Beiträge :: Kategorie @EDV, Internet und Endgeräte

Folgende Beiträge wurden gefunden:

Was ist beim Einsatz von Lernprogrammen, Apps, und Onlinediensten zu beachten, wenn bei der Nutzung personenbezogene Daten verarbeitet werden?

Die zunehmende Digitalisierung an den Schulen und die Anforderungen an zeitgemäßen, ansprechenden und wirklichkeitsnahen Unterricht führen zu einem stark steigenden Bedarf nach dem Einsatz unterschiedlichster digitaler Werkzeuge. Die Bandbreite erstreckt sich vom lokalen Einsatz von Office-Anwendungen, einfacher Simulationsprogramme und interaktiven Apps bis hin zur Nutzung kommerzieller, zentral betriebenen Lernplattformen, Videokonferenz- und Lernmanagementsystemen. Für die Nutzung kommen Endgeräte verschiedener Hersteller, Betriebssysteme und Leistungsklassen zum Einsatz, die sowohl im Eigentum und in Verantwortung der Schule betrieben werden, als auch schülereigene Endgeräte in beliebigen Konfigurationsvarianten. Die Nutzung kann ausschließlich in der Schule, aber auch ergänzend im privaten Umfeld stattfinden (Distanzlernen, Hausaufgaben etc.).

Für die Beantwortung der Fragen, ob ein bestimmtes, von Schule nachgefragtes, Produkt oder ein Onlineangebot überhaupt in Schule rechtmäßig eingesetzt werden kann, ist zunächst ein Nutzungskonzept zu entwerfen, in dem Zwecke und Ziele, beteiligte Personengruppen, die Verwendungsorte und die Herkunft der Endgeräte (schulisch/privat) festgelegt wird.

Für die Klärung der Frage, ob die Anwendung vor der Nutzung einer datenschutzrechtlichen Prüfung unterzogen werden muss und welche Dokumentationserfordernisse daraus für die Schule erwachsen, ist entscheidend, ob das geplante Verfahren mit einer Verarbeitung personenbezogener Daten einhergeht. Findet die Verarbeitung darüber hinaus nicht lokal, sondern bei einem Dienstleister (Programmanbieter, Hostingdienstleister) statt, ist zusätzlich ein Auftragsverarbeitungsvertrag zwischen Schule und Dienstleister zu schließen und ggf. eine Genehmigung beim Bildungsministerium einzuholen.

Einen Mustergenehmigungsantrag finden Sie auf der Medienberatungsseite des IQSH. Auf derselben Seite stehen zudem Muster-Dokumentenpakete für die sogenannten Landesdienste sowie einige häufig in Schule genutzte Einzellösungen zum Download bereit.

Lehrkräfte sollten nicht eigenmächtig Apps oder Onlinedienste, die mit der Verarbeitung personenbezogener Daten einher gehen, einführen oder gar Schülerinnen und Schüler zur Installation verpflichten. Hier ist immer eine Absprache/Genehmigung mit/durch die Schulleitung erforderlich, da diese die Gesamtverantwortung für die Einhaltung und Organisation des Datenschutzes trägt (§ 2 SchulDSVO).

Die diesem Beitrag beigefügten Unterlagen sollen Ihnen erste Informationen zu diesem Themenkomplex und Hilfestellungen bei der Auswahl geben sowie die erforderliche Verarbeitungsdokumentation mit Mustern unterstützen.

Zugehörige Dateien
→ Verarbeitungsdokumentation_Muster [ZIP]
→ Checkliste_Auftragsverarbeitung_I [DOCX]
→ Checkliste_Auftragsverarbeitung_II [DOCX]
→ Checkliste_Dokumentationspflichten [DOCX]
→ Schnellüberblick zum Auswahl-, Prüf- und Einführungsverfahren für digitale Medien [PDF]

Tags →  @Dokumentationspflichten, →  @Handreichungen, Muster und Checklisten, →  @EDV, Internet und Endgeräte, →  @Onlinedienste und Digitale Medien, →  @Auftragsverarbeitung, → #Verzeichnis von Verarbeitungstätigkeiten (VVT), → #Technische und organisatorische Maßnahmen (TOM), → #Genehmigung, → #Lehrmittel, → #Lernmittel, → #Lehrkräfte, → #LiV.
Stand 19.12.2023 11:56:26 [23835] → PermaLink


Nutzung privater Endgeräte - Was ist bei der Beantragung, Genehmigung und Nutzung zu beachten?

Vorbemerkung:

Private Endgeräte dürfen für die dienstliche Verarbeitung personenbezogener Daten nur verwendet werden, wenn hierfür eine Genehmigung auf Antrag der Lehrkraft durch die Schulleitung erteilt wurde. Eine solche Genehmigung stellt nach der Neuerung der SchulDSVO im Juli 2022 nur noch die Ausnahme dar. Durch die vom Land sukzessive Bereitstellung dienstlicher Endgeräte für die Arbeitsverrichtung werden zunehmend keine Genehmigungen mehr für private Endgeräte erteilt. Des Weiteren erlischt die bisher erteilte Genehmigung nach §14 Abs. 7 SchulDSVO sobald ein dienstliches Endgerät zur Verfügung steht. Für den Ausnahmefall bleibt das alte Verfahren vorerst dennoch bestehen. Die Antragstellung erfolgt eigenverantwortlich durch die Lehrkraft (Bringschuld). Die Genehmigung ist maximal 4 Jahre gültig. Sie muss erneut beantragt werden, wenn sich Änderungen am Antragsgegenstand ergeben (neue Programme, neues Endgerät).


Antrags- und Genehmigungsverfahren:

Die Rahmenbedingungen zur Nutzung privater Endgeräte ergeben sich formal aus dem § 14 SchulDSVO. Die Lehrkraft sichert in Ihrem Antrag (Musterformular im Anhang) verschiedene organisatorische Maßnahmen (nur dienstliche Verarbeitung, keine Offenlegung gegenüber Dritten, Wahrung der Vertraulichkeit, Ermöglichung der Einsichtnahme zu Kontrollzwecken gegenüber der Datenschutzaufsichtsbehörde und der Schulleitung, Mitteilung bei Änderungen des Antragsgegenstands) zu und verpflichtet sich darüber hinaus, angemessene Sicherheitsmaßnahmen (Artikel 32 DSGVO und § 30 Absatz 10 Schulgesetz) zu ergreifen und nur Programme zu verwenden, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten das erforderliche und angemessene Maß an Vertraulichkeit sicherstellen.

Damit beschränkt sich der Prüfaufwand durch die Schulleitung für die Erteilung der Genehmigung auf die im Antrag angegebenen Programme, mit denen die Lehrkraft personenbezogene Daten verarbeiten möchte (bspw. Office-Anwendungen für Listen, Zeugnisentwürfe, Gutachten etc., digitale Lehrerkalender) und das Betriebssystem des Endgerätes. Weitere Programme, die die Lehrkraft bspw. zur Unterrichtsvor- und Nachbereitung (Erstellung von Arbeitsblättern, Präsentationen, Klassenarbeiten etc.) oder im Unterricht (bspw. Simulationen, Visualisierung) einsetzen möchte und in denen keine personenbezogenen Daten bearbeitet werden, sind davon ausgenommen.

