# Datenschutz Kreuzgasse Diese Seite ist auch erreichbar über die Kurz URL https://ogy.de/zbkk Link zu meiner Website: https://datenschutz-schule.info ## Erster Workshop mit Schulleitung, Stufenleitungen, Beratungsteam, website-admins: ### Thema Personenbezogene Daten allgemein: :question: Gibt es einen Unterschied innerhalb der in der VO-DV I+II zur Verarbeitung genehmigter Daten? Oder ist ein Verstoß mit dem Umgang der verschiedenen genehmigten Daten "gleich schlimm"? :arrow_right: Aus der Sicht des Datenschutzes wird zunächst einmal kein Unterschied gemacht zwischen verschiedenen Daten, wenn es um die Verarbeitung von personenbezogenen Daten. > Das Bundesverfassungsgericht (BVerfG) geht seit dem Volkszählungsurteil von 1983 wie auch Art. 4 Nr. 1 DS-GVO beim Datenschutz eigentlich vom ehernen Grundsatz aus, dass es „kein unbedeutendes Datum gibt.“ In Schule ist es so auch ohne Bedeutung, ob diese personenbezogenen Daten auf der Grundlage des Schulgesetzes verarbeitet werden oder auf der einer Einwilligung. Es wird allerdings schon ein Unterschied gemacht bezüglich der sogenannten **besonderen Kategorien von Daten** ([Art. 9 DS-GVO](https://dsgvo-gesetz.de/art-9-dsgvo/)). Hierunter werden verstanden: > personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. > * Auch das Schulgesetz und die Verordnungen zur Datenverarbeitung machen hier einen Unterschied. Es gibt personenbezogene Daten aus dieser Kategorie, welche von Schulen **nicht** digital verarbeitet werden dürfen. Dazu zählen beispielsweise Gutachten im Rahmen eines AO SF Verfahrens. Hier dürfen lediglich Datum und Ergebnis des Gutachtens digital verarbeitet werden (siehe [VO-DV I Anlage 1, Abschnitt C Nr. IV](https://www.schulministerium.nrw.de/docs/Recht/Schulrecht/Verordnungen/VO-DV_I.pdf)). * Unter Berücksichtigung dieser Informationen macht es keinen Unterschied, ob es sich um die Daten von Schülern und Erziehungsberechtigten handelt (VO-DV I) oder um die von Lehrkräften (VO-DV II). * Wenn es zu einem Verstoß gegen datenschutzrechtliche Regelungen käme, so würde es demnach auch. keinen Unterschied machen, um wessen Daten es sich dabei handelt. Man kann aber sicher davon ausgehen, dass ein Verstoß gegen datenschutzrechtliche Vorgaben vor Gericht stärkere Konsequenzen nach sich ziehen würden, wenn dabei personenbezogene Daten betroffen wären,. welche den besonderen Kategorien von Daten zuzuordnen sind. Zu erwähnen ist an dieser Stelle auch noch, dass die personenbezogenen Daten von Kindern in der DS-GVO ebenfalls einen besonderen Schutz genießen. Ob dieses bei der Urteilsfindung im Falle eines Verstoßes gegen datenschutzrechtliche Regelungen zu einer anderen Bewertung führen würde, als wenn es um die Daten von Lehrkräften geht, ist schwierig zu beurteilen. --- :question: Wenn Eltern personenbezogene Daten per Mail versenden, darf man ohne die explizite Erlaubnis der Verwendung zu den gleichen Daten antworten? Bsp: Bitte um Beurlaubung mit Name und Datum oder Zeugniskopien als Mailanhang bei der Neuaufnahme :arrow_right: Grundsätzlich ist es der Entscheidung von Eltern überlassen, ob sie personenbezogene Daten ihrer Kinder per E-Mail an die Schule übermitteln oder ob sie dieses in analoger Form tun. Wenn die Schule eine digitale Übermittlung von solchen Daten zulässt und die Eltern davon Gebrauch machen, dann bedeutet dieses jedoch nicht automatisch, dass die Schule auf gleichem Wege personenbezogene Daten an die Eltern übermitteln kann. * Damit so etwas überhaupt möglich wäre, bräuchte es eine Einwilligung der Eltern, aus welcher hervorgeht, dass sie zum einen über die Risiken einer ungeschützten Übermittlung per E-Mail informiert sind und zum anderen trotz dieses Risikos diese Form der Übermittlung ausdrücklich wünschen. * Schulen haben auch eine datenschutzrechtliche Verantwortung. Von daher ist davon abzuraten, Eltern personenbezogene Daten per E-Mail zu übermitteln, auch wenn sie dieses ausdrücklich wünschen. *Solange es sich lediglich um allgemeine Informationen (z.B. Milchgeld mitbringen, eine Liste mit Hausaufgaben, ...) handelt, kann man diese durchaus übermitteln.* Informationen über Fehlverhalten, Noten o. ä. sollten aus Sicherheitsgründen grundsätzlich nicht per E-Mail übermittelt werden. * Man könnte sich aber durchaus behelfen, wenn man E-Mails nur nutzt, um Eltern zu signalisieren, dass es Informationen gibt (,welche personenbezogene Daten enthalten,) die sie erhalten sollen. Beispiel: ein Schüler hat im Unterricht massiv gestört. Anstatt nun im E-Mail direkt zu schreiben: „Johannes hat heute im Erdkundeunterricht wiederholt massiv gestört, sodass ich ihn vor die Türe setzen musste.