderungen an zeitgemäßen, ansprechenden und wirklichkeitsnahen Unterricht führen zu einem stark steigenden Bedarf nach dem Einsatz unterschiedlichster digitaler Werkzeuge. Die Bandbreite erstreckt sich vom lokalen Einsatz von Office-Anwendungen, einfacher Simulationsprogramme und interaktiven Apps bis hin zur Nutzung kommerzieller, zentral betriebenen Lernplattformen, Videokonferenz- und Lernmanagementsystemen. Für die Nutzung kommen Endgeräte verschiedener Hersteller, Betriebssysteme und Leistungsklassen zum Einsatz, die sowohl im Eigentum und in Verantwortung der Schule betrieben werden, als auch schülereigene Endgeräte in beliebigen Konfigurationsvarianten. Die Nutzung kann ausschließlich in der Schule, aber auch ergänzend im privaten Umfeld stattfinden (Distanzlernen, Hausaufgaben etc.).

Für die Beantwortung der Fragen, ob ein bestimmtes, von Schule nachgefragtes, Produkt oder ein Onlineangebot überhaupt in Schule rechtmäßig eingesetzt werden kann, ist zunächst ein Nutzungskonzept zu entwerfen, in dem Zwecke und Ziele, beteiligte Personengruppen, die Verwendungsorte und die Herkunft der Endgeräte (schulisch/privat) festgelegt wird.

Für die Klärung der Frage, ob die Anwendung vor der Nutzung einer datenschutzrechtlichen Prüfung unterzogen werden muss und welche Dokumentationserfordernisse daraus für die Schule erwachsen, ist entscheidend, ob das geplante Verfahren mit einer Verarbeitung personenbezogener Daten einhergeht. Findet die Verarbeitung darüber hinaus nicht lokal, sondern bei einem Dienstleister (Programmanbieter, Hostingdienstleister) statt, ist zusätzlich ein Auftragsverarbeitungsvertrag zwischen Schule und Dienstleister zu schließen und ggf. eine Genehmigung beim Bildungsministerium einzuholen.

Einen Mustergenehmigungsantrag finden Sie auf der Medienberatungsseite des IQSH. Auf derselben Seite stehen zudem Muster-Dokumentenpakete für die sogenannten Landesdienste sowie einige häufig in Schule genutzte Einzellösungen zum Download bereit.

Lehrkräfte sollten nicht eigenmächtig Apps oder Onlinedienste, die mit der Verarbeitung personenbezogener Daten einher gehen, einführen oder gar Schülerinnen und Schüler zur Installation verpflichten. Hier ist immer eine Absprache/Genehmigung mit/durch die Schulleitung erforderlich, da diese die Gesamtverantwortung für die Einhaltung und Organisation des Datenschutzes trägt (§ 2 SchulDSVO).

Die diesem Beitrag beigefügten Unterlagen sollen Ihnen erste Informationen zu diesem Themenkomplex und Hilfestellungen bei der Auswahl geben sowie die erforderliche Verarbeitungsdokumentation mit Mustern unterstützen.

Zugehörige Dateien
→ Verarbeitungsdokumentation_Muster [ZIP]
→ Checkliste_Auftragsverarbeitung_I [DOCX]
→ Checkliste_Auftragsverarbeitung_II [DOCX]
→ Checkliste_Dokumentationspflichten [DOCX]
→ Schnellüberblick zum Auswahl-, Prüf- und Einführungsverfahren für digitale Medien [PDF]

Vorbemerkung:

Private Endgeräte dürfen für die dienstliche Verarbeitung personenbezogener Daten nur verwendet werden, wenn hierfür eine Genehmigung auf Antrag der Lehrkraft durch die Schulleitung erteilt wurde. Eine solche Genehmigung stellt nach der Neuerung der SchulDSVO im Juli 2022 nur noch die Ausnahme dar. Durch die vom Land sukzessive Bereitstellung dienstlicher Endgeräte für die Arbeitsverrichtung werden zunehmend keine Genehmigungen mehr für private Endgeräte erteilt. Des Weiteren erlischt die bisher erteilte Genehmigung nach §14 Abs. 7 SchulDSVO sobald ein dienstliches Endgerät zur Verfügung steht. Für den Ausnahmefall bleibt das alte Verfahren vorerst dennoch bestehen. Die Antragstellung erfolgt eigenverantwortlich durch die Lehrkraft (Bringschuld). Die Genehmigung ist maximal 4 Jahre gültig. Sie muss erneut beantragt werden, wenn sich Änderungen am Antragsgegenstand ergeben (neue Programme, neues Endgerät).

