Datenschutz in Thüringer Schulen

Mit der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung wurde das bestehende Datenschutzrecht fortentwickelt. Ziel der Neuregelung ist es, in der Europäischen Union gemeinsame Standards zu setzen.

Das Thüringer Ministerium für Bildung, Jugend und Sport erarbeitet derzeit eine Verordnung, in der die Anforderungen an den Datenschutz im Schulbereich geregelt werden. Diese Verordnung soll das bestehende und gültige Datenschutzrecht für den Schulbereich konkretisieren. Ziel ist, dass in der „Verordnung zum Datenschutz an Thüringer Schulen“ alle Fragen des Datenschutzes im Schulbereich an einer Fundstelle zentral und transparent geregelt werden. Damit soll die Anwendung an den Thüringer Schulen verlässlich, transparent, zentral und praxisorientiert geregelt werden. Aufgrund der Normenhierarchie sind hier keine Neuregelungen zu erwarten, sondern das bestehende Datenschutzrecht auf EU-, Bundes- und Landesebene wird konkretisiert.

Bis zum Inkrafttreten der Verordnung geben die folgenden Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen Hinweise für die Anwendung des bestehenden Datenschutzrechtes. Sie sollen eine Hilfestellung für die tägliche Praxis an den Thüringer Schulen sein. Sie werden ständig fortgeschrieben.

Sollten Fragen zum Datenschutz bestehen, können sich alle Mitarbeiterinnen und Mitarbeiter im Geschäftsbereich des Thüringer Ministeriums für Bildung, Jugend und Sport jederzeit an die folgenden Stellen wenden:

Thüringer Ministerium für Bildung, Jugend und Sport
S1 – Deregulierung und Datenschutz
Werner-Seelenbinder-Str. 7
99096 Erfurt
datenschutz@tmbjs.thueringen.de
Fax: 0361 – 573411-690

Druckfassung

Vorlagen/Vordrucke/Muster finden Sie nur in der Onlinefassung jeweils bei der entsprechenden Frage.

Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen

1. Datenschutz

  • Der Begriff Datenschutz greift eigentlich zu kurz. Geschützt werden sollen nur in zweiter Linie Daten. In erster Linie geht es darum, Menschen und ihre Rechte zu schützen. Genauso, wie jeder Mensch ganz selbstverständlich darüber selbst entscheiden kann, welchen Beruf er wählt oder in welcher Stadt erleben möchte, so soll er auch ganz selbstverständlich darüber selbst bestimmen können, wer, was über ihn weiß.

    Das Bundesverfassungsgericht hat in seinem "Volkszählungsurteil" von 1983 klargestellt, dass das Recht auf informationelle Selbstbestimmung ein Grundrecht ist. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen, so auch der Wortlaut von Art. 6 Abs. 2 Thüringer Verfassung. Dieses Grundrecht gilt es genauso, wie die anderen Grundrechte an den Schulen zu schützen.

    Guter Datenschutz basiert auf zwei Säulen: Sensibilisierung und Wissen. Alle am Schulalltag Beteiligten müssen darum wissen, dass bei personenbezogenen Daten stets besondere Vorsicht gelten muss. Und, dass in einem zweiten Schritt stets klar sein muss, wie mit diesen Daten richtig umgegangen wird. Im Zweifel gilt: fragen Sie ihren Datenschutzbeauftragten. Er wird ihnen gerne helfen.

2. Datenerhebung

  • Nein. Die Daten, die erhoben werden dürfen, sind in § 136 ThürSchulO benannt. Sollen weitere Daten erhoben werden, bedarf es hierfür einer gesonderten Rechtsgrundlage. Im Falle der Erhebung von personenbezogenen Daten sind die Informationspflichten nach Art. 13 DS-GVO zu beachten.

  • Ja. Muster für Schüleraufnahmebögen sowie ein Merkblatt zur Umsetzung der Informationspflicht nach Art. 13 DS-GVO finden sie hier:

    Schülerbogen, ►Schülerbogen Grundschule, ►Merkblatt

    Eine Kopie der Einwilligungstexte und der Informationen nach Art. 13 DS-GVO sind dem Unterzeichner auszuhändigen oder elektronisch zugänglich zu machen.

  • Ja. Mit diesem Bogen können zugleich Einwilligungen der Eltern einholt werden. So ist es möglich, zugleich die Einwilligung für die Erstellung einer Telefonliste und für die Präsentation von Bildern und Videos der Schüler/innen und Schüler auf der schuleigenen Homepage einzuholen. Ferner kann mit dem Formular die nach der DS-GVO zwingend vorgeschriebene Aufklärung (Artikel 13 DS-GVO: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) über die personenbezogene Datenverarbeitung verbunden werden. Für jede dieser gesonderten Möglichkeiten muss ein separates Auswahlfeld zur Verfügung stehen, damit die Eltern hier auch die Zustimmung für einzelne oder alle der zusätzlichen Einwilligungen verweigern können.

