Die zunehmende Digitalisierung an den Schulen und die Anforderungen an zeitgemäßen, ansprechenden und wirklichkeitsnahen Unterricht führen zu einem stark steigenden Bedarf nach dem Einsatz unterschiedlichster digitaler Werkzeuge. Die Bandbreite erstreckt sich vom lokalen Einsatz von Office-Anwendungen, einfacher Simulationsprogramme und interaktiven Apps bis hin zur Nutzung kommerzieller, zentral betriebenen Lernplattformen, Videokonferenz- und Lernmanagementsystemen. Für die Nutzung kommen Endgeräte verschiedener Hersteller, Betriebssysteme und Leistungsklassen zum Einsatz, die sowohl im Eigentum und in Verantwortung der Schule betrieben werden, als auch schülereigene Endgeräte in beliebigen Konfigurationsvarianten. Die Nutzung kann ausschließlich in der Schule, aber auch ergänzend im privaten Umfeld stattfinden (Distanzlernen, Hausaufgaben etc.).

Für die Beantwortung der Fragen, ob ein bestimmtes, von Schule nachgefragtes, Produkt oder ein Onlineangebot überhaupt in Schule rechtmäßig eingesetzt werden kann, ist zunächst ein Nutzungskonzept zu entwerfen, in dem Zwecke und Ziele, beteiligte Personengruppen, die Verwendungsorte und die Herkunft der Endgeräte (schulisch/privat) festgelegt wird.

Für die Klärung der Frage, ob die Anwendung vor der Nutzung einer datenschutzrechtlichen Prüfung unterzogen werden muss und welche Dokumentationserfordernisse daraus für die Schule erwachsen, ist entscheidend, ob das geplante Verfahren mit einer Verarbeitung personenbezogener Daten einhergeht. Findet die Verarbeitung darüber hinaus nicht lokal, sondern bei einem Dienstleister (Programmanbieter, Hostingdienstleister) statt, ist zusätzlich ein Auftragsverarbeitungsvertrag zwischen Schule und Dienstleister zu schließen und ggf. eine Genehmigung beim Bildungsministerium einzuholen.

Einen Mustergenehmigungsantrag finden Sie auf der Medienberatungsseite des IQSH. Auf derselben Seite stehen zudem Muster-Dokumentenpakete für die sogenannten Landesdienste sowie einige häufig in Schule genutzte Einzellösungen zum Download bereit.

Lehrkräfte sollten nicht eigenmächtig Apps oder Onlinedienste, die mit der Verarbeitung personenbezogener Daten einher gehen, einführen oder gar Schülerinnen und Schüler zur Installation verpflichten. Hier ist immer eine Absprache/Genehmigung mit/durch die Schulleitung erforderlich, da diese die Gesamtverantwortung für die Einhaltung und Organisation des Datenschutzes trägt (§ 2 SchulDSVO).

Die diesem Beitrag beigefügten Unterlagen sollen Ihnen erste Informationen zu diesem Themenkomplex und Hilfestellungen bei der Auswahl geben sowie die erforderliche Verarbeitungsdokumentation mit Mustern unterstützen.

Zugehörige Dateien
→ Verarbeitungsdokumentation_Muster [ZIP]
→ Checkliste_Auftragsverarbeitung_I [DOCX]
→ Checkliste_Auftragsverarbeitung_II [DOCX]
→ Checkliste_Dokumentationspflichten [DOCX]
→ Schnellüberblick zum Auswahl-, Prüf- und Einführungsverfahren für digitale Medien [PDF]

Die EU-Datenschutzgrundverordnung (DSGVO) fordert zum Schutz der Daten und damit zur Gewährleistung des Datenschutzes (Schutz der Personen und Ihrer Rechte und Freiheiten) und der Datensicherheit (Schutz der Daten vor Verlust, Veränderung, Offenlegung) die Ergreifung sogenannter technischer und organisatorischer Maßnahmen (TOM). Hierbei handelt es sich um einen der Grundsätze der Verarbeitung nach Artikel 5 DSGVO. Wie TOMs ausgewählt werden und welche Kriterien dabei zu beachten sind, ergibt sich aus Artikel 32 DSGVO.