Antrags- und Genehmigungsverfahren:

Die Rahmenbedingungen zur Nutzung privater Endgeräte ergeben sich formal aus dem § 14 SchulDSVO. Die Lehrkraft sichert in Ihrem Antrag (Musterformular im Anhang) verschiedene organisatorische Maßnahmen (nur dienstliche Verarbeitung, keine Offenlegung gegenüber Dritten, Wahrung der Vertraulichkeit, Ermöglichung der Einsichtnahme zu Kontrollzwecken gegenüber der Datenschutzaufsichtsbehörde und der Schulleitung, Mitteilung bei Änderungen des Antragsgegenstands) zu und verpflichtet sich darüber hinaus, angemessene Sicherheitsmaßnahmen (Artikel 32 DSGVO und § 30 Absatz 10 Schulgesetz) zu ergreifen und nur Programme zu verwenden, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten das erforderliche und angemessene Maß an Vertraulichkeit sicherstellen.

Damit beschränkt sich der Prüfaufwand durch die Schulleitung für die Erteilung der Genehmigung auf die im Antrag angegebenen Programme, mit denen die Lehrkraft personenbezogene Daten verarbeiten möchte (bspw. Office-Anwendungen für Listen, Zeugnisentwürfe, Gutachten etc., digitale Lehrerkalender) und das Betriebssystem des Endgerätes. Weitere Programme, die die Lehrkraft bspw. zur Unterrichtsvor- und Nachbereitung (Erstellung von Arbeitsblättern, Präsentationen, Klassenarbeiten etc.) oder im Unterricht (bspw. Simulationen, Visualisierung) einsetzen möchte und in denen keine personenbezogenen Daten bearbeitet werden, sind davon ausgenommen.

Prüfung folgender Punkte durch die Schulleitung auf Grund des Antrags:

•  die installierte Betriebssystemversion muss aktuell sein
  • Windows 10 (https://docs.microsoft.com/de-de/windows/release-health/release-information)
    
  • Apple-macOS (https://support.apple.com/de-de/HT201260)
  • Apple iPad-OS (https://support.apple.com/de-de/guide/ipad/ipad213a25b2/ipados)
• die installierte Office Anwendung muss aktuell sein, damit sie noch mit Sicherheitsupdates versorgt wird. Sie muss lokal installiert sein.
• Beispiele:
  • LibreOffice (de.libreoffice.org)
    
  • OpenOffice (openoffice.org/de)
    
  • Microsoft Office 2013 (Ende des Supports am 11.04.2023)
  • Microsoft Office 2016 (14.10.2025)
  • Microsoft Office 2019 (14.10.2025)
  • Microsoft Office 2019 for Mac (10.10.2023)
    
• -> Quelle: https://docs.microsoft.com/de-de/lifecycle/products/?products=office&terms=Microsoft%20Office
  
• Office 365/Microsoft 365 darf für die Verarbeitung personenbezogener Daten nicht verwendet werden, da die Dokumentenbearbeitung/-speicherung bei Clouddiensten nicht zulässig ist (§14 Absatz 6 SchulDSVO). Hier muss die Lehrkraft dann parallel bspw. LibreOffice installieren.
• ältere Betriebssystemversionen (bspw. Windows 7) oder Officeanwendungen (bspw. MS Office 2010) dürfen nicht mehr eingesetzt werden, da hier der Support mit wichtigen Sicherheitsupdates ausgelaufen ist und somit auf Grund von Sicherheitslücken ein erhöhtes Risiko besteht.
• Bei Internetbrowsern, die bspw. für den Zugang zum E-Mailpostfach (…@schule-sh.de -> verpflichtend zu nutzen für dienstliche Kommunikation), Schulportal, Lernmanagementsystem oder für Videokonferenzen eingesetzt werden, ist ebenfalls darauf zu achten, dass eine aktuelle Version installiert ist und aktuell gehalten wird:
  • Beispiele:
  • Edge (https://www.microsoft.com/de-de/edge)
  • Firefox (https://www.mozilla.org/de/firefox/new/)
  • Chrome (https://www.google.com/intl/de/chrome/)
• weitere von der Lehrkraft angegebene Programme müssen ebenfalls hinsichtlich der Aktualität und Sicherheit bewertet werden.
• Insbesondere für digitale Lehrerkalender gelten die in der Ergänzung zum Antragsformular aufgeführten Rahmenbedingungen/Einschränkungen.

Hinweise zur Nutzung privater Endgeräte für Lehrkräfte, die geeignet sind, die Forderungen des §14 SchulDSVO zu erfüllen und insgesamt, auch bei der privaten Nutzung, ein erhöhtes Sicherheitsniveau zu erreichen:

• Das Endgerät muss mit einem Zugangsschutz versehen sein (Fingerabdruck, Passwort mit min. 8 Zeichen -> Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen).
• Das Gerät muss auch bei kurzfristiger Abwesenheit gesperrt werden (Tastenkombination Windows+L, [ctrl]+Touch-ID-Sensor).
• Idealerweise wird ein zweites Benutzerkonto (dienstlich) angelegt, um die Vermischung privater und dienstlicher Daten zu verhindern.
  