  • Ja. Der Elternbegriff im Schulgesetz orientiert sich grundsätzlich an der Sorgeberechtigung des Bürgerlichen Gesetzbuches. Ist der Sorgerechtsnachweis gegenüber der Schule erfolgt, so hat die betreffende Person die gleichen Rechte und Pflichten gegenüber der Schule, wie die Eltern. Die Sorgerechtsnachweise (Gerichtsurteil, Sorgerechtserklärung, etc.) dürfen allerdings nicht von der Schule gespeichert werden. Der Nachweis der Sorgeberechtigung ist durch das Schulverwaltungspersonal auf dem Aufnahmebogen zu vermerken.

  • Nein. Der Inhalt von Klassen- oder Kursbüchern ist in § 136 Abs. 4 ThürSchulO geregelt. Danach beinhalten diese

    1. Namen, Geburtsdatum, Schulalter und Wohnanschrift der Schüler (Nr. 1),
    2. Angaben zu Krankheiten und Behinderungen, soweit sie für die Schule von Bedeutung sind (Nr. 2),
    3. Namen der Eltern (Nr. 3),
    4. Noten (Nr. 4),
    5. Vermerke über unentschuldigtes und entschuldigtes Fernbleiben (Nr. 5),
    6. Angaben zur Teilnahme am fakultativen Unterricht und an Arbeitsgemeinschaften (Nr. 6),
    7. Name und Anschrift der Mitglieder der Eltern- und Schülervertretungen (Nr. 7) sowie
    8. Angaben zur Herstellung des Kontakts in Notfällen (Nr. 8).

3. Datensicherheit

  • Ja. Werden personenbezogene Daten in Akten, Notenbüchern, usw. verarbeitet, dann müssen Maßnahmen getroffen werden, um sicherzustellen, dass Unbefugte auf diese Daten bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung nicht zugreifen können (z. B. verschlossene Schublade, abgeschlossenes Zimmer, verschlossene Tasche).

  • Ja. Sobald personenbezogene Daten  auf mobilen Endgeräten bzw. Datenträgern gespeichert werden, müssen diese verschlüsselt werden. Mittels Verschlüsselung kann unbefugte Kenntnisnahme, unbefugtes Kopieren oder Verändern von personenbezogenen Daten bei der Speicherung, dem Transport und der Übertragung verhindert werden.

    Personenbezogene Daten von Schülerinnen und Schülern oder Lehrkräften, die auf mobilen Speichergerätenwie z. B. externen Festplatten, USB Speichermedien, CD-ROMs, usw. abgelegt werden, aber auch auf Laptops, Notebooks, usw. müssen verschlüsselt sein. Auch für den Fall, dass personenbezogene Daten per E-Mail über das Internet übertragen werden sollen, ist eine Verschlüsselung vorgeschrieben.

    Hinweise und konkrete Empfehlungen zu geprüfter Verschlüsselungssoftware gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) www.bsi.de.

  • Nein. Ein alleiniger passwortgeschützter Gerätezugang reicht nicht aus, da die Daten selbst in der Regel unverschlüsselt auf der Festplatte abgelegt sind und so mit geringen technischem Aufwand ausgelesen werden können.

  • Ja. Diese Daten müssen verschlüsselt werden. Das Passwort sollte separat (bspw. Telefon) an das Staatliche Schulamt weitergegeben werden.

  • Ja. Es müssen organisatorische und technische Maßnahmen getroffen werden. Mit den Maßnahmen wird das Ziel verfolgt, ein möglichst hohes Schutzniveau mit vertretbarem Aufwand zu erreichen. ►Checkliste zur Umsetzung der Maßnahmen

    Rechtsgrundlagen:

    • Art. 24 i. V. m. Art. 32 DS-GVO
    • § 136 Abs. 5 ThürSchulO

4. Datenübermittlung

  • Mit Hilfe eines anonymisierten Notenspiegels wird ein Leistungsüberblick (bezogen auf eine Klassenarbeit oder auf die Gesamtleistung in einem Fach) für eine Schulklasse erstellt. Anhand dieser Leistungsübersicht ist nur feststellbar, wie viele Schüler einer Klasse welche Noten erreicht haben. Wird der Notenspiegel in der Klasse den Schülerinnen und Schülern oder betroffenen Eltern zur Kenntnis gegeben, werden damit keine personenbezogenen Daten übermittelt, weil sich kein Bezug zu einzelnen Schülern herleiten lässt.