“ Könnte man auch schreiben „Es gibt Gesprächsbedarf wegen ihres Sohnes Johannes. Bitte rufen Sie mich unter der Nummer xyz bis heute Abend 19:00 Uhr zurück.“ * Werden bei der Anmeldung an der Schule auch E-Mail-Adressen der Eltern erhoben, können diese ohne weitere Einwilligung für die Übermittlung allgemeiner Informationen genutzt werden. * :bulb: Eine deutlich bessere Lösung für Schulen ist die Nutzung einer Online-Plattform zur Kommunikation mit Eltern. Am deutschen Markt gibt es mittlerweile ein recht gutes Angebot an Plattformen, welche eine sichere und datenschutzkonforme Übermittlung von Nachrichten zwischen Schule und Eltern ermöglichen. Beispiele dafür finden sie unter [Schulische Plattformen -Kommunikation]( https://padlet.com/dee_townsend/schulplattformen) und [Schulische Plattformen - Organisation](https://padlet.com/dee_townsend/schulplattformen_organisation) ### Thema personenbezogene Daten auf privaten Geräten: :question: Sollten wir die KuK Erklärungen zur Endgerätenutzung unterschreiben lassen? Welche Probleme bekommen wir, wenn wir es (nicht) machen? :arrow_right: Von zwei Seiten hören wir die Empfehlung, die Genehmigung nicht zu unterschreiben bzw. zu erteilen. Es sind einmal die Personalvertretung der Lehrkräfte, welche Dienstgeräte für die Lehrkräfte fordern. Und dann ist es die oberste Datenschützerin des Landes NRW, die der Meinung ist, dass Schulleitungen gar nicht in der Lage sind, zu beurteilen, ob ein Gerät genehmigungsfähig ist oder nicht bzw. ob die Lehrkräfte in der Lage sind, die Vorgaben der Genehmigung in Teil B umzusetzen. Man kann beide Positionen durchaus verstehen, doch es gibt auch Argumente, die dafür sprechen, die Genehmigung einzuholen bzw. zu erteilen. * Ob es jemals dienstliche Endgeräte für Lehrkräfte geben wird (zumindest für die, die das wollen), ist aktuell nicht abzuschätzen. Das Land wie auch die Kommunen sehen die Erfordernis dienstlicher Endgeräte durchaus. Doch solange die Frage der Finanzierung der Geräte wie auch der Administration nicht geklärt ist, wird sich hier nichts tun. * Inwieweit sich die Entscheidungsträger beim Land und auf kommunaler Ebene dadurch beeindrucken lassen, dass zahllose Lehrkräfte mangels ausreichender Anzahl schulischer Geräte für Verwaltungsarbeiten alles wieder von Hand erledigen müssen, ist unklar. Persönlich glaube ich, dass dieses keinen Einfluss hat auf die Entscheidungsträger, da sie persönlich durch diesen Mangel nicht beeinträchtigt sind. * Warum soll man also das Kräftemessen zwischen den Personalvertretungen und dem Land auf dem Rücken der Lehrkräfte austragen? * Hinzu kommt, viele Lehrkräfte verarbeiten auch ohne Genehmigung schon seit Jahren personenbezogene Daten aus der Verwaltung auf privaten Endgeräten. Für Lehrkräfte, welche ohne Genehmigung personenbezogene Daten aus der Verwaltung auf privaten Endgeräten verarbeiten, ergibt sich daraus ein erhöhtes rechtliches Risiko: * sollte es, auch wenn die Wahrscheinlichkeit sehr gering ist, zu einem Vorfall kommen, dann hat die Lehrkraft auf jeden Fall **gegen geltendes Dienstrecht verstoßen**. * sollte dieser Vorfall vor Gericht landen, wird ein Richter dieses berücksichtigen, da der Verstoß gegen Dienstrecht als **Vorsatz** gewertet werden wird. Welche rechtlichen Konsequenzen hat ein Verstoß gegen die Vorgaben der Genehmigung? * Zunächst einmal unterscheidet die Genehmigung wie in allen anderen Bereichen, wo es um Haftung geht, zwischen **Fahrlässigkeit** und **Vorsatz**. * Solange es sich nur um leichte und mittlere Fahrlässigkeit handelt, wird dieses für die Lehrkraft wie auch für die Schule im zivilrechtlichen Bereich eher keine rechtlichen Konsequenzen haben. * Bei grober Fahrlässigkeit und vorsätzlichem Handeln wird es zu ernsthaften Konsequenzen für die Lehrkraft kommen. Eine Wahrscheinlichkeit, dass auch der Schulleitung rechtliche Konsequenzen drohen, wird erst dann bestehen, wenn diese den Verstoß gegen die rechtlichen Vorgaben durch ihr Handeln mitverschuldet hat. Das wäre der Fall, wenn die Schulleitung davon Kenntnis hat und nicht einschreitet oder wenn sie aktiv daran beteiligt war. * Die Wahrscheinlichkeit, dass die Schulleitung für die Erteilung der Genehmigung selbst belangt wird, sollte sehr gering sein. * Es gelten hier letztlich die gleichen Regeln wie in anderen Bereichen der Schule, etwa in Bereichen, wo Gefahren drohen können, zum Beispiel im Sportunterricht oder im Chemieunterricht. Auch hier vertraut die Schulleitung der Lehrkraft, die diesen Unterricht leitet. Es ist aber auch klar, dass eine Lehrkraft, die keine Zulassung für Schwimmunterricht hat, diesen auch nicht erteilen darf. Tut sie es dennoch (ohne wissen der