• Dateien mit personenbezogenen Inhalten, das können auch E-Mailanhänge sein, sollten auf einem verschlüsselten, externen Datenträger (USB-Stick, Wechselfestplatte) abgelegt werden. Alternativ kann ein separater Ordner (verschlüsselter Container) auf dem Endgerät angelegt werden (bspw. der kostenlosen Open-Source-Verschlüsselungssoftware VeraCrypt -> https://www.veracrypt.fr/en/Downloads.html).
• Wenn vorhanden, sollte eine Festplattenverschlüsselung (bspw. Bitlocker bei Windows 10, FileVault bei MacOS) aktiviert sein.
• Eine Speicherung personenbezogener Daten bei Clouddiensten (insb. ICloud, GoogleDrive, Dropbox, OneDrive) ist nicht zulässig (vgl. §14 Abs. 6 SchulDSVO).
  
• Die installierte oder im Betriebssystem integrierte Antiviren-/Malware-/Firewallsoftware (bspw. Windows Defender) sollte regelmäßig, automatisch vollständige Scans des Rechners durchführen.
• Automatische Updates für das Betriebssystem, die Schutzsoftware und die genutzten Programme müssen aktiviert sein.
• Die Verbindung zum Internet sollte nur über vertrauenswürdige Netzwerke erfolgen z. B. über das Netzwerk der Schule, das eigene WLAN zuhause oder einen Hotspot des eigenen Mobiltelefons. Bestehen Zweifel über die Sicherheit der zur Verfügung stehenden Netzwerke (z.B. öffentliche Netzwerke in Bahnhöfen oder Städten), sollte keine Internetverbindung aufgebaut werden.
• Die Datenschutzeinstellungen des Betriebssystems sollten überprüft und angepasst werden (Tipps: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenschutz-bei-windows-10-erhoehen-12154).
• Gleiches gilt für die Sicherheitseinstellungen des Internetbrowsers.
  
• Dateien sollten unter Beachtung des § 15 SchulDSVO regelmäßig gelöscht werden – auch aus dem Papierkorb.
• Für aufbewahrungspflichtige Daten (bspw. persönliche Notizen zur Dokumentation von Leistungsbewertungen) sollten regelmäßig Sicherungskopien auf verschlüsselten Wechseldatenträgern angefertigt werden.
• Digitale Lehrerkalender dürfen nur wie im Antrag vorgegeben genutzt werden (insb. Datenminimierung, Backups, Aufbewahrungspflichten, Verbot von Cloudspeicherung, keine Mehrgerätenutzung)
• Weitere Informationen zum Schutz von Endgeräten erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Rubrik „Basistipps zur IT-Sicherheit“.
• Wenn das Endgerät entsorgt werden soll, dann sollte sichergestellt sein, dass alle Daten auf der Festplatte sicher gelöscht sind. Ein einfaches Löschen in den „Papierkorb“ oder im Windows Explorer ist hierfür nicht ausreichend. Auf der BSI-Webseite „BSI für Bürger“ finden Sie Hilfestellungen und kostenfreie Werkzeuge zum sicheren Löschen Ihrer Daten: https://www.bsi-fuer-buerger.de/BSIFB/richtig_loeschen.

Zugehörige Dateien
→ Antrag zur Genehmigung der Nutzung privater Endgeräte durch Lehrkräfte [DOCX]

Seit 25.05.2018 gelten die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO), die umfassende Informationspflichten der verantwortlichen Stellen gegenüber den betroffenen Personen vorschreiben.

Sofern Schulen eigene Webseiten betreiben, sind sie verpflichtet, entsprechende Datenschutzerklärungen zu veröffentlichen.

Die Datenschutzerklärungen müssen auf die jeweiligen Verhältnisse der Webseite abgestellt werden. Daher kann in dieser FAQ kein allgemein anzuwendendes Muster mit vorgefertigten Formulierungen bereitgestellt werden.

Beigefügt sind als Unterstützung

• Hinweise zu den Informationspflichten im Allgemeinen und im Zusammenhang mit einem Webauftritt (Link zum ULD).
• Ein Muster für eine Datenschutzerklärung (s.u.) und ein Impressum (s.u.) einer statischen Schulhomepage, die maximal ein Kontaktformular zur Interaktion enthält.
• eine Checkliste (s.u.), mit deren Hilfe wichtige Punkte geprüft werden können. Die Liste erhebt keinen Anspruch auf Vollständigkeit.

Die möglicherweise erforderlichen weiteren Informationen zur Datenverarbeitung müssen an die tatsächlichen Verhältnisse der Webseite angepasst werden.