Auswahl und Implementierung von TOMs sollen zu einer Risikominimierung beitragen und berücksichtigen sowohl die Eintrittswahrscheinlichkeit für eine bestimmte Situation als auch die Schwere des zu erwartenden Schadens für die betroffenen Personen. Die TOMs sollen dem Stand der Technik entsprechen und regelmäßig überprüft werden.

Die Schulleitung ist verantwortlich für die Dokumentation der TOMs und die Überwachung der Einhaltung sowie die regelmäßige Evaluation.

Für die Schulen wurde zentral ein Basis-IT-Sicherheitskonzept entwickelt, welches gleichzeitig eine Bestandsaufnahme (IST-Situation) ermöglicht und im ausgefüllten Zustand auch als Nachweis im Sinne der DSGVO fungiert. Weitere Erläuterungen können dem Konzept entnommen werden. Das Muster ist dieser FAQ beigefügt.

Risikominimierung kann darüber hinaus neben technischen Maßnahmen auch durch organisatorische Maßnahmen erreicht werden, wobei technische Maßnahmen immer vorzuziehen sind. Einfach anzuwendende und praktikable Erstmaßnahmen können dem beigefügten Infoblatt "Sicheres Arbeiten" entnommen werden.

Darüber hinaus sind technische und organisatorische Maßnahmen spezifisch an die Gegebenheiten vor Ort anzupassen.

Wichtig ist, dass organisatorische Maßnahmen verbindlich (bspw. durch eine Belehrung oder Dienstanweisung), allen Beteiligten bekannt und praktikabel umzusetzen sind, damit die nötige Sensibilität und auch Akzeptanz erreicht werden kann.

Zugehörige Dateien
→ Sicheres_Arbeiten_Basics [PDF]
→ Muster-Basis-IT-Sicherheitskonzept [DOCX]

In der Schule werden regelmäßig personenbezogene Daten über Schülerinnen und Schüler sowie Eltern verarbeitet. Dies passiert sowohl in der Schulverwaltung (Schülerakte, Schulverwaltungssoftware, schulorganisatorische Belange etc.) als auch durch Lehrkräfte (persönliche Notizen über das Leistungs- und Sozialverhalten, Noten, Zeugnisentwürfe, Kontaktlisten etc.). Aus Datenschutzsicht ist es dabei unerheblich, ob die Daten digital oder in Papierform vorliegen.

Die Datenschutzgrundverordnung (DSGVO - EU-Verordnung 2016/679) versteht unter Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten...". Hierzu gehört auch das Löschen oder die Vernichtung (Artikel 4 Nr. 2).

Verarbeitung passiert kontinuierlich über die gesamte Verweildauer von SuS, bspw. bei der Aufnahme an der Schule, Versetzungen, Abschlussprüfungen und im regulären Schulbetrieb. Hinzu kommen weitere Dokumente, beispielsweise im Rahmen von schulärztlichen Untersuchungen, bei inklusiv beschulten SuS oder im Rahmen des Nachteilsausgleichs. Alle Dokumente mit Relevanz für das Schulverhältnis müssen ordnungsgemäß abgelegt werden - bei aktiven SuS üblicherweise in der Schulverwaltung (Sekretariat), nach Entlassung in einem zur Schule gehörenden Aktenaufbewahrungsraum. Damit Informationen schnell und vollständig gefunden werden können und die aus der DSGVO hervorgehenden Rechenschafts- und Dokumentationspflichten erfüllt sowie die Betroffenenrechte nach Artikel 15 - 22 DSGVO gewahrt werden können, muss die Schule ein datenschutzkonformes Speicher- und Löschkonzept vorweisen und umsetzen.

Der Grundsatz für die Löschung/Aufbewahrung von personenbezogenen Daten lautet: "Daten sind zu löschen, sofern Sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind, es sei denn, eine gesetzliche Vorschrift schreibt eine längere Aufbewahrungszeit/längere Löschfrist vor." (Artikel 5 Abs. 1 Buchst. e DSGVO sowie § 10 Abs. 1 Satz 6 SchulDSVO).

