DSGVO: Was Schulen, Kitas und Unis jetzt wissen müssen
Datenschutzgrundverordnung
Seit dem 25. Mai 2018 müssen die EU-Mitgliedstaaten die Datenschutzgrundverordnung (DSGVO) umsetzen, die das bisherige nationale Datenschutzrecht ersetzt. Die neuen Regeln gelten nicht nur für Großkonzerne, sondern auch für alle Schulen, Kitas und Universitäten in Nordrhein-Westfalen. Ab jetzt brauchen sie zum Beispiel eine*n Datenschutzbeauftragte*n.
Was sind die ersten Schritte zur Umsetzung?
Die Uni, Schule oder Kita muss eine*n Datenschutzbeauftragte*n bestellen. Außerdem muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden, in das alle Vorgänge und Prozesse einzutragen sind, bei denen in der Bildungseinrichtung personenbezogene Daten verarbeitet werden. Insbesondere der Zweck der Datenverarbeitung und die Kategorien der verarbeiteten personenbezogenen Daten müssen in dieses Verzeichnis aufgenommen werden. Darüber hinaus sollte überprüft werden, ob die Datenschutzerklärung der Homepage den aktuellen Anforderungen entspricht.
Welche Informationen zählen zu personenbezogenen Daten?
Personenbezogene Daten sind alle Informationen, die Rückschlüsse auf bestimmte Personen zulassen. Sammelangaben oder anonymisierte Daten sind demnach keine Daten mit Personenbezug. Ebenso zählt die Adresse der Schule, Kita oder Universität erst einmal nicht dazu. Ist jedoch ein*e Ansprechpartner*in wie beispielsweise die*der Schulleiter*in mit Kontaktdaten wie Telefonnummer oder E-Mailadresse auf der Internetseite der Bildungseinrichtung angegeben, handelt es sich um personenbezogene Daten.
Was sind die Aufgaben der Datenschutzbeauftragten?
Datenschutzbeauftragte sollten Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen. Der Besuch einer entsprechenden Fortbildung sollte in der Regel aber ausreichen, um dieses Wissen zu erwerben. Datenschutzbeauftragte sind lediglich dazu verpflichtet, die Schulleitung zu beraten und auf mögliche Datenschutzverstöße hinzuweisen. Nach wie vor ist aber die Schulleitung dafür verantwortlich, dass die datenschutzrechtlichen Vorschriften eingehalten werden.
Was passiert bei Verstößen gegen den Datenschutz?
Die DSGVO sieht erstmals auch hohe Bußgelder für Verstöße vor – bis zu 20 Millionen Euro pro Verstoß sind theoretisch möglich. Allerdings gilt dies nur, falls jemand als Unternehmen am Wettbewerb teilnimmt. Da dies bei Schulen nicht der Fall ist, müssen sie auch nicht mit der Verhängung einer Strafzahlung rechnen. Im Fall einer Datenschutzpanne muss die Schule aber grundsätzlich die datenschutzrechtliche Aufsichtsbehörde und die*den Landesbeauftragte*n für den Datenschutz sowie die Betroffenen benachrichtigen.
Was gilt für die private IT-Ausstattung?
Nicht jede technische Datenschutzmaßnahme, die für die Schule verbindlich ist, gilt auch für die Nutzung privater Computer. So muss beispielsweise eine allein lebende Lehrkraft das Zimmer, in dem sich ihr Rechner befindet, nicht extra abschließen. Auch müssen private Computer nicht von der Schulleitung kontrolliert werden. Sind auf dem Rechner bereits personenbezogene Informationen gespeichert oder vorhanden, darf das Gerät zwar in das pädagogische Netz eingebunden werden, die personenbezogenen Daten müssen jedoch verschlüsselt sein. Eine Verarbeitung darf grundsätzlich nicht erfolgen. Empfehlenswert ist daher die Speicherung sämtlicher personenbezogener Daten auf einem verschlüsselten USB-Stick. Da zudem viele Anbieter von Cloud-Computing die Anforderungen der EU-DSGVO nicht erfüllen, kommen sie für eine schulische Nutzung nicht in Frage. Vor Unbefugten geschützt und verschlossen aufbewahrt werden müssen auch personenbezogene Daten in Papierform wie Noten-, Klassen- oder Kurstagebücher.