Bei der Gestaltung einer Schulhomepage sollten folgende Punkte beachtet werden: 

Technische Realisierung:

• Hosting bei einem Provider innerhalb Deutschlands/der EU (Auftragsverarbeitung).
• DSGVO-konforme Datenschutzhinweise, korrektes Impressum.
• Datenschutzhinweise und Impressum müssen von der Startseite und allen Unterseiten direkt erreichbar sein.
• Keine Cookies außer der sog. Sessioncookies (technisch notwendig).
• Cookie-Hinweis muss beim Aufruf der Seite erscheinen (Pop-Up).
• Keine Nutzung von Google-Fonts, sondern von auf dem Webserver lokal gespeicherten Schriftarten
• Kein Einsatz von Analysetools wie Google-Analytics o.ä.
• Nutzungsauswertung/Analyse darf maximal lokal erfolgen (bspw. durch Matomo)

Unzulässige Inhalte auf einer Schulhomepage (kein Anspruch auf Vollständigkeit) sind:

• Fotos/Bilder/Grafiken/Namensnennungen, für die keine Einwilligung zur Veröffentlichung vorliegt bzw. nicht mehr nachgewiesen werden kann. (bspw. Bilder von SuS, die bereits die Schule verlassen haben und deren Schülerakte gelöscht wurde)
• Gleiches gilt für Kontaktlisten
• Fotos aus anderen Quellen, für die keine Nutzungsrechte bestehen (Urheberrecht)
• Eingebettete Videos, die einen Player eines nicht datenschutzkonformen Anbieters nutzen
• Plugins/Like-Buttons von Sozialen Netzwerken oder Streamingdiensten/Videoportalen

Anfahrtsbeschreibungen sollten, wenn erforderlich, mit Openstreetmap als OpenSource-Alternative realisiert werden.

Veröffentlichung von Namen, Kontaktdaten

• Namensnennungen und Angaben privater Telefonnummern oder Mailadressen von
  Kolleginnen und Kollegen dürfen nur erfolgen, wenn hierfür die Einwilligungen vorliegen.
• Dies gilt nicht für
  • die Schulleitung (Funktionsträger)
  • Ansprechpartner anderer Behörden, deren Daten im Internet bereits veröffentlicht sind
  • dienstliche Telefonnummern

Zugehörige Dateien
→ Muster Datenschutzerklärung [DOCX]
→ Muster Impressum [DOCX]
→ Checkliste Schulhomepage [PDF]

An Schulen wird häufig der Wunsch geäußert, Foto- oder Videoaufnahmen von Schülerinnen und Schülern anzufertigen und diese zu verschiedensten Zwecken zu nutzen. Anlässe können hier beispielsweise Einschulungs- oder Entlassungsfeiern, Projektwochen, Wettbewerbe, Klassenfahrten sowie auch schulöffentliche Aufführungen von Orchestern oder Theatergruppen sein. Ebenso sind die verfolgten Zwecke vielseitig. Hier sind beispielsweise der Aushang von Fotos in Klassenräumen oder im Schulgebäude, die Veröffentlichung auf der Schulwebseite, die Weitergabe an Eltern, die Erstellung von Jahrbüchern, die Speicherung im Schulverwaltungsprogramm oder einem digitalen Klassenbuch sowie die Erstellung von „Erinnerungsfotos“ durch Eltern zu nennen.

Für eine Bewertung der Zulässigkeit solcher Aufnahmen ist in erster Linie folgende Frage zu beantworten:

Wer fotografiert wen, zu welchem Anlass und zu welchem Zweck?

Hinsichtlich des Fotografierens im Schulbereich sind neben dem Schulgesetz (SchulG) und der Schul-Datenschutzverordnung (SchulDSVO) auch die Regelungen in der EU-Datenschutzgrundverordnung (DSGVO) und ggf. des Kunsturhebergesetzes („Recht am eigenen Bild“) zu beachten.

Der zulässige Datenumfang für Verarbeitungen von personenbezogenen Daten von Schülerinnen, Schülern und Eltern im Rahmen des Schulverhältnisses, wozu auch Foto- und Videoaufnahmen zählen, ergibt sich aus § 30 Abs. 1 SchulG i. V. m. § 5 SchulDSVO und der Anlage 2 zur SchulDSVO. Alle dort aufgeführten Daten dürfen i. d. R. erhoben und verarbeitet werden, ohne dass es einer Einwilligung der Betroffenen Bedarf.

In dieser abschließenden Aufzählung findet sich seit der Neufassung der SchulDSVO im Juli 2022 auch das Datum „Lichtbild/Foto zu Schulverwaltungszwecken (rechtmäßig erhoben)“. Hier ist abweichend für eine rechtmäßige Erhebung und Nutzung eine zweckbezogene, informierte und freiwillig erteilte Einwilligung erforderlich.

Hierbei ist immer auch die Erforderlichkeit sowie der Zweck der Erstellung dieser Aufnahmen zu prüfen und zu erläutern.

Im sogenannten Schüleraufnahmebogen (hier herunterladbar) werden bereits die Einwilligungen für häufig in Schule auftretende Verarbeitungen abgefragt. Der Bogen kann auf die individuelle Situation vor Ort angepasst und ggf. um weitere Szenarien ergänzt werden

Die diesem Artikel zum Download beigefügten Handreichungen geben detailliertere Informationen unterschiedlichen Szenarien und den Rahmenbedingungen bei der Erstellung und Weiterverarbeitung von Foto- und Videoaufnahmen. Ebenso werden Hinweise zur Gestaltung der erforderlichen Einwilligung gegeben. Ergänzende Informationen und Muster zum Thema Einwilligung sind in diesem FAQ-Beitrag zu finden.

