Ein kurzer Leitfaden zur DSGVO für Schulen und Lehrkräfte

Image: karelnoppe / Shutterstock.com

Datenschutz ist wichtig: Er steht für das Recht auf Privatsphäre, Respekt und die Verhinderung von Manipulationen. Dennoch ist im Zuge der DSGVO (Datenschutz-Grundverordnung) eine gewisse Unsicherheit entstanden. Müssen Schulen ihre Datenerfassung anpassen? Welche Informationen gelten als sensibel? Ist es noch möglich, Schuldaten auf einem tragbaren Gerät mitzuführen? Dieses Tutorial hilft Ihnen, die Daten Ihrer Schüler besser zu schützen – und zu verstehen, was mit Ihren eigenen geschieht.

Unterscheidung zwischen personenbezogenen und sensiblen Daten

Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person oder ihrer Familie dienen können. In den Schulakten wären dies der Name, die Adresse, die Kontaktdaten, die disziplinarischen Aufzeichnungen sowie die Noten und Fortschrittsberichte eines Schülers. Diese Art von Daten bleibt auch dann „personenbezogen“, wenn eine Person sich für eine Veröffentlichung entscheidet.

Eine besondere Kategorie von Daten berührt sensiblere Aspekte. Bei Schulen sind dies biometrische Daten (z. B. Fingerabdrücke, Fotos), religiöse Überzeugungen (z. B. Ausstieg aus dem Religionsunterricht), Gesundheit (z. B. Allergien) oder Ernährungsbedürfnisse (die auf die Religion oder Gesundheit hinweisen können). Daten in dieser Kategorie können eine Gefahr für Personen darstellen und dürfen deshalb nur unter bestimmten Bedingungen verarbeitet werden. Schulen werden sie wahrscheinlich nicht ohne elterliche Zustimmung nutzen dürfen.

Unterscheidung zwischen Datenverantwortlichen und Datenverarbeitern

Die DSGVO hebt die Bedeutung von zwei Rollen hervor, die entweder von Einzelpersonen oder Abteilungen übernommen werden können: Der Datenverantwortliche legt die Mittel und Zwecke der Datenverarbeitung fest, während der Datenverarbeiter die Daten im Auftrag des Datenverantwortlichen verarbeitet. Jede dieser Parteien hat unterschiedliche rechtliche Pflichten.

Die Schule wird typischerweise der „Datenverantwortliche“ sein, d. h., sie muss einen Vertrag mit dem „Datenverarbeiter“ abschließen. Der Begriff „Datenverarbeiter“ umfasst die verschiedensten Ressourcen: von Fotografen über Aktenvernichtungsunternehmen und Online-Lernplattformen bis zu Softwareprogrammen. Jeder Vorgang, den diese Ressourcen mit Daten durchführen, gilt als Verarbeitung, auch wenn sie automatisiert ist: Erfassen, Speichern, Abrufen, Vernichten etc.

Bewährte Verfahren: Sich selbst überwachen

Nach dem neuen Gesetz müssen Schulen (wie alle Behörden) einen Datenschutzbeauftragten ernennen, der für die DSGVO zuständig ist. Dessen Aufgabe ist es u. a., die Richtlinien der Schule zu überwachen, Schulungen anzubieten und Audits durchzuführen. Die Schulen sollten sich aber nicht darauf verlassen, dass der Datenschutzbeauftragte alle Mängel in ihrem System entdeckt. Hier sind einige Fragen, die sich jede Institution selbst stellen sollte:

  1. Auf welcher Grundlage verarbeiten wir Daten? Es gibt für die Verarbeitung von Daten nach der DSGVO sechs gesetzliche Grundlagen. Am relevantesten für Schulen ist die gesetzliche Grundlage der öffentlichen Aufgabe, d. h. sie nutzen die Daten, um eine Aufgabe im öffentlichen Interesse zu erfüllen. Die zu diesem Zweck erhobenen Daten dürfen allerdings nicht für einen anderen Zweck genutzt werden. Zum Beispiel kann die Schule die E-Mail-Adresse eines Elternteils nicht an eine dritte Einrichtung weitergeben, die für Schulveranstaltungen wirbt, und dies als „öffentliche Aufgabe“ begründen. Für die Weitergabe solcher Daten ist eine andere gesetzliche Grundlage erforderlich: die Einwilligung. Schulen müssen auch eine Einwilligung einholen, wenn sie ein Schülerkonto bei einem Cloud-Hosting-Dienst einrichten.

  2. Welche Daten werden wo gespeichert und wer hat Zugriff darauf? Schulen müssen eine Überprüfung ihrer Datenverarbeitungsverfahren durchführen. Sobald sie einen vollständigen Überblick über die bei ihnen verfügbaren personenbezogenen Daten haben, können sie eine Schutzstrategie entwickeln.

  3. Welche Sicherheitsvorkehrungen wurden getroffen? Datenschutzverletzungen sind nicht immer auf die Aktivität von Hackern und bösartiger Software zurückzuführen – sie können auch durch einen im Zug vergessenen Laptop oder ein neugieriges Familienmitglied entstehen. Aus diesem Grund sollten die Mitarbeiter personenbezogene Daten nur auf Schulgeräten speichern, starke Passwörter verwenden und die Geräte nach fünf Minuten automatisch sperren lassen. Wenn personenbezogene Daten auf Wechselmedien wie einem USB-Stick gespeichert werden, müssen sie verschlüsselt, durch Passwörter geschützt und von anderen Nutzern ferngehalten werden. Die Mitarbeiter sollten auch an Schulungen zu Social Engineering, Phishing, Cloud-Technologien, Ransomware-Angriffen und ähnlichem teilnehmen.

  4. Was wissen die Eltern? Schulen sollten den Eltern im Schulprospekt, in einem Newsletter, im Schulbericht oder per Brief/E-Mail einen Datenschutzhinweis übermitteln. Darin sollte angegeben werden, welche Daten sie sammeln, aus welchem Grund sie diese Daten sammeln und welche Drittparteien daran beteiligt sind. Beachten Sie, dass Eltern und Schüler im Rahmen der DSGVO verlangen können, die über sie gespeicherten Daten kostenlos einzusehen.

Bewährte Verfahren: Sich selbst informieren

Nicht nur die Erwachsenen, sondern auch die Kinder sollten sich Gedanken über den Datenschutz machen. Aus diesem Grund hat das Joint Research Centre das Handyspiel Cyber Chronix entwickelt, bei dem die Spieler eine Reihe von DSGVO-bezogenen Hindernissen auf einem futuristischen Planeten überwinden müssen.

Wenn Sie weitere Informationen über die DSGVO wünschen, können Sie sich an die Datenschutzbehörde Ihres Landes wenden.

Wir empfehlen auch die folgenden Publikationen, die wir bei der Erstellung dieses Tutorials herangezogen haben:

Machen Sie schließlich noch diesen 30-Sekunden-Test von 360data, um Ihre Datenschutzrichtlinien zu überprüfen.