Welche Regeln gelten für die Webseite?
Bildungseinrichtungen müssen die Kontaktdaten ihrer*s Datenschutzbeauftragten auf ihrer Webseite veröffentlichen. Dabei genügt es, eine E-Mailadresse oder eine Telefonnummer zu nennen. Zur Informationspflicht gehört es laut EU-DSGVO zudem, Verarbeitungszwecke sowie die Rechtsgrundlage für diese Verarbeitung mitzuteilen. Eventuell sind auch Empfänger*innen oder Kategorien von Empfänger*innen der personenbezogenen Daten offenzulegen. Wird die Webseite durch einen Dienstleister betrieben, muss dieser genannt werden. Auch die Speicherdauer von Daten oder die Kriterien für deren Festlegung müssen erklärt werden.
Sind Kontaktformulare, anmeldepflichtige Bereiche und Blogs Teil der Webseite oder finden statistische Auswertungen zur Nutzung statt, werden ebenfalls personenbezogene Daten verarbeitet, für die eine Informationspflicht gilt. Will eine Schule, Kita oder Universität personenbezogene Daten verarbeiten, für die keine Rechtsgrundlage existiert, muss dies über eine Einwilligung der Betroffenen geschehen. Das ist zum Beispiel der Fall, wenn Fotos von Personen auf der Webseite veröffentlicht werden. Die Datenschutzerklärung sollte von jeder Seite erreichbar sein. Das lässt sich zum Beispiel durch einen Menüpunkt in der Navigationsleiste oder durch einen Link in der Kopf- oder Fußleiste sicherstellen.
Müssen Lehrkräfte oder Erzieher*innen geschult werden?
Die Bildungseinrichtung muss sicherstellen, dass die an der Hochschule, Schule oder Kita tätigen Personen personenbezogene Daten nur auf Anweisung verarbeiten. Dazu müssen die Pädagog*innen datenschutzrechtlich sensibilisiert werden – etwa im Umgang mit der IT-Ausstattung. Das gilt natürlich auch für Lehrkräfte an Universitäten, Erzieher*innen oder Schulsozialarbeiter*innen an Schulen sowie alle weiteren Beschäftigten, die an der Bildungseinrichtung mit personenbezogenen Daten arbeiten.
Was ist bei der E-Mail-Nutzung zu beachten?
Werden wiederholt Nachrichten oder Newsletter per E-Mail an einen größeren Empfänger*innenkreis gesendet, werden dazu meist E-Mail-Verteilerlisten genutzt. Dies ist indes aus datenschutzrechtlicher Sicht bedenklich, da unter Umständen alle Empfänger*innen sehen können, wer die Nachricht sonst noch bekommen hat. Empfohlen wird daher, den E-Mail-Verteiler im Feld „Bcc“ einzutragen, sodass nicht erkennbar ist, an wen die Nachricht sonst noch ging.
Vorsicht ist auch bei der Nutzung externer E-Mail-Dienste wie Gmail, GMX oder Web.de geboten. Die offizielle Kommunikation in der Universität, Schule oder Kita beinhaltet häufig personenbezogene Daten, die in dem Fall verschlüsselt an den Dienstleister übermittelt werden. Die GEW empfiehlt daher, für die Kommunikation mit Eltern oder Verwaltung auch eine offizielle E-Mail-Adresse der Stadt oder der Kommune zu verwenden. Hochschulen bieten sehr häufig eine eigene E-Mail-Adresse an. Die Kommunen, das Land und der Bund sind in der Pflicht, eine gute digitale Infrastruktur bereitzustellen.
Nadine Emmerich
freie Journalistin
Fotos: Jonathan Schöps, Martin Koos / photocase.de
Kommentare (0)
Hat Ihnen dieser Artikel gefallen? Lassen Sie es uns wissen. Wir freuen uns auf Ihr Feedback!