Schulleitung oder anderer verantwortlicher Personen), wird sie zur Verantwortung gezogen. Wurde sie von der Schulleitung beauftragt, wird vor allem diese die Rechtsfolgen zu spüren bekommen, wenn es zu einem Zwischenfall kommt. Die Genehmigung ist zwar in ihrer Form vom MSB vorgegeben, doch sie kann angepasst werden. Anpassen heißt dabei nicht, dass man die vorgegebenen Grenzen aufreißt, sondern dass man den Rahmen einengen kann, etwa auf die Verwendung bestimmter Programme bzw. Apps oder auf Speicherorte. * Bei einem iOS Gerät wäre es beispielsweise möglich, dessen Nutzung für die Verarbeitung von personenbezogenen Daten aus der Schule auf das App TeacherTool einzuschränken. * Es wäre auch vorstellbar, sowie in einigen anderen Bundesländern praktiziert, die Speicherung der personenbezogenen Daten aus der Schule auf einen sicheren USB Stick zu beschränken (siehe [Genehmigung für Lehrkräfte vereinfachen: USB Stick oder Plattform](https://datenschutz-schule.info/themen/genehmigung-lehrkraefte-nutzung-private-endgeraete-nrw/genehmigung-lehrkraefte-vereinfachen-usb-stick-plattform/)) --- :question: Welche Vorgaben sind sinnvoll und müssen ggf. Gegenstand des Workshops am Nachmittag sein? (getrennte Festplattenpartitionen…) :arrow_right: Es sind selbst verständlich alle Vorgaben aus Teil B der Genehmigung zu erfüllen, soweit das Betriebssystem dieses ermöglicht bzw. erforderlich macht. * Aus Sicht der Schulleitung ist es sinnvoll, wenn bei der Genehmigung das Betriebssystem und die Version mit angegeben werden. Warum? Diese Information ist sehr wichtig, um eine einfache Beurteilung, ob ein privates Endgerät überhaupt in Frage kommt für eine Genehmigung (Hintergrund: einige ältere Verionen von Betriebssystemen sind grundsätzlich nicht genehmigungsfähig, z.B. Windows XP oder Windows 7). * Die wichtigsten Maßnahmen sind: Einrichtung eines zweiten Nutzers für dienstliche Zwecke; Virenschutz; Verschlüsselung der Festplatte bzw. des Speichers; Firewall; sichere Passwörter; keine Synchronisation bzw. kein Back-up von personenbezogenen Daten aus der Schule in eine Cloud Plattform, die nicht von der Schule autorisiert ist. * :book: Weitere Informationen zur Umsetzung der Genehmigung und eine ausführliche Tabelle mit Hinweisen für alle Betriebssysteme, wie die Vorgaben aus Teil B umgesetzt werden können, findet sich unter: [Genehmigung Lehrkräfte Nutzung private Endgeräte (NRW)](https://datenschutz-schule.info/themen/genehmigung-lehrkraefte-nutzung-private-endgeraete-nrw/) ### Thema Anmeldung: :question: Wie müssen Eltern bei der Anmeldung bezüglich unserer Datenverarbeitung informiert werden? :arrow_right: Eltern (und gegebenenfalls auch Schüler) müssen über sämtliche Verarbeitung von personenbezogenen Daten, welche im Laufe ihrer schulischen Laufbahn anfallen, informiert werden. Das meint alle Prozesse der Verarbeitung, einschließlich geplanter Übermittlungen und auch der Löschfristen. Aus der Erfahrung weiß man in der Regel, welche Verarbeitungen im Laufe der Zeit anfallen. * Das Ministerium ist der Meinung, es reiche, den Eltern einen Ausdruck der VO-DV I in die Hand zu drücken, der um einen auf die Schule angepassten Bogen mit Informationen zu den Verantwortlichen und zum Datenschutzbeauftragten sowie den Rechten der Betroffenen ergänzt wird - siehe dazu [Informationspflicht, Art. 13, 14 DSGVO](https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/index.html) auf der Seite des Ministeriums. * Alternativ dazu :book: [Schulen müssen bei der Erhebung von Daten entsprechend der DS-GVO informieren](https://datenschutz-schule.info/2018/05/25/schulen-muessen-bei-der-erhebung-von-daten-entsprechend-der-ds-gvo-informieren/) und Download auch für Gymnasium unter [Information über Datenverarbeitung gemäß Art. 13 und Art. 14 DS-GVO](https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/) Es ist nicht unbedingt erforderlich, den Betroffenen die Informationen zur Datenverarbeitung entsprechend Art. 13 und 14 DS-GVO unbedingt in aus gedruckter Form mit nach Hause zu geben. Man kann das auch ohne eine Papierflut lösen. Meine Empfehlung: * Die Informationen werden einmal auf der Homepage hinterlegt. Das kann offen erfolgen oder über einen. sogenannten "deep Link". Das ist ein Link, der nicht auf der Homepage verlinkt ist. Dadurch wird diese Seite nicht durch Suchmaschinen gefunden. Man kann den Link den Betroffenen aber über eine kurze URL oder einen QR-Code mitteilen. (Welche Lösung man wählt, bleibt der Schule überlassen.) * Im Wartebereich vor dem Raum, wo die Anmeldung stattfindet, hängt man die Informationen zur Datenverarbeitung zum Lesen aus, so dass wartende die Möglichkeit haben, diese