Prüfung folgender Punkte durch die Schulleitung auf Grund des Antrags:

Hinweise zur Nutzung privater Endgeräte für Lehrkräfte, die geeignet sind, die Forderungen des §14 SchulDSVO zu erfüllen und insgesamt, auch bei der privaten Nutzung, ein erhöhtes Sicherheitsniveau zu erreichen:

  • Das Endgerät muss mit einem Zugangsschutz versehen sein (Fingerabdruck, Passwort mit min. 8 Zeichen -> Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen).
  • Das Gerät muss auch bei kurzfristiger Abwesenheit gesperrt werden (Tastenkombination Windows+L, [ctrl]+Touch-ID-Sensor).
  • Idealerweise wird ein zweites Benutzerkonto (dienstlich) angelegt, um die Vermischung privater und dienstlicher Daten zu verhindern.
  • Dateien mit personenbezogenen Inhalten, das können auch E-Mailanhänge sein, sollten auf einem verschlüsselten, externen Datenträger (USB-Stick, Wechselfestplatte) abgelegt werden. Alternativ kann ein separater Ordner (verschlüsselter Container) auf dem Endgerät angelegt werden (bspw. der kostenlosen Open-Source-Verschlüsselungssoftware VeraCrypt -> https://www.veracrypt.fr/en/Downloads.html).
  • Wenn vorhanden, sollte eine Festplattenverschlüsselung (bspw. Bitlocker bei Windows 10, FileVault bei MacOS) aktiviert sein.
  • Eine Speicherung personenbezogener Daten bei Clouddiensten (insb. ICloud, GoogleDrive, Dropbox, OneDrive) ist nicht zulässig (vgl. §14 Abs. 6 SchulDSVO).
  • Die installierte oder im Betriebssystem integrierte Antiviren-/Malware-/Firewallsoftware (bspw. Windows Defender) sollte regelmäßig, automatisch vollständige Scans des Rechners durchführen.
  • Automatische Updates für das Betriebssystem, die Schutzsoftware und die genutzten Programme müssen aktiviert sein.
  • Die Verbindung zum Internet sollte nur über vertrauenswürdige Netzwerke erfolgen z. B. über das Netzwerk der Schule, das eigene WLAN zuhause oder einen Hotspot des eigenen Mobiltelefons. Bestehen Zweifel über die Sicherheit der zur Verfügung stehenden Netzwerke (z.B. öffentliche Netzwerke in Bahnhöfen oder Städten), sollte keine Internetverbindung aufgebaut werden.
  • Die Datenschutzeinstellungen des Betriebssystems sollten überprüft und angepasst werden (Tipps: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenschutz-bei-windows-10-erhoehen-12154).
  • Gleiches gilt für die Sicherheitseinstellungen des Internetbrowsers.
  • Dateien sollten unter Beachtung des § 15 SchulDSVO regelmäßig gelöscht werden – auch aus dem Papierkorb.
  • Für aufbewahrungspflichtige Daten (bspw. persönliche Notizen zur Dokumentation von Leistungsbewertungen) sollten regelmäßig Sicherungskopien auf verschlüsselten Wechseldatenträgern angefertigt werden.
  • Digitale Lehrerkalender dürfen nur wie im Antrag vorgegeben genutzt werden (insb. Datenminimierung, Backups, Aufbewahrungspflichten, Verbot von Cloudspeicherung, keine Mehrgerätenutzung)
  • Weitere Informationen zum Schutz von Endgeräten erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Rubrik „Basistipps zur IT-Sicherheit“.
  • Wenn das Endgerät entsorgt werden soll, dann sollte sichergestellt sein, dass alle Daten auf der Festplatte sicher gelöscht sind. Ein einfaches Löschen in den „Papierkorb“ oder im Windows Explorer ist hierfür nicht ausreichend. Auf der BSI-Webseite „BSI für Bürger“ finden Sie Hilfestellungen und kostenfreie Werkzeuge zum sicheren Löschen Ihrer Daten: https://www.bsi-fuer-buerger.de/BSIFB/richtig_loeschen.

Zugehörige Dateien
→ Antrag zur Genehmigung der Nutzung privater Endgeräte durch Lehrkräfte [DOCX]

Tags →  @Handreichungen, Muster und Checklisten, →  @EDV, Internet und Endgeräte, → #Technische und organisatorische Maßnahmen (TOM), → #Genehmigung, → #Private Endgeräte.
Stand 18.10.2023 14:04:16 [17294] → PermaLink


Welche grundlegenden Bedingungen aus Datenschutzsicht muss eine Schulhomepage erfüllen?

Seit 25.05.2018 gelten die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO), die umfassende Informationspflichten der verantwortlichen Stellen gegenüber den betroffenen Personen vorschreiben.

Sofern Schulen eigene Webseiten betreiben, sind sie verpflichtet, entsprechende Datenschutzerklärungen zu veröffentlichen.

Die Datenschutzerklärungen müssen auf die jeweiligen Verhältnisse der Webseite abgestellt werden. Daher kann in dieser FAQ kein allgemein anzuwendendes Muster mit vorgefertigten Formulierungen bereitgestellt werden.

Beigefügt sind als Unterstützung

  • Hinweise zu den Informationspflichten im Allgemeinen und im Zusammenhang mit einem Webauftritt (Link zum ULD).
  • Ein Muster für eine Datenschutzerklärung (s.u.) und ein Impressum (s.u.) einer statischen Schulhomepage, die maximal ein Kontaktformular zur Interaktion enthält.
  • eine Checkliste (s.u.), mit deren Hilfe wichtige Punkte geprüft werden können. Die Liste erhebt keinen Anspruch auf Vollständigkeit.

Die möglicherweise erforderlichen weiteren Informationen zur Datenverarbeitung müssen an die tatsächlichen Verhältnisse der Webseite angepasst werden.

Bei der Gestaltung einer Schulhomepage sollten folgende Punkte beachtet werden: 

Technische Realisierung:

  • Hosting bei einem Provider innerhalb Deutschlands/der EU (Auftragsverarbeitung).
  • DSGVO-konforme Datenschutzhinweise, korrektes Impressum.
  • Datenschutzhinweise und Impressum müssen von der Startseite und allen Unterseiten direkt erreichbar sein.
  • Keine Cookies außer der sog. Sessioncookies (technisch notwendig).
  • Cookie-Hinweis muss beim Aufruf der Seite erscheinen (Pop-Up).
  • Keine Nutzung von Google-Fonts, sondern von auf dem Webserver lokal gespeicherten Schriftarten
  • Kein Einsatz von Analysetools wie Google-Analytics o.ä.
  • Nutzungsauswertung/Analyse darf maximal lokal erfolgen (bspw. durch Matomo)

Unzulässige Inhalte auf einer Schulhomepage (kein Anspruch auf Vollständigkeit) sind:

  • Fotos/Bilder/Grafiken/Namensnennungen, für die keine Einwilligung zur Veröffentlichung vorliegt bzw. nicht mehr nachgewiesen werden kann. (bspw. Bilder von SuS, die bereits die Schule verlassen haben und deren Schülerakte gelöscht wurde)
  • Gleiches gilt für Kontaktlisten
  • Fotos aus anderen Quellen, für die keine Nutzungsrechte bestehen (Urheberrecht)
  • Eingebettete Videos, die einen Player eines nicht datenschutzkonformen Anbieters nutzen
  • Plugins/Like-Buttons von Sozialen Netzwerken oder Streamingdiensten/Videoportalen

Anfahrtsbeschreibungen sollten, wenn erforderlich, mit Openstreetmap als OpenSource-Alternative realisiert werden.