Zugehörige Dateien
→ Hinweise zu Foto- und Videoaufnahmen an Schulen [PDF]
→ Mustereinwilligung für Foto-, Audio-, Videoaufnahmen [DOCX]
→ Muster für einen Aushang bei Veranstaltungen [DOCX]
→ Mustereinwilligung Jahrbuch [DOCX]

Die EU-Datenschutzgrundverordnung (DSGVO) fordert zum Schutz der Daten und damit zur Gewährleistung des Datenschutzes (Schutz der Personen und Ihrer Rechte und Freiheiten) und der Datensicherheit (Schutz der Daten vor Verlust, Veränderung, Offenlegung) die Ergreifung sogenannter technischer und organisatorischer Maßnahmen (TOM). Hierbei handelt es sich um einen der Grundsätze der Verarbeitung nach Artikel 5 DSGVO. Wie TOMs ausgewählt werden und welche Kriterien dabei zu beachten sind, ergibt sich aus Artikel 32 DSGVO.

Auswahl und Implementierung von TOMs sollen zu einer Risikominimierung beitragen und berücksichtigen sowohl die Eintrittswahrscheinlichkeit für eine bestimmte Situation als auch die Schwere des zu erwartenden Schadens für die betroffenen Personen. Die TOMs sollen dem Stand der Technik entsprechen und regelmäßig überprüft werden.

Die Schulleitung ist verantwortlich für die Dokumentation der TOMs und die Überwachung der Einhaltung sowie die regelmäßige Evaluation.

Für die Schulen wurde zentral ein Basis-IT-Sicherheitskonzept entwickelt, welches gleichzeitig eine Bestandsaufnahme (IST-Situation) ermöglicht und im ausgefüllten Zustand auch als Nachweis im Sinne der DSGVO fungiert. Weitere Erläuterungen können dem Konzept entnommen werden. Das Muster ist dieser FAQ beigefügt.

Risikominimierung kann darüber hinaus neben technischen Maßnahmen auch durch organisatorische Maßnahmen erreicht werden, wobei technische Maßnahmen immer vorzuziehen sind. Einfach anzuwendende und praktikable Erstmaßnahmen können dem beigefügten Infoblatt "Sicheres Arbeiten" entnommen werden.

Darüber hinaus sind technische und organisatorische Maßnahmen spezifisch an die Gegebenheiten vor Ort anzupassen.

Wichtig ist, dass organisatorische Maßnahmen verbindlich (bspw. durch eine Belehrung oder Dienstanweisung), allen Beteiligten bekannt und praktikabel umzusetzen sind, damit die nötige Sensibilität und auch Akzeptanz erreicht werden kann.

Zugehörige Dateien
→ Sicheres_Arbeiten_Basics [PDF]
→ Muster-Basis-IT-Sicherheitskonzept [DOCX]

Zunehmend werden die schulischen Aufgaben nicht mehr nur von den Lehrkräften und dem Verwaltungspersonal (Schulsekretärinnen und Hausmeister) wahrgenommen, sondern auch von externen Kräften unterstützt.

Mittlerweile werden in vielen Schulen Schulassistentinnen und Schulassistenten eingesetzt. Diese Personen sind entweder beim Land, bei Schulträgern oder bei anderen Trägern angestellt. In diesen Fällen, sind diese bereits im Rahmen dieser Anstellung arbeitsvertraglich zur Verschwiegenheit verpflichtet. Die Schulleiterin oder Schulleiter hat diese Assistenzkräfte daneben unmittelbar nach Dienstbeginn in der Schule gem. § 3 SchulDSVO über die Pflicht zur Beachtung des Datenschutzes zu belehren. Gleiches gilt für Schulbegleiterinnen und Schulbegleiter.

Die Schulsozialarbeiterinnen und Schulsozialarbeiter, die in den Schulen zum Einsatz kommen, müssen nicht belehrt werden. Für diese gelten in der Regel die Verschwiegenheitspflichten aus § 203 StGB (sog. Patientengeheimnis). Daneben sind sie durch ihre Anstellungsträger zur Verschwiegenheit verpflichtet.

Ferner sind Personen zur Durchführung schulischer Veranstaltungen außerhalb des lehrplanmäßigen Unterrichts (z. B. offener Ganztag) und Unterstützungskräfte bei schulischen Veranstaltung im Einsatz (§ 34 Abs. 6 und 7 SchulG). dieser Personenkreis ist ebenfalls nach § 3 SchulDSVO förmlich zu belehren.

In vielen Schulen sind daneben aber auch Honorarkräfte tätig, die z. B. den Musikunterricht wahrnehmen. Ferner sind in den Schulen Praktikantinnen und Praktikanten sowie Studierende zu Gast, die am Unterricht teilnehmen und dabei auch Kenntnis von personenbezogenen Daten der Schülerinnen und Schüler erhalten.