schon zur Kenntnis zu nehmen. * Außerdem legt man ein laminiertes Exemplar auf den Tisch im Sekretariat, wo die Anmeldeinformationen aufgenommen werden. Die Person, welche die Aufnahme durchführt, weist die Eltern auf die Informationen hin. Es sollte auch darauf hingewiesen werden, dass bei Bedarf den Eltern auch eine ausgedruckte Version zur Verfügung gestellt werden kann. * Die Eltern erhalten anschließend mit einem Informationsblatt den Link zur auf der Homepage hinterlegten digitalen Version. --- :question: Was haben Klassenleitungen zu beachten? :arrow_right: Die Frage ist sehr weit gestellt. Wenn es um die Verarbeitung von personenbezogenen Daten im Rahmen des Unterrichts geht, kommt der Klassenleitung keine herausgehobene Rolle zu. Es gibt lediglich eine Unterscheidung zu Fachlehrkräften. Klassenleitungen dürfen mehr personenbezogene Daten ihrer Schülerinnen und Schüler verarbeiten als Fachlehrkräfte. Dieses wirkt sich auch auf die personenbezogenen Daten aus, welche. auf privaten Endgeräten mit der Genehmigung verarbeitet werden dürfen. Entsprechend VO-DV I Anlage 3 Nr. II sind dieses: 1. Halbjahresnoten in allen Fächern 2. alle zeugnisrelevanten Leistungsangaben 3. Zeugnisbemerkungen 4. Vermerke über Benachrichtigungen gemäß § 50 Abs. 4 SchulG. :exclamation: Bei Nummer 4 sind ausdrücklich nur **Vermerke** gemeint, nicht die Benachrichtigungen selbst. Diese können wenn überhaupt nur in anonymisierter Form auf einem privaten Endgerät verfasst werden, um sie anschließend auf einen Dienstgerät mit Name und Adresse usw. zu versehen. --- ### Thema Website: :question: Checkliste für den anstehenden Neuaufbau ausreichend? :arrow_right: Grundlegende Informationen, was aus. Sicht von Datenschutz und Medienrecht beim Aufbau einer Homepage zu berücksichtigen ist, finden sich unter [Die Schulhomepage](https://datenschutz-schule.info/themen/die-schulhomepage/). Wenn die in der Checkliste aufgeführten Punkte [Checkliste-Schulhomepage.pdf](https://datenschutz-schule.info/wp-content/uploads/2018/05/Checkliste-Schulhomepage.pdf) abgearbeitet sind, sollte allen Belangen Rechnung getragen sein. :book: Weiter lesen * Informationen auf der Seite der Medienberatung - [Fragen zur Schulhomepage](https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Datenschutz-und-Schule/Haeufig-gestellte-Fragen/Schulhomepage/) * Informationen auf der Seite des Ministeriums - [Homepage der Schulen](https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/index.html) :bomb: Besondere Vorsicht ist bei dem Thema Analytics (Website Statistik) geboten. Google Analytics ist durchaus nutzbar, doch man muss wissen, wie man das macht. Es dürfen keine Daten an Google weitergegeben werden. Das kann man deaktivieren. Eine bessere Alternative ist [Matomo](https://matomo.org/). Dieses kann kostenlos und datenschutzfreundlich betrieben werden, bei ausreichender Kenntnis auf dem. eigenen Server. :bomb: Vorsicht ist auch beim Thema Einbindung externer Medien geboten, sogenannten Embedds. Externe Medien, wie zum Beispiel YouTube Videos oder Karten von Google dürfen erst dann aktiv in die Seite geladen werden, wenn die Seitenbesucher in die damit verbundene Datenverarbeitung bzw. Datenübermittlung an die Anbieter eingewilligt haben. --- :question: Wie lange sollten Inhalte verfügbar sein? :arrow_right: Es gibt keine allgemeingültige Antwort auf diese Frage. Eines der Prinzipien der Datenschutz Grundverordnung ist die Speicherbegrenzung entsprechend [Art. 5 DS-GVO Abs. 1 lit. e](https://dsgvo-gesetz.de/art-5-dsgvo/). Inwieweit dieses Prinzip jedoch auf die Speicherung von personenbezogenen Daten in Form von Texten, Videos und Fotos auf einer Schulhomepage anzuwenden ist, darüber gibt es verschiedene Ansichten. * Aus Erfahrung wissen wir, dass Schüler, auch ehemalige Schüler, in der Regel gerne alte Bilder aus ihrer Schulzeit ansehen. Alte Inhalte haben Erinnerungswert und dokumentieren auch für die Schule selbst die Geschichte der Schule. Es spricht also nichts grundsätzlich dagegen, wenn Inhalte auch langfristig auf einer Schulhomepage verfügbar sind. :exclamation: **Hinweis** * Wie lange personenbezogene Daten auf einer Homepage gespeichert werden sollen, muss auch beim Thema Einwilligungen berücksichtigt werden. * Wird bei einer Einwilligung keine Löschfrist angegeben, gilt sie quasi unbegrenzt. In der Fachwelt ist allerdings umstritten, ob es unbegrenzt gültige Einwilligungen tatsächlich geben kann. Einige Fachjuristen vertreten die Meinung, dass eine Einwilligung alle zwei Jahre erneut einzuholen ist. Ein solches Verfahren wäre für eine Schulhomepage natürlich nicht praktikabel. :bulb: Empfehlung * Die Einwilligung wird zunächst bis zum Ende der Schulzeit eingeholt. Zum Ende der Schulzeit wird dann von den Schülerinnen und Schülern selbst eine Einwilligung eingeholt, dass die auf der Homepage. befindlichen personenbezogenen Daten dort (bis auf Widerruf der Einwilligung) verbleiben können. :point_right: Es wird an weiterführenden Schulen ohnehin empfohlen, Einwilligungen, welche von den Eltern bei der Anmeldung oder in der Unterstufe erteilt wurden, spätestens zu Beginn der Oberstufe von den Schülerinnen und Schülern selbst noch einmal einzuholen. In diesem Alter (ab 16 Jahren) sollte Ihnen die Möglichkeit gegeben werden, von ihrem Recht auf informationelle Selbstbestimmung Gebrauch zu machen.