Veröffentlichung von Namen, Kontaktdaten

  • Namensnennungen und Angaben privater Telefonnummern oder Mailadressen von
    Kolleginnen und Kollegen dürfen nur erfolgen, wenn hierfür die Einwilligungen vorliegen.
  • Dies gilt nicht für
    • die Schulleitung (Funktionsträger)
    • Ansprechpartner anderer Behörden, deren Daten im Internet bereits veröffentlicht sind
    • dienstliche Telefonnummern

Zugehörige Dateien
→ Muster Datenschutzerklärung [DOCX]
→ Muster Impressum [DOCX]
→ Checkliste Schulhomepage [PDF]

Tags →  @Handreichungen, Muster und Checklisten, →  @EDV, Internet und Endgeräte, →  @Auftragsverarbeitung, →  @Einwilligungen, → #Homepage, → #Informationspflicht, → #Artikel 13 - Information, → #Lehrkräfte, → #Schulhomepage, → #Webseite, → #Datenschutzerklärung.
Stand 01.11.2023 10:28:53 [16496] → PermaLink


Unter welchen Voraussetzungen kann eine Schule einen Messengerdienst als Kommunikationsmittel einführen?

Im privaten Umfeld nehmen Messengerdienste und soziale Medien als Kommunikationskanäle einen immer größeren Stellenwert ein. Lehrkräfte und Schulleitungen stehen häufig vor der Frage, ob der Einsatz von Facebook oder die Nutzung von WhatsApp oder anderen Messengerdiensten, wie z. B. Threema, für den Austausch von Informationen mit Schülerinnen, Schülern und Eltern (Betroffene) im Schulbereich zulässig ist. Auch Anfragen und Beschwerden von Eltern, deren Kinder mit Lehrkräften auf deren Anregung über solche Dienste mit ihnen kommunizieren sollen, machen eine Auseinandersetzung mit der Thematik erforderlich.

Aus folgenden Gründen ist die Nutzung von Messengerdiensten für die dienstliche Kommunikation zwischen Lehrkräften (kollegiumsintern) und mit Betroffenen (Schülerinnen und Schüler, Eltern etc.) kritisch zu sehen.

Bei der Bewertung sind sowohl die technischen (Produkt, Endgeräte) als auch die organisatorischen (Nutzungsszenario, Nutzungsregeln, Mitbestimmung, Datenschutzdokumentation) Bedingungen zu betrachten.

1. Generell gilt:

Lehrkräfte müssen stets unterscheiden, ob sie mit Betroffenen dienstlich oder privat kommunizieren. Rechtlich betrachtet ist die dienstliche Kommunikation eine Kommunikation der Schule. Ein Beispiel für dienstliche Kommunikation wäre z.B. die Bekanntgabe von Noten oder Stundenausfall. Bei privater Kommunikation handelt die Lehrkraft dagegen für sich selbst, d.h. als Privatperson. Ein Beispiel für private Kommunikation wären z.B. Geburtstagsgrüße. In Zweifelsfällen ist von dienstlicher Kommunikation auszugehen.

In diesem Zusammenhang ist zunächst Folgendes zu beachten: Daten, welche eine Lehrkraft zum Zweck der dienstlichen Kommunikation erhalten hat, darf diese nicht einfach für private Zwecke nutzen. Ist der Lehrkraft die Telefonnummer eines Schülers also z.B. aus der Klassenliste bekannt, darf sie diese Information nicht einfach nutzen, um dem Schüler privat Geburtstagsgrüße zu senden.

Kommuniziert eine Lehrkraft dienstlich, hat sie die besonderen datenschutzrechtlichen Vorgaben des Schulgesetzes und der SchulDSVO zu beachten. 

2. Im Bereich der dienstlichen Kommunikation ist im Einzelnen Folgendes zu beachten:

Die Schule kann personenbezogene Daten der Betroffenen entweder zu Verwaltungszwecken oder zu didaktisch-pädagogischen Zwecken verarbeiten (vgl. § 4 SchulDSVO).

Die Erhebung personenbezogener Daten der Betroffenen zu Verwaltungszwecken erfolgt ausschließlich durch die Schulleitung und das ihr gegenüber weisungsgebundene Personal des Schulsekretariats (§ 8 Abs. 1 SchulDSVO). Die Lehrkräfte sind nicht berechtigt, diese Daten zu eigenen Zwecken zu erheben, sondern erhalten sie nach Maßgabe des § 6 SchulDSVO aus dem Datenbestand der Schule. Natürlich dürfen Lehrkräfte auf Weisung der Schulleitung Daten für die Schulverwaltung erheben.

§ 30 Abs. 1 SchulG i. V. m. § 5 SchulDSVO führt abschließend auf, welche personenbezogenen Daten die Schule für ihre Zwecke erheben und weiter verarbeiten darf.

Die Daten, die die Lehrkräfte zu Verwaltungszwecken erhalten, können von den Lehrkräften selbstverständlich auch für die Kommunikation im pädagogisch-didaktischen Zusammenhang verwendet werden.

Die Entscheidung, in welcher Weise die Schule im Rahmen der Schulverwaltung und im Zusammenhang mit der pädagogisch-didaktischen Kommunikation mit den Betroffenen kommuniziert, liegt jedoch primär bei der Schulleiterin oder dem Schulleiter. Nach § 33 Abs. 2 SchulG tragen die Schulleiterinnen und Schulleiter die Verantwortung für die Erfüllung des pädagogischen Auftrages der Schule sowie die Organisation und Verwaltung der Schule entsprechend den Rechts- und Verwaltungsvorschriften. Daraus folgt, dass die Entscheidung, in welcher Weise die elektronische Kommunikation mit den Betroffenen erfolgt, nicht von jeder Lehrkraft selbst getroffen werden kann.

3. Warum ist die Nutzung von Messengerdiensten, insbesondere WhatsApp, nicht ohne weiteres zulässig?

Obwohl es sich bei Messengerdiensten um Telekommunikationsdienste handelt, werden die europäischen (E-Privacy-Richtlinie der EU) und die deutschen Rechtsregelungen (Art. 10 Grundgesetz, Telekommunikationsgesetz) von einigen der Diensteanbieter, zu denen auch WhatsApp gehört, nicht beachtet.