Dieser Personenkreis steht in keinem Beschäftigungsverhältnis mit dem Land oder dem Schulträger. Arbeitsvertraglich vereinbarte Verschwiegenheitsverpflichtungen, wie sie für Landesbedienstete oder kommunale Mitarbeiter üblich sind, existieren demnach in der Regel nicht.

Es muss jedoch sichergestellt werden, dass dieses Personal die bekannt werdenden personenbezogenen Daten vertraulich behandelt. Aus diesem Grund sind sie von der Schulleitung schriftlich zur Verschwiegenheit zu verpflichten. Ein entsprechendes Muster einer solchen Verschwiegenheitserklärung steht zum Download bereit.

Zugehörige Dateien
→ Muster Verschwiegenheitserklärung [PDF]

In der Schule werden regelmäßig personenbezogene Daten über Schülerinnen und Schüler sowie Eltern verarbeitet. Dies passiert sowohl in der Schulverwaltung (Schülerakte, Schulverwaltungssoftware, schulorganisatorische Belange etc.) als auch durch Lehrkräfte (persönliche Notizen über das Leistungs- und Sozialverhalten, Noten, Zeugnisentwürfe, Kontaktlisten etc.). Aus Datenschutzsicht ist es dabei unerheblich, ob die Daten digital oder in Papierform vorliegen.

Die Datenschutzgrundverordnung (DSGVO - EU-Verordnung 2016/679) versteht unter Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten...". Hierzu gehört auch das Löschen oder die Vernichtung (Artikel 4 Nr. 2).

Verarbeitung passiert kontinuierlich über die gesamte Verweildauer von SuS, bspw. bei der Aufnahme an der Schule, Versetzungen, Abschlussprüfungen und im regulären Schulbetrieb. Hinzu kommen weitere Dokumente, beispielsweise im Rahmen von schulärztlichen Untersuchungen, bei inklusiv beschulten SuS oder im Rahmen des Nachteilsausgleichs. Alle Dokumente mit Relevanz für das Schulverhältnis müssen ordnungsgemäß abgelegt werden - bei aktiven SuS üblicherweise in der Schulverwaltung (Sekretariat), nach Entlassung in einem zur Schule gehörenden Aktenaufbewahrungsraum. Damit Informationen schnell und vollständig gefunden werden können und die aus der DSGVO hervorgehenden Rechenschafts- und Dokumentationspflichten erfüllt sowie die Betroffenenrechte nach Artikel 15 - 22 DSGVO gewahrt werden können, muss die Schule ein datenschutzkonformes Speicher- und Löschkonzept vorweisen und umsetzen.

Der Grundsatz für die Löschung/Aufbewahrung von personenbezogenen Daten lautet: "Daten sind zu löschen, sofern Sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind, es sei denn, eine gesetzliche Vorschrift schreibt eine längere Aufbewahrungszeit/längere Löschfrist vor." (Artikel 5 Abs. 1 Buchst. e DSGVO sowie § 10 Abs. 1 Satz 6 SchulDSVO).

Für die Schulverwaltung regelt der § 10 der Schuldatenschutzverordnung die besonderen Löschfristen abschließend. Da für die verschiedenen in Schule anfallenden Unterlagen auch unterschiedliche Löschfristen festgelegt sind, bedarf es einer daran angepassten Schriftgutverwaltung, um bspw. am Schuljahresende einfach und schnell Unterlagen sortiert nach ihren Löschfristen in den Aktenaufbewahrungsraum zu überführen bzw. dort gelagerte Unterlagen dem zuständigen Archiv zur Übernahme anzubieten bzw. diese, bei Verzicht auf das Anbieten (Klärung mit dem zuständigen Kommunalarchiv im Vorwege), datenschutzkonform zu löschen (siehe dieser FAQ-Eintrag). Ein mögliches Verfahren und weitere Informationen zur Schriftgutverwaltung sind der beigefügten Datei zu entnehmen.

Für Lehrkräfte erfolgt die Regelung durch den § 15 SchulDSVO. Hiernach sind - dem Grundsatz der DSGVO folgend - Unterlagen ebenfalls unverzüglich, datenschutzkonform zu löschen, sobald sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind. Einzige Ausnahme sind Unterlagen, die zur Dokumentation von Leistungsbewertungen in gerichtlichen Verfahren notwendig sein können. Diese sind noch 2 Jahre über das Schuljahresende hinaus aufzubewahren.

Zugehörige Dateien
→ Hinweise zur Schriftgutverwaltung - Muster für ein Ablage- und Löschkonzept [PDF]

Nach § 14 Landesdatenschutzgesetz (LDSG) darf eine öffentliche Stelle u. a. zur Ausübung des Hausrechts öffentlich zugängliche Räume beobachten und auch unter bestimmten Voraussetzungen Videoaufzeichnungen vornehmen.

Immer häufiger wollen Schulen Videoüberwachung einsetzen, um Sachbeschädigungen oder Diebstähle in und an den Schulgebäuden einzudämmen. Unter datenschutzrechtlichen Gesichtspunkten stellt die Videoüberwachung jedoch einen schweren Eingriff in die Persönlichkeitsrechte der Betroffenen dar.