*Dieses Recht haben Sie natürlich auch schon vorher. Sie können immer Nein sagen, auch wenn die Eltern zugestimmt haben, und in bestimmten Bereichen können sie auch schon vorher eigenständig einwilligen, da man davon ausgehen kann, dass sie die Tragweite ihres Handelns einschätzen können. Mehr dazu unter [Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern](https://datenschutz-schule.info/themen/die-einwilligung/auswirkungen-der-ds-gvo-auf-die-einwilligungsfaehigkeit-von-schuelern/).* --- :question: Müssen alte Inhalte dezidiert gelöscht werden, oder reicht es, wenn sie nicht verlinkt sind? :arrow_right: Eine Löschung ist immer dann erforderlich, wenn die Rechtsgrundlage für die Verarbeitung entfällt. Das ist der Fall, wenn * die in der Einwilligung vereinbarte Löschfrist erreicht ist, * die Einwilligung widerrufen wurde, * der Verarbeitung widersprochen wurde (Beispiel: die betroffene Person gibt zu verstehen, dass ein bestimmtes Bild von der Homepage gelöscht werden soll.) :exclamation: Es reicht nicht aus, lediglich die Verlinkung auf Inhalte zu entfernen, da die Speicherung im Webspace der Homepage weiterhin unter dem Begriff der Verarbeitung fällt. Löschung heißt Löschung. Es gibt lediglich die Möglichkeit, solche Inhalte dem Archiv zur Aufbewahrung anzubieten. Dagegen können Betroffene auch keinen Widerspruch einlegen. In Archiven werden personenbezogene Daten so aufbewahrt, dass sie erst nach Ablauf der Persönlichkeitsrechte öffentlich einsehbar sind. ### Thema Logineo: :question: Laut den Logineo-FAQ kann man innerhalb der eigenen Instanz personenbezogene Daten per Mail versenden (und vermutlich auch abspeichern?) Gilt dies für alle Daten der VO-DV I+II? :arrow_right: Bei dieser Frage muss unterschieden werden zwischen einer Verarbeitung von für Verwaltungsarbeiten eingerichteten Arbeitsplätzen in der Schule bzw. Dienstgeräten und privaten Endgeräten, für welche eine Genehmigung der Schulleitung zur Verarbeitung von personenbezogenen Daten aus der Schule vorliegt. :email: Grundsätzlich kann man die Frage mit **Ja** beantworten. * :iphone: Allerdings sind gerade beim Thema E-Mail die personenbezogenen Daten, welche per E-Mail übermittelt werden dürfen, stark eingeschränkt. Dabei ist es unerheblich, ob diese Übermittlung zwischen zwei Lehrkräften erfolgt, von der Schule an eine Lehrkraft oder umgekehrt. Der Grund dafür ist, dass der Datensatz, welcher von Lehrkräften auf privaten Endgeräten verarbeitet werden darf, durch VO-DV I Anlage 3 beschränkt ist. * :desktop_computer: Von für Verwaltungsarbeiten eingerichteten Arbeitsplätzen in der Schule und von Dienstgeräten können alle personenbezogenen Daten übermittelt werden bzw. auf diesen empfangen werden, deren Verarbeitung zur Erfüllung der Funktion der jeweiligen Person erforderlich sind. :bulb: Verarbeitung ist ein sehr weit gefasster Begriff! Es bezeichnet: > jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; > Quelle: [Art. 4 Nr. 4 DSGVO Begriffsbestimmungen](https://dsgvo-gesetz.de/art-4-dsgvo/) :exclamation: Aus diesem Grund dürfen auf privaten Endgeräten, auch mit Genehmigung, keine personenbezogenen Daten empfangen oder auch nur online eingesehen werden, die nicht in Anlage 3 aufgeführt sind oder für deren Verarbeitung eine Einwilligung der Betroffenen vorliegt. :deciduous_tree: **Exkurs E-Mail Sicherheit** * Die Sicherheit von E-Mail Kommunikation ist am größten, wenn sie zwischen Personen stattfindet, die in der gleichen E-Mail Domain sind (meint, ihre E-Mail Adressen sind nach dem @ identisch). Dadurch bleibt die Kommunikation auf einen E-Mail Server beschränkt, die E-Mails verlassen diesen nie. * Das gilt gleichermaßen, ob die E-Mail Konten bei 1&1 liegen, bei Strato, all-inkl oder ähnlich. * Die E-Mail Konten von Logineo NRW sind nicht sicherer als die der oben genannten Anbieter. * Nutzen mehrere Schulen Logineo NRW, sind auch die E-Mails zwischen ihnen sicher, da sie alle auf dem gleichen Server kommunizieren. * Egal