Für die Schulverwaltung regelt der § 10 der Schuldatenschutzverordnung die besonderen Löschfristen abschließend. Da für die verschiedenen in Schule anfallenden Unterlagen auch unterschiedliche Löschfristen festgelegt sind, bedarf es einer daran angepassten Schriftgutverwaltung, um bspw. am Schuljahresende einfach und schnell Unterlagen sortiert nach ihren Löschfristen in den Aktenaufbewahrungsraum zu überführen bzw. dort gelagerte Unterlagen dem zuständigen Archiv zur Übernahme anzubieten bzw. diese, bei Verzicht auf das Anbieten (Klärung mit dem zuständigen Kommunalarchiv im Vorwege), datenschutzkonform zu löschen (siehe dieser FAQ-Eintrag). Ein mögliches Verfahren und weitere Informationen zur Schriftgutverwaltung sind der beigefügten Datei zu entnehmen.

Für Lehrkräfte erfolgt die Regelung durch den § 15 SchulDSVO. Hiernach sind - dem Grundsatz der DSGVO folgend - Unterlagen ebenfalls unverzüglich, datenschutzkonform zu löschen, sobald sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind. Einzige Ausnahme sind Unterlagen, die zur Dokumentation von Leistungsbewertungen in gerichtlichen Verfahren notwendig sein können. Diese sind noch 2 Jahre über das Schuljahresende hinaus aufzubewahren.

Zugehörige Dateien
→ Hinweise zur Schriftgutverwaltung - Muster für ein Ablage- und Löschkonzept [PDF]

Die EU-Datenschutzgrundverordnung (DSGVO) hat als ein übergeordnetes Ziel die Schaffung maximaler Transparenz hinsichtlich der Ausgestaltung, des Umfangs und der Sicherheit bei der Verarbeitung personenbezogener Daten durch die Verantwortlichen. Im Schulumfeld sind dies Schulen, das Ministerium, Schulämter, Schulträger, Elternvertretungen und andere Institutionen/Unternehmen/Behörden, die Daten von Schülerinnen, Schülern, Eltern und auch Beschäftigten verarbeiten.

Diese Grundsätze der Verarbeitung sind in Artikel 5 Absatz 1 DSGVO beschrieben.

Darüber hinaus stehen den, Personen deren Daten verarbeitet werden, umfangreiche Rechte wie beispielsweise Information vor einer Datenerhebung oder Auskunft zu gespeicherten Daten zu. 

Die Betroffenenrechte sind in den Artikeln 12 - 23 der DSGVO beschrieben.  

Um die Einhaltung der Grundsätze nachweisen zu können und darüber transparent zu informieren bzw. die Betroffenenrechte zu wahren ist es erforderlich, dass Verarbeitungsprozesse in Schule dokumentiert sind. Diese Rechenschafts- und Dokumentationspflicht wurde ebenfalls als ein Grundpfeiler in Artikel 5 Absatz 2 DSGVO aufgenommen.

Ein zentrales Dokument ist hierbei das Verzeichnis von Verarbeitungstätigkeiten, in dem alle übergeordneten Verarbeitungstätigkeiten einer datenverarbeitenden Stelle beschrieben werden. Der Inhalt des VVT ist durch Artikel 30 DSGVO festgelegt, für die übersichtliche Erfassung existieren Musterdokumente (siehe unten).

Verantwortlich für die Erstellung und die Erfüllung der Dokumenations- und Rechenschaftspflichten im Ganzen ist die Schulleitung (§ 2 SchulDSVO).

Für die Schulen wurde ein Muster-VVT erarbeitet (siehe unten), welches die primär in Schule anfallenden Verarbeitungstätigkeiten abbildet und somit den Schulen einen wesentlichen Teil der Erstellungsarbeit abnimmt.
Die Schule muss hier nur das Vorblatt mit den Schuldaten komplettieren und innerhalb der Verarbeitungstätigkeiten ggf. Fachverantwortliche benennen und die Angaben auf mögliche schulspezifische Angaben hin prüfen und ggf. anpassen.

Nur für nicht im Muster-VVT erfasste Verarbeitungstätigkeiten muss die Schule auf Basis der Mustervorlage eigene Einträge im VVT ergänzen. 