Viele Anbieter ermöglichen nicht einfach nur Telekommunikation, sondern werten diese Telekommunikationsvorgänge auch zur Nutzeranalyse (u. a. Auswertung von Standortdaten, Daten darüber, wer mit wem kommuniziert und empirische Auswertungen für Werbezwecke) aus. Da mit der Nutzung dieser Dienste die Nutzungsbedingungen anerkannt werden müssen, die einen Ausschluss solcher Vorgänge nicht möglich machen, würde man die personenbezogenen Daten der Schülerinnen und Schüler und der Eltern im Rahmen der dienstlichen Kommunikation diesen Analysen preisgeben.

Bestimmte Messengerdienste gleichen bei der ersten Anmeldung und danach laufend in der Regel die im verwendeten Gerät (z. B. Smartphone) gespeicherten Kontaktdaten ab. Damit werden den Diensteanbietern personenbezogene Daten von unbeteiligten dritten Personen bekannt. Dieser Vorgang würde somit durch eine dienstliche Maßnahme der Lehrkraft ausgelöst werden.

Im Grundsatz findet die Nutzung eines Telekommunikationsanbieters (TK-Anbieter) im Rahmen eines Auftragsverhältnisses statt. Der Auftraggeber beauftragt den Auftragnehmer (TK-Anbieter), Telekommunikation in Form von z. B. Telefonie, E-Mail oder eben Messaging bereitzustellen und zu ermöglichen. Es handelt sich in diesem Fall somit um Auftragsverarbeitung, für die die Vorschriften des Art. 28 DSGVO Anwendung finden. Nach diesen Vorschriften bleibt der Auftraggeber für die Einhaltung der datenschutzrechtlichen Regelungen verantwortlich und hat dies durch das vertraglich vereinbarte Weisungsrecht gegenüber dem Auftragnehmer sicherzustellen. Sofern Telekommunikationsdienste auf der Grundlage des deutschen Rechts in Anspruch genommen werden, ist ein solcher Auftragsverarbeitungsvertrag im Grundsatz entbehrlich, da die Vorschriften zum Schutz des Fernmeldegeheimnisses ausreichend auch die datenschutzrechtlichen Belange soweit sicherstellen. Die Einhaltung wird durch die dafür zuständigen Kontrollinstitutionen, insbesondere die Bundesnetzagentur, überwacht. Hierzu gehört auch die Prüfung der von den Telekommunikationsanbietern zugrunde gelegten Vertragsklauseln und Nutzungsbedingungen.

Viele der bekannten Messengerdienste ausländischer, insbesondere außereuropäischer Anbieter, erfüllen diese Vorgaben nicht.

Ferner ist zu berücksichtigen, dass die Lehrkraft sicherstellen muss, private und dienstliche Kommunikation möglichst eindeutig (technisch) zu trennen. Während bei der Nutzung von E-Mail eine solche Trennung durch die Verwendung verschiedener E-Mail-Adressen möglich ist, ist eine solche Abgrenzung bei Messengerdiensten nicht ohne weiteres möglich.

Kommuniziert eine Lehrkraft mit einem privat genutzten Messengerdienst, wie z. B. WhatsApp, auch in dienstlicher Funktion, erfolgt dies mit demselben Gerät und demselben Messengerdienst. Eine Abgrenzung zwischen dienstlicher und privater Kommunikation ist damit nicht möglich.

Was ist konkret zu beachten, wenn eine Schule einen Messengerdienst als Kommunikationsmittel einführen möchte?

Ein Messenger-Einsatz zur Kommunikation zwischen Lehrkräften (Eltern, Schülerinnen und Schülern) mit einem extern gehosteten Dienst stellt eine Auftragsverarbeitung nach Artikel 28 DSGVO i. V. m. §§ 11, 12 Schul-Datenschutzverordnung dar. Vor dem Einsatz und dem Abschluss eines Nutzungsvertrages/Auftragsverarbeitungvertrages mit einem Anbieter sind noch Vorarbeiten erforderlich.

Grundsätzlich hat jede Schule vor der Einführung/Nutzung eines Onlinedienstes zu prüfen, ob dieser rechtmäßig (insb. Beachtung DSGVO, § 127 SchulG, §§ 2, 11-15 SchulDSVO + Urheberrecht, Jugendmedienschutz) eingesetzt werden kann.

Im ersten Schritt muss ein datenschutzkonform einsetzbares Produkt gefunden werden. Die Datenschutzkonformität eines Dienstes allein garantiert jedoch noch nicht die datenschutzkonforme Nutzung („Nur weil ein Auto TÜV-geprüft ist, kann ich damit trotzdem noch über rote Ampeln fahren“).

Von der Möglichkeit einer datenschutzkonformen Nutzung kann am ehesten ausgegangen werden, wenn der Anbieter seinen Sitz in der EU, im EWR oder in einem Land, für welches ein sogenannter Angemessenheitsbeschluss entsprechend Artikel 45 DSGVO vorliegt (dies ist für die Schweiz erfüllt), hat. Gleiches gilt für die Standorte der Server. Bei Anbietern aus den USA muss man trotz des seit Juni 2023 vorhandenen Angemessenheitsbeschlusses davon ausgehen, dass diese die Voraussetzungen für eine datenschutzkonforme Nutzung nicht uneingeschränkt erfüllen können, da der Angemessenheitsbeschluss nur bei Firmen greift, die sich auch nach dem „Data Privacy Framework“ zertifiziert haben. In allen anderen Fällen sind durch die Schule weiterhin die erweiterten Prüfpflichten zu erfüllen und es kann davon ausgegangen werden, dass dies in den meisten Fällen nicht zu einer positiven Einschätzung führen wird. Weiter ist immer zu beachten, dass viele Dienste die Nutzendendaten (zumindest Metadaten) zu eigenen Zwecken (Profilbildung, Tracking, Werbung) nutzen, was ebenso einen Einsatz im schulischen Kontext ausschließt.

Im zweiten Schritt der Einsatz an der Schule dann durch die entsprechenden Maßnahmen vorbereitet und durchgeführt werden:

  • Schulkonferenzbeschluss
  • Beteiligung des örtlichen Personalrates
  • Festlegung eines Nutzungsszenarios,
  • Ergreifung und Dokumentation technischer und organisatorischer Maßnahmen zur IT-Sicherheit,
  • Information gegenüber den Betroffenen,
  • Erlass von Nutzungsordnungen
  • ggf. Beschaffung/Bereitstellung von Endgeräten
  • ...

Ergänzend ist zu beachten, dass die Einführung einer Messenger-App nicht zu einer Benachteiligung von Schülerinnen und Schülern führen darf, die keine entsprechenden Geräte besitzen oder eine Messenger-App nicht einsetzen wollen. Ein Messengereinsatz würde, bei Fehlen dienstlich bereitgestellter Endgeräte, eine freiwillig erteilte Einwilligung der betroffenen Personen (Eltern für Ihre Kinder bei Minderjährigen) erfordern. Ob echte Freiwilligkeit im Abhängigkeitsverhältnis Schülerin/Schüler zu Schule im Spannungsfeld der Schulpflicht besteht, ist zumindest kritisch zu sehen.

