Datenschutz : Was müssen Schulen jetzt beachten?

Die Verwirrung könnte kaum größer sein: Seit dem 25. Mai muss die EU-Datenschutz-Grundverordnung (DSGVO) auch an Schulen angewendet werden – doch die meisten Schulleitungen sind darauf kaum vorbereitet. Die eilig von den Kultusministerien veröffentlichten Handreichungen mit verklausulierten Gesetzestexten sind dabei oft wenig hilfreich. Das Schulportal hat Antworten auf häufige Fragen zusammengetragen.

Florentine Anders / 05. Juni 2018
Was die EU-Datenschutz-Grundverordnung für Lehrkräfte und Schulleitungen bedeutet, ist für viele undurchsichtig.
© Getty Images

Was sollte auf der Schul-Website unbedingt überprüft werden?
Auf den Internetseiten der Schulen muss eine Datenschutzerklärung veröffentlicht werden, die der neuen Verordnung entspricht. In die Erklärung gehört auch ein Hinweis auf eingesetzte Cookies. Ein Impressum sollte eigentlich jede Schul-Website bereits haben. Wo es noch kein Impressum und keine Datenschutzerklärung gibt, sollte dies unbedingt nachgeholt werden. Kritisch sind nach der neuen Rechtslage Kontaktformulare oder Newsletter auf der Website. „Ein Kontaktformular ist nur über eine verschlüsselte Verbindung erlaubt, und diese besitzen die meisten Schulen nicht“, sagt Sibylle Schwarz, Expertin für Bildungsrecht der Kanzlei else.schwarz in Wiesbaden. Eine solche Verbindung müsse extra eingerichtet werden, und das sei auch mit Kosten verbunden. Ist das nicht möglich, sollte am besten ganz auf das Kontaktformular verzichtet werden, rät die Anwältin.

Worauf sollten Schulen bei der Kommunikation per E-Mail geachtet werden?
Genau genommen müssten auch die E-Mails verschlüsselt werden. Es gibt Dienste, die eine Adresse mit Verschlüsselungstechnik einrichten. Die Landesbehörde sollten das idealerweise einheitlich für die Schulen regeln, meint Matthias Förtsch. Der Lehrer und Kolumnist des Schulportals beschäftigt sich in seinem Blog „schulentwicklung“ unter anderem damit, wie Datenschutzrecht und digitale Medien im Unterricht unter einen Hut zu bringen sind. Viele Schulen würden zunächst wohl mit ihrer bisherigen E-Mail-Adresse weiterarbeiten, sagt Förtsch. Dringender Änderungsbedarf bestehe allerdings, wenn eine Schule eine E-Mail-Adresse nutzt, die über einen US-amerikanischen Server läuft, wie Gmail. „Daten über einen amerikanischen Server wie Google auszutauschen, der den Inhalt der Mail auch noch scannt, ist für Schulen nicht mehr erlaubt“, sagt Schwarz.

Kann man Lehrkräften empfehlen, WhatsApp oder Facebook zu nutzen, um mit ihren Schülerinnen und Schülern zu kommunizieren?
Hier antworten beide Experten mit einem klaren Nein. Die Informationen, die über Facebook und WhatsApp ausgetauscht werden, fließen über US-amerikanische Server, und dabei werden die Kontaktdaten der Nutzerinnen und Nutzer abgegriffen. Nötig für die sichere Kommunikation wäre eigentlich eine eigene Cloud für die Schulen. „Die Bundesländer arbeiten zwar an entsprechenden Lösungen, allerdings funktionieren diese bisher in der Regel noch nicht“, konstatiert Lehrer Matthias Förtsch. Die Juristin Sibylle Schwarz rät den Lehrkräften und auch den Eltern, deshalb auf Messenger-Dienste wie Signal, Threema  (Schweiz) oder deutsche Anbieter wie Hoccer  oder SIMSme auszuweichen.

Was ist zu bedenken, wenn Lehrkräfte ihre eigenen Laptops für die Arbeit nutzen?
Schon jetzt gibt es dafür strenge Vorschriften, allerdings werden auch diese in der Praxis häufig nicht so genau genommen. Wichtig ist, dass das private Gerät mit einem Passwort geschützt ist und nicht für jeden zugänglich auf dem Küchen- oder Lehrertisch steht. Zudem sollte ein effektiver Anti-Viren-Schutz installiert sein, der regelmäßig aktualisiert wird. Eine Lösung könnten leistungsfähige Dienstgeräte für Lehrkräfte mit den nötigen Voreinstellungen vom Arbeitgeber sein, sagt Lehrer Matthias Förtsch. Das sei aber bisher nicht geplant. Juristin Sibylle Schwarz betont: „Wichtig ist, dass sich jede Lehrkraft bewusst macht, dass sie mit vertraulichen Daten von Kindern umgeht.“

Welche Informationen dürfen von den Eltern zu Schuljahresbeginn abgefragt werden, damit sie im Notfall zu erreichen sind?
Nach dem neuen EU-Datenschutzrecht gilt das Prinzip der Datenminimierung. „Eine Telefonnummer ist sicher nötig – fragwürdig ist aber, ob zum Beispiel auch Name und Adresse des Arbeitgebers der Eltern gebraucht werden“, sagt Juristin Schwarz. Die Schulen sollten ihre Formulare und Schülerakten mit einer Art „Frühjahrsputz“ auf den Grundsatz der Datensparsamkeit ausrichten. Ohnehin müssen nun alle Prozesse der Datenerhebung – seien sie in Papierform oder digital – in einem Verzeichnis der Datenverarbeitung beschrieben und begründet werden.

Ist es überhaupt noch erlaubt, Fotos von Schulaktivitäten zu veröffentlichen?
Auch bisher mussten Eltern eine Einwilligungserklärung unterschreiben, wenn ihr Kind auf der Website oder in anderen Publikationen der Schule, wie Flyer oder Festschriften, abgebildet werden sollten. Eine Blanko-Einwilligung für alle Veröffentlichungen der Schule, wie sie oft üblich war, reicht aber nach der neuen Verordnung nicht mehr aus, betont Anwältin Schwarz. In der jeweiligen schriftlichen Einwilligung müsse auch der Zweck der Veröffentlichung angegeben werden. Und diese Einwilligung könne von den Eltern jederzeit widerrufen werden.

Müssen Schulen Abmahnungen, Bußgelder oder andere Sanktionen befürchten, wenn sie Fehler beim Datenschutz machen?
Die gefürchteten Abmahnungen betreffen Schulen nicht, denn die gebe es nur, wenn das Wettbewerbsrecht verletzt wird und sich ein privates Unternehmen durch unerlaubte Datenverarbeitung Vorteile verschaffe, erklärt Sibylle Schwarz. Auch Bußgelder bei Verstößen müssten Schulen nicht befürchten. Von solchen Bußgeldern seien Behörden durch das Landesrecht in der Regel ausgenommen. Unklar sei noch, ob Verstöße gegen das Datenschutzrecht im Disziplinarrecht eine größere Rolle spielen werden, wenn sich Betroffene beschweren. Das müsse erst die Rechtsprechung zeigen, sagt die Bildungsanwältin.

Mehr zum Thema

Sie verwenden einen veralteten Browser. Aktuelle Browser finden Sie hier. x