Zugehörige Dateien
→ Muster-VVT [ZIP]
→ Hinweise zum VVT [PDF]
→ Kurzinfo VVT [PDF]
→ Muster_VT [DOCX]

Mit Inkrafttreten der EU-Datenschutzgrundverordnung am 25.05.2018 wurden alle öffentlichen Stellen verpflichtet, einen Datenschutzbeauftragten zu bennen. Das Bildungsministerium hat in Abstimmung mit der Aufsichtsbehörde entschieden, hierfür eine zentrale Position im Ministerium zu schaffen. Somit existiert für allle öffentlichen Schulen ein zentraler Ansprechpartner, der auch alleinig an die Aufsichtsbehörde gemeldet wurde.

Schulen benennen daher keinen eigenen Datenschutzbeauftragten gegenüber der Aufsichtsbehörde (ULD).

Nichtsdestotrotz ist es empfehlenswert, eigene Datenschutzkompetenz an Schule aufzubauen und ggf. einen weiteren Ansprechpartner neben der nach § 2 Schuldatenschutzverordnung (SchulDSVO) für die Organisation und Einhaltung des Datenschutzes verantwortliche Schulleitung zu haben. Diese Datenschutzkoordinatoren können dann auch als Bindeglied zum zentralen Datenschutzbeauftragten für die öffentlichen Schulen fungieren.

In allen Belangen, bei denen die Nennung des Datenschutzbeauftragten erforderlich ist (bspw. Datenschutzhinweise auf der Schulhomepage, Anmeldeformulare, Einwilligungen gegenüber der Schule etc.) sind folgende Angaben aufzunehmen:

Die/Der Datenschutzbeauftragte der Schule ist

Zentraler Datenschutzbeauftragter des Bildungsministeriums für die öffentlichen Schulen
DatenschutzbeauftragterSchule@bimi.landsh.de
Telefon: +49 431 988 2452

Die Aufgaben des Datenschutzbeauftragten sind insbesondere:

• Ansprechpartner in Datenschutzfragen für alle an Schule Beteiligten
  
• Beratung auf Anfrage
• Durchführung von Schulungen und Sensibilisierungsveranstaltungen (bspw. Schulentwicklungstage, IQSH-Fortbildungen)
• Bereitsstellung von allgemeinen Informationen zum Datenschutz (dieses Infoportal, Muster, Handreichungen etc.)
• Unterstützung bei der Kommunikation mit der Aufsichtsbehörde im Falle von Datenpannen
• Zusammenarbeit mit der Aufsichtsbehörde
• Überprüfung der Einhaltung der datenschutzrechtlichen Vorschriften und Vorgaben
  
  

Zugehörige Dateien
→ Informationen des Bildungsministeriums zum Inkrafttreten der DSGVO [PDF]

Um die Nutzung eines WLAN an Schule zu ermöglichen, müssen im Vorfeld bestimmte Fragen der Datensicherheit und des Datenschutzes geklärt sein, damit das WLAN ordnungsgemäß betrieben werden kann. Darunter ist bei der Einführung, neben der Art des Zugangs, auch die weitere Gewährleistung der Sicherheit des in der Schule eingesetzten WLAN zu beachten.

Eine damit verbundene Frage ist die sogenannte „Störerhaftung“ und die damit einhergehende verpflichtende, detaillierte Protokollierung des Internetzugriffs. Hier hat sich die Gesetzliche Grundlage in den vergangenen Jahren geändert: 2017 wurde von der Bundesregierung eine Novelle des Telemediengesetzes (TMG) beschlossen. Hierzu gehörte auch die Abschaffung der Störerhaftung auf Unterlassung. In Kombination mit dem am 01.12.2021 in Kraft getretenem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) entfällt dadurch die Notwendigkeit der umfangreichen Protokollierung der schulischen WLAN-Nutzung. Darüber hinaus wird empfohlen das schulische WLAN mit einem Jugendschutzfilter auszustatten. Dadurch entfällt auch eine mögliche umfangreiche Protokollierung aus pädagogischen Gründen. Eine minimalistische Protokollierung mit kurzer Speicherdauer z.B. der An- und Abmeldung von Geräten im WLAN kann durchaus sinnvoll sein und ist üblich, um z.B. technische Probleme analysieren zu können oder die Auslastung statistisch auszuwerten.