Aus diesem Grunde sollten vor dem Einsatz solcher Überwachungsanlagen zunächst alle anderen Möglichkeiten geprüft werden, um schädigende Handlungen zu unterbinden. Wenn z. B. immer wieder Diebstähle und Sachbeschädigungen an Fahrrädern auf dem Schulhof festgestellt werden, sollte zunächst geprüft werden, ob die Fahrräder nicht in einem anderen Bereich, beispielsweise unter Fenstern von Unterrichtsräumen, abgestellt werden können, also im Blickfeld der Lehrkräfte, Schülerinnen und Schüler. Finden Diebstähle innerhalb des Schulgebäudes statt, beispielsweise von Kleidungsstücken, die auf den Fluren hängen, so wäre es denkbar, dass die Schülerinnen und Schüler diese mit in die Unterrichtsräume nehmen. Bei vermehrten Vorkommnissen könnte unter pädagogischen Aspekten überlegt werden, die Polizei zu bitten, in den Klassen über die strafrechtlichen Konsequenzen solchen Verhaltens Vorträge zu halten. Auch "Kontrollgänge" im Schulgebäude während der Unterrichtszeit (von Lehrkräften mit Freistunden oder des Gebäudemanagements) dürften nicht ohne Wirkung sein.

Diese Maßnahmen sind datenschutzfreundlicher als die Videoüberwachung und zudem kostengünstiger als die Anschaffung und Wartung von Videoüberwachungsanlagen. Für den Fall einer trotzdem angedachten Videoüberwachung hat das Bildungsministerium eine Bekanntmachung hinsichtlich der Anforderungen herausgegeben (Bekanntmachung vom 25. Juni 2018, NBl. MBWK. Seite 289).

Zugehörige Dateien
→ Checkliste zur Bewertung einer Videoüberwachung [DOCX]

Die EU-Datenschutzgrundverordnung (DSGVO) hat als ein übergeordnetes Ziel die Schaffung maximaler Transparenz hinsichtlich der Ausgestaltung, des Umfangs und der Sicherheit bei der Verarbeitung personenbezogener Daten durch die Verantwortlichen. Im Schulumfeld sind dies Schulen, das Ministerium, Schulämter, Schulträger, Elternvertretungen und andere Institutionen/Unternehmen/Behörden, die Daten von Schülerinnen, Schülern, Eltern und auch Beschäftigten verarbeiten.

Diese Grundsätze der Verarbeitung sind in Artikel 5 Absatz 1 DSGVO beschrieben.

Darüber hinaus stehen den, Personen deren Daten verarbeitet werden, umfangreiche Rechte wie beispielsweise Information vor einer Datenerhebung oder Auskunft zu gespeicherten Daten zu. 

Die Betroffenenrechte sind in den Artikeln 12 - 23 der DSGVO beschrieben.  

Um die Einhaltung der Grundsätze nachweisen zu können und darüber transparent zu informieren bzw. die Betroffenenrechte zu wahren ist es erforderlich, dass Verarbeitungsprozesse in Schule dokumentiert sind. Diese Rechenschafts- und Dokumentationspflicht wurde ebenfalls als ein Grundpfeiler in Artikel 5 Absatz 2 DSGVO aufgenommen.

Ein zentrales Dokument ist hierbei das Verzeichnis von Verarbeitungstätigkeiten, in dem alle übergeordneten Verarbeitungstätigkeiten einer datenverarbeitenden Stelle beschrieben werden. Der Inhalt des VVT ist durch Artikel 30 DSGVO festgelegt, für die übersichtliche Erfassung existieren Musterdokumente (siehe unten).

Verantwortlich für die Erstellung und die Erfüllung der Dokumenations- und Rechenschaftspflichten im Ganzen ist die Schulleitung (§ 2 SchulDSVO).

Für die Schulen wurde ein Muster-VVT erarbeitet (siehe unten), welches die primär in Schule anfallenden Verarbeitungstätigkeiten abbildet und somit den Schulen einen wesentlichen Teil der Erstellungsarbeit abnimmt.
Die Schule muss hier nur das Vorblatt mit den Schuldaten komplettieren und innerhalb der Verarbeitungstätigkeiten ggf. Fachverantwortliche benennen und die Angaben auf mögliche schulspezifische Angaben hin prüfen und ggf. anpassen.

Nur für nicht im Muster-VVT erfasste Verarbeitungstätigkeiten muss die Schule auf Basis der Mustervorlage eigene Einträge im VVT ergänzen. 