Tags →  @Datenübermittlung, →  @EDV, Internet und Endgeräte, →  @Onlinedienste und Digitale Medien, →  @Auftragsverarbeitung, → #Messengerdienste, → #Facebook, → #WhatsApp, → #Kommunikation, → #Verantwortlichkeit, → #Lehrkräfte, → #LiV.
Stand 24.11.2023 10:03:37 [15320] → PermaLink


Unter welchen Voraussetzungen dürfen digitale Klassen- und Notizbücher geführt werden und ist dies auch mit einem Webservice zulässig?

Nach § 13 SchulDSVO dürfen digitale Klassenbücher anstelle von papierenen Klassen- oder Kursbüchern geführt werden. Diese Vorschrift erlaubt es den Schulen, ihre bisher in Papierform geführten Klassenbücher ausschließlich elektronisch zu führen. Eine parallele Führung schließt die Regelung aus.

Entschließt sich eine Schule für die digitale Führung des Klassenbuches und damit zum Einsatz eines elektronischen Verfahrens, darf sie darin auch personenbezogene Daten der Schülerinnen, Schüler und Eltern speichern (§ 13 Abs. 3 SchulDSVO), wenn dies erforderlich ist. In diesem Fall muss das Verfahren umfänglich dokumentiert werden und die Schulleiterin oder der Schulleiter ist verpflichtet, eindeutige Regelungen zur Nutzung des Verfahrens für die Lehrkräfte und ggf. andere Nutzerinnen und Nutzer (Dienstanweisung) zu treffen und diese in Kraft zu setzen (Rechenschafts- und Dokumentationspflicht nach Art. 5 Abs. 2 DSGVO i. V. m. Art. 32 DSGVO). 

Ferner ist das digitale Klassenbuch, sofern es sich nicht um die Dokumentation von Fehlzeiten und des erteilten Unterrichts handelt, zwingend durch einen zweiten Sicherungsmechanismus (sog. Zwei-Faktor-Authentisierung - 2FA) vor dem Zugang Unbefugter zu sichern (§ 13 Abs. 2 Nr. 3 SchulDSVO).

Zugang zum digitalen Klassenbuch dürfen nur die in § 6 SchulDSVO genannten sowie die zur Schulsozialarbeit eingesetzten Personen erhalten. Darüber hinaus sind alle Daten zentral (Server der Schule oder des Dienstleisters) abzulegen und dürfen nicht lokal auf Endgeräten gespeichert werden.

Wird das digitale Klassenbuch nicht auf informationstechnischen Geräten der Schule, sondern unter Zuhilfenahme eines Dienstleisters geführt, handelt es sich um Auftragsverarbeitung nach Art. 28 DSGVO. In diesem Fall kann die Schulleitung eine solche Datenverarbeitung (unabhängig vom eingesetzten Verfahren) generell nur mit Genehmigung des Bildungsministeriums in Auftrag geben (§ 12 SchulDSVO).

Ergänzend zu den genutzten Funktionen zum Ersatz des papiernen Klassenbuchs bieten die Produkte häufig auch die Möglichkeit, das Lehrkräfte darin persönliche Notizen ablegen und somit die analogen Lehrerkalender in eine digitale Form zu überführen.

Die zum Schuljahr 2022/2023 durch das MBWFK erlassene Änderung der SchulDSVO (siehe Nachrichtenblatt Ausgabe Nr. 6/7/2022 – Schule –)  ermöglicht es auch, losgelöst von digitalen Klassenbüchern, sogenannte digitale Lehrkräftekalender zu führen. Unter welchen Bedingungen dies möglich ist, wird in einem eigenen FAQ-Eintrag erläutert.

Tags →  @Datensicherheit und Datenpannen, →  @EDV, Internet und Endgeräte, →  @Auftragsverarbeitung, → #Digitales Klassenbuch, → #Notizbuch, → #Webservice, → #Lehrkräfte, → #Lehrkräftekalender.
Stand 18.07.2023 15:05:21 [13919] → PermaLink


Kann SchulCommSy auch für Schulverwaltungszwecke (digitales Lehrerzimmer, Austausch von Informationen, Protokolle) genutzt werden?

Schulen benötigen technische Verfahren für eine schnelle Kommunikation sowie den Austausch von Dokumenten für Unterrichtszwecke zwischen Schulleitung, Lehrkräften, Schülerinnen und Schülern. Immer mehr wird es daneben erforderlich, dass Lehrkräfte für dienstliche Zwecke auch Zugang zu Informationen (z.B. Klassenlisten, Konferenzprotokollen usw.) erhalten, die ansonsten nur auf den Schulverwaltungsrechnern (LanBSH-Rechner) gespeichert werden dürfen.

Das IQSH stellt mit dem Verfahren SchulCommSy allen Schulen als Landeslösung eine über das Internet erreichbare technische Lösung kostenfrei zur Verfügung. Das IQSH übernimmt für die Schulen die Aufgabe, die Datensicherheit des Gesamtverfahrens (Anwendung und Server) zu gewährleisten. Dies hat für die Schulen gegenüber anderen im Einsatz befindlichen Verfahren den Vorteil, dass sie von dieser ihnen ansonsten obliegenden Aufgabe entlastet werden.

Unter der Voraussetzung, dass die Vorgaben zur strikten Trennung von Schulverwaltungsdaten (Instanz I) und Daten für pädagogisch-didaktische Zwecke (Instanz II) eingehalten werden, ist ein datenschutzkonformer Einsatz und eine Verarbeitung personenbezogener Daten im in der Nutzungsordnung festgelegten Umfang möglich. Für die Einhaltung der Vorgaben ist die Schulleitung verantwortlich.

Das IQSH hält ein mit dem ULD und dem Datenschutzbeauftragten für die öffentlichen Schulen abgestimmtes Dokumentenpaket vor. Dieses Paket enthält alle Unterlagen, die für den datenschutzrechtlich einwandfreien Betrieb von SchulCommSy erforderlich sind.

Die für die Datenverarbeitung verantwortliche Schulleitung kann somit das Verfahren mit wenigen noch notwendigen Maßnahmen ohne großen eigenen Aufwand in datenschutzkonformer Weise einführen.

Für die Beratung zum Verfahren und der Bereitstellung des Dokumentenpakets steht das IQSH zur Verfügung: https://www.secure-lernnetz.de/helpdesk/ (Bereich Schulportal -> SchulCommSy SH)

Tags →  @EDV, Internet und Endgeräte, → #Schulverwaltung, → #SchulCommSy, → #Lehrerzimmer.
Stand 19.12.2023 11:41:29 [7039] → PermaLink


Dürfen Vertretungspläne auf der Homepage der Schule veröffentlicht werden?