Bietet eine Schule zusätzlich zum schulischen WLAN ein frei zugängliches, ungefiltertes WLAN an (z.B. EchterNorden, Stadtnetze), muss in der Nutzungsordnung (s.u.) festgehalten werden, dass dieses Netz im schulischen Kontext nicht genutzt werden darf. Alle folgenden Erläuterungen beziehen sich ausschließlich auf das pädagogische WLAN.

Je nach Konfiguration des WLANs ist eine vollkommen anonyme Nutzung unwahrscheinlich. Daher muss vor der Inbetriebnahme der Infrastruktur auch die Datenschutz-Dokumentation erfolgt sein. Um diesen Prozess zu Unterstützen stellt das IQSH über die Medienberatungsseite Musterdokumente zur Verfügung. Diese beinhalten neben einem Mustereintrag für das VVT und den Datenschutzhinweisen auch die Dienstanweisung und Nutzungsordnung. Da der Zugang zum Schul-WLAN sehr unterschiedlich realisiert werden kann, enthalten diese Musterdokumente insgesamt drei Beispiele (s.u. Exkurs). Dabei obliegt der Schulleitung die Verantwortung diese Dokumente entsprechend der konkreten Situation vor Ort anzupassen und sie nach der Vervollständigung in Kraft zu setzen.

Hinweise zur Vervollständigung der Dokumentation

Darüber hinaus sind die weiteren Vorgaben aus dem FAQ-Eintrag Was ist beim Einsatz von Lernprogrammen, Apps, und Onlinediensten zu beachten, wenn bei der Nutzung personenbezogene Daten verarbeitet werden? auch auf das WLAN anzuwenden. Insbesondere ist ein Auftragsverarbeitungsvertrag (AVV) mit dem Dienstleister zu schließen, der das WLAN verwaltet. Bei den weiteren Dokumenten z.B. bei der Vervollständigung der Datenschutzhinweise und bei der technischen Beschreibung des Verfahrens ist die Schulleitung zudem ggf. auf die Unterstützung des Dienstleisters angewiesen.

Exkurs zur technischen Umsetzung mit Hilfe von Vouchern

Es gibt verschiedene Möglichkeiten ein schulisches WLAN umzusetzen. Die drei Beispiele aus den Musterdokumenten sind:

1. die Vergabe personenbezogener Zugänge (Benutzername + Passwort),
2. die Nutzung eines geteilten Zugangs (geteiltes Passwort) und
3. die Nutzung zeitlich begrenzter 1x Voucher für Gäste (z.B. Eltern bei Veranstaltungen in der Schule).

Voucher-Systeme lassen sich, neben dem in Beispiel 3 beschriebenen Szenario, deutlich differenzierter nutzen, als nur für die Realisierung von Gast-Zugängen. Unter anderem gibt es Voucher-Systeme mit Nutzer(Gruppen)verwaltung. Hierüber ließe sich dann auch Beispiel 1 (personalisierte Zugänge) abbilden. In diesem Fall der Voucher-Nutzung müssten die Musterdokumente nur geringfügig angepasst werden.

Darüber hinaus existieren vielfältige, weitere Konfigurationsmöglichkeiten. Diese unterscheiden sich meist in Zeit (Dauer), Mehrfachnutzung eines Zugangs und der Möglichkeit der Zuordnung. Daraus ergeben sich die nachfolgenden Leitfragen für die Definition des eigenen Einsatzszenarios:

• Wie lange soll ein Voucher halten? (x Tage/Monate/Jahre)
• Auf wie vielen Geräten soll ein Voucher genutzt werden können?
• Soll ein Voucher einem Gerät bzw. einer Person zugeordnet werden?