welcher Anbieter genutzt wird für E-Mail, ein AVV ist auch hier abzuschließen Besteht bereits ein. Vertrag für die Schulhomepage und es werden auch E-Mail Konten bei diesem Anbieter genutzt, muss der AVV auch diese einschließen. * Eine Weiterleitung dienstlicher E-Mails von einem dienstlichen E-Mail Konto auf eine private E-Mail-Adresse ist nicht zulässig. :book: Weiterlesen zum Thema [E-Mail Sicherheit](https://datenschutz-schule.info/themen/e-mail-kommunikation-sicher-nutzen/) --- :question: Können dort Notenlisten etc. abgelegt werden? :arrow_right: Die Antwort ist **ja**. Das Ablegen von Notenlisten ist kein Problem. Es kann in Logineo NRW grundsätzlich alle personenbezogene Daten gespeichert werden, für deren Verarbeitung in digitalem Format sich aus dem Schulgesetz NRW und den anhängigen Verordnungen eine Rechtsgrundlage ableiten lässt. ## Zweiter Workshop mit interessierten KuK: ### Thema private Geräten: :question: Was darf ich auf meinem Laptop/Tablet/… haben, was nicht? :arrow_right: Welche personenbezogenen Daten aus der Schule auf einem privaten Endgerät mit Genehmigung der Schulleitung verarbeitet werden dürfen, ist in [VO-DV I Anlage 3](https://www.schulministerium.nrw.de/docs/Recht/Schulrecht/Verordnungen/VO-DV_I.pdf) definiert. Verarbeitet werden dürfen nur die personenbezogenen Daten, welche zur Erfüllung der Funktion erforderlich sind. * Bei **Lehrkräften** sind dieses: 1. Name, Geburtsname, 2. Vorname 3. Geschlecht 4. Geburtsdatum 5. Konfession 6. Klasse/Jahrgangsstufe, Kurs 7. Schülernummer/Nummer des Gesamtschülerverzeichnisses 8. Ausbildungsrichtung bzw. Ausbildungsberuf 9. Fächer, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet 10. Leistungsbewertung in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet 11. Zeiten des Fernbleibens vom Unterricht in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet 12. Vermerk über Benachrichtigungen gemäß § 50 Abs. 4 SchulG in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet 13. Erreichbarkeit der in § 1 Absatz 1 Nummer 1 bis 3 genannten Personen (Anlage 1, Abschnitt A, Teil I Nummern 1.4, 2.6, 2.7, 3.3, 3.4) * Bei Personen mit weiteren(z.B. **Klassenleitung**, **Schulleitung**) sind dieses: 1. Halbjahresnoten in allen Fächern 2. alle zeugnisrelevanten Leistungsangaben 3. Zeugnisbemerkungen 4. Vermerke über Benachrichtigungen gemäß § 50 Abs. 4 SchulG. :exclamation: Bei Nummer 4 sind ausdrücklich nur **Vermerke** gemeint, nicht die Benachrichtigungen selbst. Diese können wenn überhaupt nur in anonymisierter Form auf einem privaten Endgerät verfasst werden, um sie anschließend auf einen Dienstgerät mit Name und Adresse usw. zu versehen. :bulb: Es ist möglich bei Vorliegen der Genehmigung durch die Schulleitung, mit Einwilligung der Betroffenen weitere personenbezogene Daten auf einem privaten Endgerät zu verarbeiten. :deciduous_tree: Exkurs **Einwilligung** * Einwilligungen müssen **immer gegenüber der Schulleitung** abgegeben werden! Das lässt sich z.B. durch ein kleines Anschreiben im Kopfbereich des Formulars umsetzen, welches mit der Unterschrift der Schulleitung versehen ist. * Wenn bei der Anmeldung an der Schule bereits umfassend entsprechend Art. 13 und 14 DS-GVO (siehe weiter oben) informiert wurde, können die Angaben zum Verantwortlichen und Datenschutzbeauftragten nicht erneut gegeben werden. * Enthalten muss eine Einwilligung immer - Angaben: * zur Kategorie der personenbezogenen Daten (z.B. Fotografien, keine Einzelabbildungen, ohne Angabe von Namen) * zum Zweck der Verarbeitung (z.B. Öffentlichkeitsarbeit auf der Schulhomepage) * ob und an wen eine Übermittlung geplant ist (z.B. Veröffentlichung in den lokalen Zeitungen) * zur Rechtsgrundlage der Verarbeitung (Einwilligung) * zu den Löschfristen (z.B. bis zum Ende der Schulzeit, bis zum Widerruf der Einwilligung) * zu den Rechten der Betroffenen (Widerruf der Einwilligung, Widerspruch in die Verarbeitung, Berichtung, Auskunft, Recht auf Beschwerde bei der Aufsichtsbehörde) * zur Freiwilligkeit der Einwilligung, ohne Nachteile bei Nichterteilung (Nachteile meint hier vor allem bezüglich Lernens, der Noten etc.) Außerdem * darf eine Einwilligung nicht zu allgemein sein * sollte eine Einwilligung je nach Fall, Wahlmöglichkeiten haben (z.B. Veröffentlichung in der Zeitung; Veröffentlichung auf der Schulhomepage) :book: [Die Einwilligung](https://datenschutz-schule.info/themen/die-einwilligung/) und Download von Vorlagen unter [Datenschutzrechtliche Einwilligungen](https://datenschutz-schule.info/service-downloads/einwilligungen-schule-nrw/) und [Weitere Einwilligungen](https://datenschutz-schule.info/service-downloads/einwilligungen-schule-nrw/download-weitere-einwilligungen-nrw/) --- :question: Was muss ich bzgl. der Trennung privater und dienstlicher Anwendungen und Daten beachten? :arrow_right: Eine saubere Trennung lässt sich in der Regel nur durch die Einrichtung von zwei getrennten Nutzerkonten auf dem Endgerät erreichen. Das sorgt für zusätzlichen Schutz, etwa wenn ein PC in der Familie auch von anderen Personen genutzt wird oder wenn das privat genutzte Konto durch unvorsichtiges Verhalten kompromittiert wird, etwa durch Virenbefall oder einen Trojaner. :dagger_knife: Sehr riskannt ist die Nutzung eines einzigen E-Mail Apps auf Mobilgeräten für den Abruf und Versand von dienstlichen und privaten E-Mail Konten, da es so leicht passieren kann, dass dienstliche Inhalte versehentlich an einen privaten Kontakt verschickt werden. Besser dann zwei getrennte Apps nutzen, bei Android beispielsweise Gmail für Privates, K9 Mail für Dienstliches. :bulb: Bei iOS Geräten (iPhone/ iPad) ist eine solche Trennung bei Privatgeräten nicht möglich. Das wird dann in der Genehmigung vermerkt. Eine Trennung von privaten und schulischen Daten kann aber auch durch Nutzung verschiedener Apps erreicht werden. --- :question: Welche Anforderungen muss mein privates Gerät erfüllen, damit ich dienstliche Daten darauf speichern darf? :arrow_right: Die Anforderungen sind in Teil B der [Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II](https://www.medienberatung.schulministerium.nrw.de/_Medienberatung-NRW/Datenschutz/Dokumente/Genehmigung-der-Nutzung-privater-Endgera%CC%88te.pdf) aufgeführt. Die wichtigsten Anforderungen sind: * Separater dienstlicher Nutzer (wo technisch möglich; Ausnahme iOS) * Verschlüsselung der Festplatte * Zugriffsschutz durch sichere Passörter, Bildschirmsperre, ... * Aktuelles Betriebssystem, für welches es regelmäßig (Sicherheits-)Updates gibt * Virenschutz (wo das Betriebssystem es erfordert, z.B. Windows) * Firewall aktiv * ... Ausführliche Informationen zur Umsetzung der geforderten Maßnahmen gibt es unter [Genehmigung private Endgeräte](https://datenschutz-schule.info/themen/genehmigung-lehrkraefte-nutzung-private-endgeraete-nrw/). Dort findet sich eine Übersicht für alle Betriebsysteme. :bulb: In einer großen Schule sollte es ausreichend viele IT kompetente Lehrkräfte geben, dass man sich hier gegenseitig unterstützen kann. :book: [Passwörter und Zugriffsschutz](https://datenschutz-schule.info/themen/datenschutz-und-it-sicherheit/passwoerter-und-zugriffsschutz/) erklärt, worauf man achten sollte, um den Zugriff auf Geräte und Konten zu sichern. :deciduous_tree: **Exkurs Datensicherung** Auch bei der Verarbeitung von personenbezogenen Daten auf privaten Endgeräten müssen die Daten als Backup gesichert werden, um die Verfügbarkeit zu gewährleisten. Die personenbezogenen Daten aus der Schule dürfen nicht verloren gehen, wenn das private Endgerät einen Hardware Defekt erleidet. * Wird für die Datensicherung eine externe Festplatte oder ein USB-Stick genutzt, muss dieser a) genehmigt sein durch die Schulleitung, sofern es sich nicht um einen durch die Schule zur Verfügung gestellten USB Stick handelt. * Externe Speichermedien müssen ebenfalls vor unbefugtem Zugriff geschützt werden. Das erfolgt durch Verschlüsselung. * Clouds bieten eine alternative Möglichkeit, die auf einem privaten Endgerät verarbeiteten Daten zu sichern. Vorteile dieses Verfahrens sind, dass man kein zusätzliches Gerät genehmigen lassen muss, die Sicherung außer Hauses erfolgt und in der Cloud die Aufbewahrungs- und Löschfristen für private Endgeräte nicht gelten. Hier gelten entsprechend der [VO-DV I §9](https://www.schulministerium.nrw.de/docs/Recht/Schulrecht/Verordnungen/VO-DV_I.pdf) die folgenen Fristen: * *Zeugnislisten, Zeugnisdurchschriften, (soweit es sich nicht um Abgangs- und Abschlußzeugnisse handelt), Unterlagen über die Klassenführung (Klassenbuch, Kursbuch), Akten über Schülerprüfungen* **10 Jahre** * *alle übrigen Daten* **5 Jahre** * Als Cloud Speicher kommen, wie im nächsten Abschnitt beschrieben, nur solche in Frage, mit deren Anbieter die Schule ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen hat. --- :question: Sind kommerzielle Cloud-Dienste grundsätzlich unzulässig, um personenbezogene dienstliche Daten zu speichern? :arrow_right: Kommerzielle Cloud-Dienste sind nicht grundsätzlich unzulässig, um personenbezogene Daten aus der Schule dort zu speichern. Bei vielen von Schule genutzten Cloud-Diensten handelt es sich um kommerzielle Angebote. :exclamation: Cloud-Dienste können zur Verarbeitung von personenbezogenen Daten aus der Schule genutzt werden, wenn dafür zwischen Schule und Anbieter