Vertretungspläne dienen der Organisation des Schulbetriebes. Sie informieren die Schülerinnen und Schüler über Veränderungen in den Stundenplänen. Vertretungspläne werden üblicher Weise in den Räumlichkeiten der Schulen ausgehängt und sind damit im Grundsatz nur den Adressaten (Schülerinnen, Schülern, ggf. Eltern und den Lehrkräften) zugänglich. Diese Veröffentlichung von Vertretungsplänen ist zur Organisation des Schulablaufes erforderlich. In diesem Fall ist es datenschutzrechtlich grundsätzlich zulässig, dass die Vertretungspläne Namen von Lehrkräften oder deren entsprechende Kürzel enthalten. Die Gestaltung der Vertretungspläne liegt letztlich im organisatorischen Entscheidungsbereich der Schulleitung. Dabei muss im Einzelfall bewertet werden, ob auf die Angabe des Namens einer Lehrkraft verzichtet werden kann. Ist die Schulleitung der Auffassung, dass die Namensnennung unverzichtbar ist, so müssen es sich die Lehrkräfte gefallen lassen, dass ihre Namen genannt werden, da diese im Zusammenhang mit ihrer (Lehr-)Funktion stehen.

Die Veröffentlichung von Vertretungsplänen auf der schuleigenen Homepage mit Nennung der Namen der Lehrkräfte ist hingegen aus schulorganisatorischen Gründen in der Regel zunächst nicht erforderlich, weil die Schülerinnen und Schüler anhand der Vertretungspläne nur Informationen erhalten müssen, ob sich Fächer verschieben oder sich der Stundenplan verändert hat.

Darüber hinaus ist zu bedenken, dass durch die Veröffentlichung von Vertretungsplänen auf der Schulhomepage nicht nur der eingeschränkte Adressatenkreis der Schulöffentlichkeit Zugang zu diesen Informationen hat, sondern jeder Nutzer des Internets weltweit. Wegen der fehlenden Erforderlichkeit und des unbestimmten Adressatenkreises ist eine Veröffentlichung von Namen der Lehrkräfte daher unzulässig.

Idealerweise sollten die Vertretungspläne in einem gesonderten Bereich der Schulhomepage untergebracht werden, der nur befugten Nutzenden unter Eingabe eines Passwortes zugänglich ist und der nicht für die Web-Öffentlichkeit zur Verfügung steht. Auf diese Weise ließe sich der Zugriff auf solche Daten im Ansatz auf die Schulöffentlichkeit beschränken. Allerdings sollten auch hier maximal die Namenskürzel der Lehrkräfte angegeben werden.

Beabsichtigt die Schulleitung dennoch, zusammen mit den Vertretungsplänen auch personenbezogene Daten der Lehrkräfte zu veröffentlichen, so muss eine Einwilligung der Betroffenen eingeholt werden.

Tags →  @EDV, Internet und Endgeräte, → #Homepage, → #Vertretungsplan, → #Webseite, → #Veröffentlichung.
Stand 14.10.2022 15:14:02 [6998] → PermaLink


Wie können Schülerdaten auf einem Stand-Alone-PC der Schulverwaltung vor unbefugter Kenntnisnahme geschützt werden, wenn das Gerät nicht ausreichend vor Diebstahl geschützt werden kann?

Wenn aufgrund der räumlichen Situation in der Schule ein Diebstahl der Hardware nicht ausgeschlossen werden kann, sollten die auf dem PC gespeicherten Daten nur in verschlüsselter Form auf der Festplatte gespeichert werden. Hierfür gibt es kostengünstige oder sogar kostenfreie Software, die es komfortabel ermöglichen, die Daten sicher zu verschlüsseln. Die Programme erstellen ein virtuelles Laufwerk auf der Festplatte, in dem alle Daten verschlüsselt abgelegt werden. Dieses Laufwerk kann versteckt werden, so dass es auch nicht im Explorer-Fenster erscheint.

In jedem Falle sollte auf tägliche Datensicherungen (Backups) Wert gelegt werden. Das Sicherungsmedium sollte nicht in der Nähe des PC, sondern an einem sicheren Ort gelagert werden. Eine sichere Datenhaltung kann auch durch die Verwendung einer Wechselfestplatte oder eines verschlüsselten USB-Sticks erreicht werden, wenn diese nach Dienstschluss an einem geschützten Ort (beispielsweise in einem Tresor) aufbewahrt werden.

Tags →  @EDV, Internet und Endgeräte, → #Schulverwaltung, → #unbefugte Kenntnisnahme.
Stand 16.07.2021 14:35:22 [6077] → PermaLink


Was ist vor der Einführung eines schulischen WLAN zu beachten?

Um die Nutzung eines WLAN an Schule zu ermöglichen, müssen im Vorfeld bestimmte Fragen der Datensicherheit und des Datenschutzes geklärt sein, damit das WLAN ordnungsgemäß betrieben werden kann. Darunter ist bei der Einführung, neben der Art des Zugangs, auch die weitere Gewährleistung der Sicherheit des in der Schule eingesetzten WLAN zu beachten.


Eine damit verbundene Frage ist die sogenannte „Störerhaftung“ und die damit einhergehende verpflichtende, detaillierte Protokollierung des Internetzugriffs. Hier hat sich die Gesetzliche Grundlage in den vergangenen Jahren geändert: 2017 wurde von der Bundesregierung eine Novelle des Telemediengesetzes (TMG) beschlossen. Hierzu gehörte auch die Abschaffung der Störerhaftung auf Unterlassung. In Kombination mit dem am 01.12.2021 in Kraft getretenem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) entfällt dadurch die Notwendigkeit der umfangreichen Protokollierung der schulischen WLAN-Nutzung. Darüber hinaus wird empfohlen das schulische WLAN mit einem Jugendschutzfilter auszustatten. Dadurch entfällt auch eine mögliche umfangreiche Protokollierung aus pädagogischen Gründen. Eine minimalistische Protokollierung mit kurzer Speicherdauer z.B. der An- und Abmeldung von Geräten im WLAN kann durchaus sinnvoll sein und ist üblich, um z.B. technische Probleme analysieren zu können oder die Auslastung statistisch auszuwerten.


Bietet eine Schule zusätzlich zum schulischen WLAN ein frei zugängliches, ungefiltertes WLAN an (z.B. EchterNorden, Stadtnetze), muss in der Nutzungsordnung (s.u.) festgehalten werden, dass dieses Netz im schulischen Kontext nicht genutzt werden darf. Alle folgenden Erläuterungen beziehen sich ausschließlich auf das pädagogische WLAN.


Je nach Konfiguration des WLANs ist eine vollkommen anonyme Nutzung unwahrscheinlich. Daher muss vor der Inbetriebnahme der Infrastruktur auch die Datenschutz-Dokumentation erfolgt sein. Um diesen Prozess zu Unterstützen stellt das IQSH über die Medienberatungsseite Musterdokumente zur Verfügung. Diese beinhalten neben einem Mustereintrag für das VVT und den Datenschutzhinweisen auch die Dienstanweisung und Nutzungsordnung. Da der Zugang zum Schul-WLAN sehr unterschiedlich realisiert werden kann, enthalten diese Musterdokumente insgesamt drei Beispiele (s.u. Exkurs). Dabei obliegt der Schulleitung die Verantwortung diese Dokumente entsprechend der konkreten Situation vor Ort anzupassen und sie nach der Vervollständigung in Kraft zu setzen.