Zugehörige Dateien
→ Muster-VVT [ZIP]
→ Hinweise zum VVT [PDF]
→ Kurzinfo VVT [PDF]
→ Muster_VT [DOCX]

In § 30 Abs. 1 Satz 2 SchulG ist präzise und abschließend aufgeführt, welche Kategorien von Daten von der Schule verarbeitet werden dürfen. Die Details zu den einzelnen Kategorien finden sich in der Anlage 2 der SchulDSVO. Weitere Daten können nur mit Einwilligung des oder der Betroffenen erhoben werden (Artikel 6 Absatz 1 Buchst. a DSGVO). Dies ist aber nur im Einzelfall zulässig. Die Einwilligung darf allerdings nicht genutzt werden, um ein bestehendes Verbot zu umgehen. Eine regelmäßige Erhebung von Daten, die über das Datenprofil von § 30 Abs. 1 SchulG i. V. m. Anlage 2 SchulDSVO hinausgehen, ist unzulässig. Zwar ist die Schriftlichkeit von Einwilligungen nicht mehr explizit vorgeschrieben. Artikel 7 Absatz 1 EU-Datenschutz-Grundverordnung (DSGVO) verlangt jedoch vom Verantwortlichen den Nachweis, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Dies ist im Grundsatz jedoch nur - wie bisher - mit einer Einwilligung in Schriftform möglich. Die Einwilligung kann in papierener oder in elektronischer Form (z. B. per E-Mail) eingeholt werden. Wichtig ist, dass mit der Einholung der Einwilligung auch eine umfassende Information der betroffenen Person nach Artikel 13 DSGVO erfolgt.

Hinweise zur Gestaltung einer Einwilligung sind unten als Download verfügbar. Hinweise zur Erfüllung der Informationspflichten sind auf den Seiten des Unabhängigen Landeszentrums für Datenschutz (ULD) unter der Bezeichnung „Datenschutz-Steckbrief“ herunterladbar.

Zugehörige Dateien
→ Hinweise zur Gestaltung + Mustereinwilligung [DOCX]

Entsprechend § 2 SchulDSVO trägt die Schulleitung die Verantwortung für die Organisation und Einhaltung des Datenschutzes in der Schule. Dazu gehört auch das Anfertigen bzw. Inkraftsetzen der datenschutzrechtlichen Dokumentation. Die digitalen Dienste, die in der Schule genutzt werden, lassen sich aus Datenschutzperspektive in drei Kategorien unterteilen.

Kategorie 1 - kein Personenbezug

Ein digitaler Dienst muss nur datenschutzrechtlich dokumentiert werden, wenn das Datenschutzrecht anzuwenden ist, d.h. wenn personenbezogene Daten verarbeitet werden. Der Begriff Verarbeitung umfasst u.a. das Erfassen, Übertragen, Speichern und Löschen von Daten. Personenbezogene bzw. personenbeziehbare Daten sind bspw. Name, Kontaktdaten, IP-Adressen und Leistungsdaten.

Kategorie 2 - geringes Schadensrisiko

Das mit der Verarbeitung personenbezogener Daten einhergehende Risiko für die Rechte und Feiheiten der betroffenen Personen, kann durch das Ergreifen geeigneter technischer und/oder organisatorischer Maßnahmen (TOM) reduziert werden. Erfordert beispielsweise eine Lernanwendung nur sehr wenige personenbezogene Daten (z. B. ein Pseudonym und die IP-Adresse), dann kann der Personenbezug gegenüber dem Anbieter verschleiert werden, indem die ausschließliche Nutzung der Anwendung über das Schul-WLAN, auf schuleigenen, nicht-personalisierten Geräten vorgeschrieben wird. Digitale Dienste, die aufgrund eines solchen konkreten Nutzungsszenarios nur ein geringes datenschutzrechtliches Risiko bergen, bezeichnen wir als „Anwendungen mit geringem Datenschutzrisiko“. Für diese Dienste steht ein Dokumentenpaket zur Verfügung, welches mit wenigen Basis-Dokumenten eine Liste von Anwendungen abdeckt. Die Schulleitung kann mit Hilfe der im Dokumentenpaket beigefügten Orientierungshilfe prüfen und entscheiden, ob ein digitaler Dienst unter die Anwendungen mit geringem Datenschutzrisiko fällt. Dabei ist es ausreichend, wenn entsprechende Dienste in die schulinterne Liste übernommen und die Dokumentation an wenigen Stellen angepasst wird. Somit entfällt der Aufwand für jeden Dienst eine eigene Dokumentation anzufertigen.

Kategorie 3 - erhöhtes Schadensrisiko

Wird ein digitaler Dienst, der personenbezogene Daten verarbeitet, in nicht unerheblichem Umfang in der Schule verwendet, so muss für diesen eine spezifische datenschutzrechtliche Dokumentation angefertigt bzw. in Kraft gesetzt werden. Dies ist beispielsweise der Fall, wenn der Einsatz mit einer Auftragsverarbeitung einher geht. Für die Landeslösungen und für einige häufig angefragte Dienste stehen fertige Musterdokumentenpakete zur Verfügung. Für die Neuerstellung noch nicht dokumentierter Dienste können diese als Vorlagen genutzt werden. Allgemeine Hinweise zum Erstellen der datenschutzrechtlichen Dokumentation gibt es in diesem FAQ-Eintrag.