ein sogenannter Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen wurde. Dabei ist es unerheblich, ob die Cloud durch einen kommunalen Dienstleister oder einen anderen kommerziellen Anbieter betrieben wird. :deciduous_tree: **Excurs AVV** Ein Vertrag zur Auftragsverarbeitung (AVV) ist ein Vertrag zwischen Schule als verantwortlicher Stelle (:gb: Controller) und einem Auftragnehmer (:gb: Processor). Der Vertrag stellt sicher, dass die personenbezogenen Daten des Verantwortlichen nur zu dessen Zwecken verarbeitet werden. Das heißt, der Auftragnehmer darf diese Daten **nicht** für eigene Zwecke (z.B. Werbung, Profilbildung, Verkauf, ...) nutzen. Ausnahme ist die Nutzung zur Gewährleistung, Verbesserung und Sicherheit der Funktionen des Dienstes. :exclamation: Achtung! Auch mit Verschlüsselung (z.B. Veracrypt, Bitlocker, BoxCryptor) ist es nicht zulässig personenbezogenen Daten aus der Schule in einer Cloud zu speichern, wenn für diese kein AVV zwischen Schule und Anbieter abgeschlossen wurde. Auch verschlüsselt sind personenbezogene Daten weiterhin personenbezogene Daten. :book: Was in [Lehrer Apps und Cloud Speicher](https://datenschutz-schule.info/2020/02/19/lehrer-apps-und-cloud-speicher/) beschrieben ist, lässt sich auf auf das bloße Abspeichern/ Sichern/ Synchronisieren von Dokumente mit personenbezogenen Daten vom PC oder Notebook aus übertragen. ### Thema Klassenleitung: :question: Welche Daten darf ich erheben und wie muss ich die Eltern darüber aufklären? :arrow_right: Grundsätzlich darf eine Lehrkraft alle personenbezogenen Daten erheben, die durch das Schulgesetz NRW und die [VO-DV I](https://www.schulministerium.nrw.de/docs/Recht/Schulrecht/Verordnungen/VO-DV_I.pdf) legitimiert sind. Personenbezogene Daten, für welche es keine Rechtsgrundlage dieser Art gibt, können nur auf der Grundlage einer rechtswirksamen Einwilligung (siehe oben) erhoben werden. :bulb: Bei der Abfrage von Schuhgrößen für einen Ausflug in die Eissporthalle kann auf eine Einwilligung durch Erziehungsberechtigte sicher verzichtet werden, da selbst jüngere Kinder hier in der Lage sind, die Tragweite der Angabe dieser Daten zu verstehen. Die Angabe der Schuhgröße durch die Kinder kann man hier als bestätigende Handlung werten. --- :question: Thema Datenschutz-Kenntnisse für SuS: Was müssen wir wann vermitteln? :arrow_right: Hier kann man sich gut an Klicksafe orientieren, die umfangreiches und gutes Material für die Arbeit mit Schülern bereithalten, zum Download und zum Bestellen - [Klicksafe Datenschutz](https://www.klicksafe.de/themen/datenschutz/) ___ ### Ergänzung E-Mail Lehrkräfte Es sollte klar geregelt sein, was bei der Nutzung des schulischen E-Mail Kontos zulässig ist und was nicht. Das regelt man für Lehrkräfte in der Regel über eine Dienstanweisung. Der Regelungsbedarf besteht in Schulen nicht nur für die Nutzung des dienstlichen E-Mail Kontos, sondern auch für die Internetnutzung, auch wenn bei letzterer die Grenzen zwischen einer privaten und dienstlichen Nutzung oft fließend sind. Schülern untersagt man eine private Nutzung per Nutzungsordnung, während man bei Lehrkräften die private Nutzung per Dienstanweisung der Schulleitung untersagen kann. Es gibt seit Anfang 2020 endlich einmal sehr konkrete Aussagen bezüglich (privater) Nutzung Internet/ E-Mail in Schule, sowohl, was Schüler als auch Lehrkräfte angeht. Die Aussagen kommen aus Baden Württemberg und finden sich im Tätigkeitsbericht des LfDI Baden Württemberg. Er klärt wird im Beitrag im Tätigkeitsbericht auch, was zu beachten ist bzw. wie zu verfahren ist, wenn man Lehrkräften eine private Nutzung gestatten möchte. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/01/35.-T%C3%A4tigkeitsbericht-f%C3%BCr-den-Datenschutz-Web.pdf Wie kann so eine Dienstanweisung aussehen? Hier kann man sich gut an der Dokumentation zu Logineo NRW orientieren: * In der [Rahmenmediennutzungsordnung](https://www.logineo.schulministerium.nrw.de/_LOGINEO-NRW/Dienstvereinbarung/Anlage4_Rahmenmediennutzungsordnung_Schule.pdf) findet sich unter **2.2 Nutzung der E-Mail-Komponente** eine mit den Personalräten abgestimmte Nutzungsordnung, welche die Verpflichtungen der Lehrkräfte regelt. * In den [Nutzungsbedingungen für die Nutzung der Basis-IT-Infrastruktur LOGINEO NRW](https://www.logineo.schulministerium.nrw.de/_LOGINEO-NRW/Dienstvereinbarung/Anlage2_Nutzungsbedingungen-Schulpersonal-ZfsL.pdf) finden sich unter **6. Kommunikationsvorgänge** und **7. Missbrauchskontrolle der dienstlichen/schulischen E-Mail-Komponente** weitere Informationen, welche man zur Erstellung einer eigenen Dienstanweisung/ Nutzungsvereinbarung für Lehrkräfte nutzen kann.