Hier können verschiedene Szenarios definiert werden:

• Soll z.B. den Eltern an einem Elternabend der Zugang zum WLAN ermöglicht werden, kann hierfür einfach 1 Voucher erzeugt werden, der nur 12 Stunden gültig ist, aber 100x genutzt werden kann. Hierbei muss dann nicht dokumentiert werden vom wem der Voucher genutzt wird.
• Soll ein Voucher-System für den Unterricht verwendet werden, kann es praktikabler sein Voucher z.B. für ein Halbjahr oder Schuljahr auszustellen. In diesem Fall sollte eine Zuordnung von Vouchern und Personen bzw. Geräten erfolgen, so dass einzelne Voucher auch vor Ablauf ihrer Gültigkeit manuell gesperrt werden können.

Hinweis: Bei der Definition eines konkreten Szenarios sollte auch beachtet werden, ob in einem Missbrauchsfall geeignete Maßnahmen getroffen werden können, um diesen zu beenden und ggf. auch nachzuverfolgen. Hier müssen Datenschutz und Datensicherheit bzw. Jugendschutz mit einander in Einklang gebracht werden.

Entsprechend § 2 SchulDSVO trägt die Schulleitung die Verantwortung für die Organisation und Einhaltung des Datenschutzes in der Schule. Dazu gehört auch das Anfertigen bzw. Inkraftsetzen der datenschutzrechtlichen Dokumentation. Die digitalen Dienste, die in der Schule genutzt werden, lassen sich aus Datenschutzperspektive in drei Kategorien unterteilen.

Kategorie 1 - kein Personenbezug

Ein digitaler Dienst muss nur datenschutzrechtlich dokumentiert werden, wenn das Datenschutzrecht anzuwenden ist, d.h. wenn personenbezogene Daten verarbeitet werden. Der Begriff Verarbeitung umfasst u.a. das Erfassen, Übertragen, Speichern und Löschen von Daten. Personenbezogene bzw. personenbeziehbare Daten sind bspw. Name, Kontaktdaten, IP-Adressen und Leistungsdaten.

Kategorie 2 - geringes Schadensrisiko

Das mit der Verarbeitung personenbezogener Daten einhergehende Risiko für die Rechte und Feiheiten der betroffenen Personen, kann durch das Ergreifen geeigneter technischer und/oder organisatorischer Maßnahmen (TOM) reduziert werden. Erfordert beispielsweise eine Lernanwendung nur sehr wenige personenbezogene Daten (z. B. ein Pseudonym und die IP-Adresse), dann kann der Personenbezug gegenüber dem Anbieter verschleiert werden, indem die ausschließliche Nutzung der Anwendung über das Schul-WLAN, auf schuleigenen, nicht-personalisierten Geräten vorgeschrieben wird. Digitale Dienste, die aufgrund eines solchen konkreten Nutzungsszenarios nur ein geringes datenschutzrechtliches Risiko bergen, bezeichnen wir als „Anwendungen mit geringem Datenschutzrisiko“. Für diese Dienste steht ein Dokumentenpaket zur Verfügung, welches mit wenigen Basis-Dokumenten eine Liste von Anwendungen abdeckt. Die Schulleitung kann mit Hilfe der im Dokumentenpaket beigefügten Orientierungshilfe prüfen und entscheiden, ob ein digitaler Dienst unter die Anwendungen mit geringem Datenschutzrisiko fällt. Dabei ist es ausreichend, wenn entsprechende Dienste in die schulinterne Liste übernommen und die Dokumentation an wenigen Stellen angepasst wird. Somit entfällt der Aufwand für jeden Dienst eine eigene Dokumentation anzufertigen.

Kategorie 3 - erhöhtes Schadensrisiko

Wird ein digitaler Dienst, der personenbezogene Daten verarbeitet, in nicht unerheblichem Umfang in der Schule verwendet, so muss für diesen eine spezifische datenschutzrechtliche Dokumentation angefertigt bzw. in Kraft gesetzt werden. Dies ist beispielsweise der Fall, wenn der Einsatz mit einer Auftragsverarbeitung einher geht. Für die Landeslösungen und für einige häufig angefragte Dienste stehen fertige Musterdokumentenpakete zur Verfügung. Für die Neuerstellung noch nicht dokumentierter Dienste können diese als Vorlagen genutzt werden. Allgemeine Hinweise zum Erstellen der datenschutzrechtlichen Dokumentation gibt es in diesem FAQ-Eintrag.