Hinweise zur Vervollständigung der Dokumentation

Darüber hinaus sind die weiteren Vorgaben aus dem FAQ-Eintrag Was ist beim Einsatz von Lernprogrammen, Apps, und Onlinediensten zu beachten, wenn bei der Nutzung personenbezogene Daten verarbeitet werden? auch auf das WLAN anzuwenden. Insbesondere ist ein Auftragsverarbeitungsvertrag (AVV) mit dem Dienstleister zu schließen, der das WLAN verwaltet. Bei den weiteren Dokumenten z.B. bei der Vervollständigung der Datenschutzhinweise und bei der technischen Beschreibung des Verfahrens ist die Schulleitung zudem ggf. auf die Unterstützung des Dienstleisters angewiesen.


Exkurs zur technischen Umsetzung mit Hilfe von Vouchern

Es gibt verschiedene Möglichkeiten ein schulisches WLAN umzusetzen. Die drei Beispiele aus den Musterdokumenten sind:

  1. die Vergabe personenbezogener Zugänge (Benutzername + Passwort),
  2. die Nutzung eines geteilten Zugangs (geteiltes Passwort) und
  3. die Nutzung zeitlich begrenzter 1x Voucher für Gäste (z.B. Eltern bei Veranstaltungen in der Schule).

Voucher-Systeme lassen sich, neben dem in Beispiel 3 beschriebenen Szenario, deutlich differenzierter nutzen, als nur für die Realisierung von Gast-Zugängen. Unter anderem gibt es Voucher-Systeme mit Nutzer(Gruppen)verwaltung. Hierüber ließe sich dann auch Beispiel 1 (personalisierte Zugänge) abbilden. In diesem Fall der Voucher-Nutzung müssten die Musterdokumente nur geringfügig angepasst werden.

Darüber hinaus existieren vielfältige, weitere Konfigurationsmöglichkeiten. Diese unterscheiden sich meist in Zeit (Dauer), Mehrfachnutzung eines Zugangs und der Möglichkeit der Zuordnung. Daraus ergeben sich die nachfolgenden Leitfragen für die Definition des eigenen Einsatzszenarios:

  • Wie lange soll ein Voucher halten? (x Tage/Monate/Jahre)
  • Auf wie vielen Geräten soll ein Voucher genutzt werden können?
  • Soll ein Voucher einem Gerät bzw. einer Person zugeordnet werden?

Hier können verschiedene Szenarios definiert werden:

  • Soll z.B. den Eltern an einem Elternabend der Zugang zum WLAN ermöglicht werden, kann hierfür einfach 1 Voucher erzeugt werden, der nur 12 Stunden gültig ist, aber 100x genutzt werden kann. Hierbei muss dann nicht dokumentiert werden vom wem der Voucher genutzt wird.
  • Soll ein Voucher-System für den Unterricht verwendet werden, kann es praktikabler sein Voucher z.B. für ein Halbjahr oder Schuljahr auszustellen. In diesem Fall sollte eine Zuordnung von Vouchern und Personen bzw. Geräten erfolgen, so dass einzelne Voucher auch vor Ablauf ihrer Gültigkeit manuell gesperrt werden können.

Hinweis: Bei der Definition eines konkreten Szenarios sollte auch beachtet werden, ob in einem Missbrauchsfall geeignete Maßnahmen getroffen werden können, um diesen zu beenden und ggf. auch nachzuverfolgen. Hier müssen Datenschutz und Datensicherheit bzw. Jugendschutz mit einander in Einklang gebracht werden.

Tags →  @Dokumentationspflichten, →  @EDV, Internet und Endgeräte, →  @Auftragsverarbeitung, → #WLAN.
Stand 19.12.2023 11:52:03 [5627] → PermaLink


Unter welchen Voraussetzungen darf ich einen digitalen Lehrkräftekalender nutzen?

Für die Zulässigkeit eines digitalen Lehrkräftekalenders ist zwischen Angeboten zu unterscheiden, bei denen die Daten lokal auf dem dienstlich bereitgestellten Endgerät der Lehrkraft gespeichert werden und Angeboten, bei denen die Daten online bei einem Auftragsverarbeiter gespeichert werden.


Lokale Speicherung


Lehrkräftekalender, die die Daten lokal auf dem Endgerät der Lehrkraft speichern, können von der Schulleitung genehmigt werden. Die Schulleitung prüft, ob der Lehrkräftekalender datenschutzkonform eingesetzt werden kann und erlässt eine entsprechende Dienstanweisung, die den Umfang und die Grenzen der Nutzung regelt.


Damit die Schulleitung ihrer Prüfpflicht nachkommen kann, ist die Lehrkraft verpflichtet, vor Einsatz des Lehrkräftekalenders die Schulleitung zu informieren und sich die Nutzung genehmigen zu lassen.


Da der Einsatz eines digitalen Lehrkräftekalenders mit einem hohen Prüf- und Dokumentationsaufwand verbunden ist, kann die Schulleitung die Nutzung des Lehrkräftekalenders auf eine bestimmte Anwendung beschränken.


In jedem Fall ist die Nutzung eines Lehrkräftekalenders nur zulässig, wenn der Kalender auf dem dienstlich bereitgestellten oder dienstlich genehmigten Gerät eingesetzt wird und die Speicherung lokal auf dem Gerät erfolgt. Eine Sicherung der Daten bei Onlinediensten ist unzulässig.


Dafür ist sicherzustellen, dass

  • ein Cloud-Backup,
  • die Synchronisation zwischen Endgeräten und
  • die Möglichkeit der Datenweitergabe an andere Lehrkräfte

ausgeschlossen sind.


Zudem müssen dem Schutzbedarf der Daten angemessene Sicherheitsmaßnahmen getroffen werden. Dazu gehören:

  • ein zusätzlicher Passwortschutz für den Lehrkräftekalender
  • die Zugangsdaten für das Endgerät und den Lehrkräftekalender müssen sich unterscheiden
  • Daten der Anwendungen, Exportdateien und Backups müssen verschlüsselt werden

Der zulässige Umfang der personenbezogenen Daten, die hierfür verarbeitet werden dürfen, ergibt sich aus § 30 Abs. 10 S. 1 SchulG i.V.m. § 13 Abs. 3 bis 5 SchulDSVO.


Hierzu gehören:

  • Kontaktdaten,
  • Name, Vorname, Geburtsdatum, Geschlecht und ein rechtmäßig erhobenes Lichtbild,
  • Adressdaten, E-Mail-Adressen, Telefon- und vergleichbare Telekommunikationsverbindungen,
  • Angaben über für die Beschulung relevante gesundheitliche Beeinträchtigung in codierter Form,
  • Angaben zu Nachteilsausgleich, Notenschutz oder einer zurückhaltenden Gewichtung der Rechtschreibleistung,
  • persönliche Zwischenbewertungen von Unterrichtsbeiträgen und des allgemeinen Lernverhaltens sowie Zwischennoten für schriftliche Leistungsnachweise,
  • Angaben zum Sozialverhalten,
  • Namen, Telefonnummern, E-Mail-Adressen der Eltern,
  • Adressdaten von Ausbildungsbetrieben,
  • entschuldigte und unentschuldigte Fehlzeiten des laufenden Schuljahres,
  • eine bestehende Attestpflicht,
  • die Unterrichtsdokumentation.


Die Fehlzeiten, die Attestpflicht und die Unterrichtsdokumentation gehören grundsätzlich ins Klassenbuch und dürfen im Lehrkräftekalender nur zusätzlich gespeichert werden.


Sofern der Lehrkräftekalender die Möglichkeit bietet, ein Lichtbild der Schülerinnen und Schüler zu verarbeiten, ist zu beachten, dass dies erforderlich sein muss und die Lichtbilder rechtmäßig, d.h. mit Einwilligung gegenüber der Schule, erhoben wurden.


In allen Fällen ist zu beachten, dass nur die Daten verarbeitet werden, die für die Aufgabenerfüllung erforderlich sind (Grundsatz der Datenminimierung).


Für die im Lehrkräftekalender verarbeiteten Daten sind Aufbewahrungs- und Löschfristen zu beachten. Diese sind in § 15 SchulDSVO geregelt. Grundsätzlich gilt, dass Daten gelöscht werden müssen, sobald sie nicht mehr erforderlich sind um einer Aufgabe nachzukommen. Eine Ausnahme gilt für Daten, die für die Dokumentation einer Leistungsbewertung in einem gerichtlichen Verfahren erforderlich sein könnten. Diese müssen nach Ablauf des Schuljahres für zwei Jahre aufbewahrt werden und können auf Aufforderung der Schulleitung auch in der Schulverwaltung gespeichert werden.


Für das oben beschriebe Nutzungsszenario existieren Muster-Dokumentenpakete auf der Medienberatungswebseite des IQSH, die für die datenschutzrechtliche Dokumentation verschiedener Lehrkräftekalender als Vorlagen genutzt werden können.


Online-Speicherung


Unter sehr engen Voraussetzungen ist es zulässig, einen Lehrkräftekalender zu nutzen, bei dem die Daten online bei einem Auftragsverarbeiter gespeichert werden.


Grundsätzlich gelten hier dieselben Rahmenbedingungen wie bei lokal abgespeicherten Lehrkräftekalendern. Insoweit wird zu den Erläuterungen zur lokalen Speicherung verwiesen.


Darüber hinaus ist zu beachten, dass online genutzte Lehrkräftekalender immer eine Auftragsverarbeitung darstellen, soweit der Kalender nicht auf Servern der Schule gehostet wird.


Für die Auftragsverarbeitung muss die Schulleitung einen Auftragsverarbeitungsvertrag unterschreiben. Da es sich bei den Daten in einem Lehrkräftekalender zumindest teilweise um Schulverwaltungsdaten handelt, ist für den Abschluss der Auftragsverarbeitung eine Genehmigung des für Bildung zuständigen Ministeriums erforderlich. Einen Mustergenehmigungsantrag finden Sie auf der Medienberatungswebseite des IQSH.


Diese Genehmigung wird erteilt, wenn die Voraussetzungen des § 13 Abs. 2 und 3 SchulDSVO vorliegen. Dafür muss gewährleistet werden, dass nur die Lehrkraft Zugriff auf den Lehrkräftekalender hat, der er gehört und die Nutzung nur auf dienstlichen Geräten bzw. dienstlich genehmigten Geräten erfolgt. Zudem darf der Zugang zu den in § 13 Abs. 4 SchulDSVO aufgeführten Daten nur unter Nutzung einer 2-Faktor-Authentifizierung erfolgen.


Zu diesen in § 13 Abs. 4 SchulDSVO aufgeführten Daten gehören:

  • Name, Vorname, Geburtsdatum, Geschlecht und ein rechtmäßig erhobenes Lichtbild,
  • Adressdaten, E-Mail-Adressen, Telefon- und vergleichbare Telekommunikationsverbindungen,
  • Angaben über für die Beschulung relevante gesundheitliche Beeinträchtigung in codierter Form,
  • Angaben zu Nachteilsausgleich, Notenschutz oder einer zurückhaltenden Gewichtung der Rechtschreibleistung,
  • persönliche Zwischenbewertungen von Unterrichtsbeiträgen und des allgemeinen Lernverhaltens sowie Zwischennoten für schriftliche Leistungsnachweise,
  • Angaben zum Sozialverhalten,
  • Namen, Telefonnummern, E-Mail-Adressen der Eltern,
  • Adressdaten von Ausbildungsbetrieben.

Tags →  @Datensicherheit und Datenpannen, →  @EDV, Internet und Endgeräte, →  @Auftragsverarbeitung, → #Notizbuch, → #Genehmigung, → #Lehrkräftekalender.
Stand 19.12.2023 12:08:43 [4029] → PermaLink


Darf privat beschaffte/bezahlte Software auf Lehrkräfte-Endgeräten eingesetzt werden?

Die von Lehrkräften privat beschaffte und bezahlte Software darf unter bestimmten Voraussetzungen auch weiterhin eingesetzt und auf Lehrkräfte-Endgeräten installiert werden. Im Folgenden wird davon ausgegangen, dass es sich um pädagogisch-didaktische Software handelt. Der Einsatz von Schulverwaltungssoftware unterliegt eigenen Regelungen.


In jedem Fall ist der Einsatz der Software ist nur mit Genehmigung der Schulleitung zulässig. Diese prüft und bewertet vorab, ob ein datenschutzkonformer Einsatz möglich ist.


Unproblematisch zulässig ist dies, soweit mit der Software keine personenbezogenen Daten verarbeitet werden. Etwa, wenn die Software zur Erstellung von Arbeitsblättern genutzt wird.


Wenn mit dieser Software personenbezogene Daten verarbeitet werden, ist darauf zu achten, dass die datenschutzrechtlichen Voraussetzungen für den Einsatz der Software gegeben sind. Die Gesamtverantwortung hierfür trägt gemäß § 2 Abs. 1 SchulDSVO die Schulleitung. Die Einhaltung der datenschutzrechtlichen Vorgaben liegt aber bei allen in der Schule tätigen Personen.


Ein Anspruch auf Erstattung der Kosten für die Software besteht nicht.


Zur Installation der Software wird auf das Endgeräte FAQ der IQSH-Medienberatung verwiesen, da diese vom Gerät und der jeweiligen Software abhängig ist.

Tags →  @EDV, Internet und Endgeräte, → #Genehmigung, → #Lehrmittel, → #Lehrkräfte.
Stand 28.03.2023 12:01:02 [3360] → PermaLink