  • Nein. Allerdings sind vom grundsätzlichen Verbot in wenigen, sehr eng begrenzten Einzelfällen Ausnahmen möglich. Ergebnisse und Benotungen von schriftlichen Klassenarbeiten sind personenbezogene Schülerdaten. Soll die Notenverkündung aus pädagogischen Gründen erfolgen, ist es ausreichend, einen Notenspiegel zu erstellen. Jede/r Schülerin/Schüler kann damit für sich feststellen, wo sie/er leistungsmäßig in der Klasse steht. Bei schriftlichen Arbeiten ist das Verlesen der Noten daher unzulässig.

    Bei mündlichen Leistungen kann es aus pädagogischen Gründen erforderlich sein, dass die Note vor der Klasse bekannt gegeben wird. Allerdings ist dies nur im Einzelfall zulässig. Ein Anwendungsfall ist hier zum Beispiel eine deutliche Leistungsverbesserung des einzelnen Schülers, der als Vorbild für andere dienen kann.

    Im Übrigen gibt es an den Schulen Fallkonstellationen, in denen eine Bekanntgabe faktisch automatisch erfolgt, z. B. bei der Bewertung von sportlichen Leistungen (Notenklassifizierung anhand von Weitenvorgaben).

  • Nein. Das Einholen pauschaler Einwilligungen für diesen Zweck, z. B. bereits bei der Aufnahme der Schülerinnen und Schüler, ist unzulässig. Einwilligungen sind für den Einzelfall einer Datenverarbeitung (in diesem Falle einer Datenübermittlung) einzuholen.

  • Ja. Allerdings dürfen in diesen Listen nur Eltern erfasst werden, die eingewilligt haben. Die erfassten Daten sind unter dem Gebot der Datensparsamkeit zu minimieren. Die Erfassung des Namen und einer E-Mail-Adresse ist in der Regel für Zwecke der Informationsweitergabe ausreichend. Sollte es von der Schule und den Eltern gewünscht sein, kann auch eine Telefonnummer erfasst werden.

    Wenn eine Schule standardmäßig Vertretungspläne auf der Schulhomepage veröffentlicht und über sonstige unvorhergesehene Ereignisse über die Schulhomepage informiert, ist zu prüfen, ob eine solche Kontaktliste erforderlich ist. Bei der Prüfung der Erforderlichkeit ist insbesondere der Grundsatz von Datenvermeidung und Datensparsamkeit zu beachten.

  • Nein. Ohne die Einwilligung des Lehrers ist eine Weitergabe an Dritte nicht zulässig. Allerdings müssen Eltern die Möglichkeit haben, Kontakt zu den Lehrkräften herzustellen, die ihre Kinder unterrichten. Auch bei einer Zustimmung des Lehrers sollte der Regelfall die telefonische Kontaktaufnahme über das Schulsekretariat sein. Ab dem Schuljahr 2019/2020 werden den Thüringer Lehrern dienstliche E-Mail-Adressen zur Verfügung gestellt. Zukünftig sollen Anfragen an Lehrkräfte vor allem über diese E-Mail-Adressen erfolgen. Hintergrund ist, dass auf diesem Wege der einzelne Lehrer seinen Arbeitstag selbstbestimmt und fokussiert gestalten kann und Arbeitsprozesse nicht fortlaufend unterbrochen werden.

  • Nein, die Schule darf keine personenbezogenen Daten an den Förderverein übermitteln.

    Allerdings kann die Schule mit dem Förderverein vereinbaren, dass den Erziehungsberechtigten bei der Aufnahme von Schülerinnen und Schülern in die öffentliche Schule entsprechendes Informationsmaterial und Beitrittserklärungen des Fördervereins ausgehändigt werden.

  • 4.7 Dürfen Elternvertreter auf die personenbezogenen Daten von anderen Schülern, nicht der eigenen Kinder, bei freiwilligen Angeboten zugreifen?

    Nein. Sofern Elternvertretungen freiwillige Angebote unterbreiten (z. B. das Erstellen einer Liste mit den Kontaktdaten der Schülerinnen und Schüler einer Klasse für alle Personensorgeberechtigte), ist dies nur mit der Einverständniserklärung der Sorgeberechtigten zulässig.

  • Ja. Wenn die Eltern der Aufnahme in die E-Mail-Verteilerliste zugestimmt haben, ist dies möglich. Allerdings müssen seitens der Elternvertretung zwei Punkte beachtet werden: E-Mails dürfen an den Verteiler ausschließlich als Blindkopie (E-Mail-Adressen ausschließlich im Feld „bcc“) versandt werden. Ansonsten würden alle E-Mail-Adressen an alle Empfänger übermittelt, was datenschutzrechtlich unzulässig wäre. Zudem dürfen auf diesem Wege in der E-Mail selbst keine personenbezogenen Daten ausgetauscht werden.

  • Nein. Ein Zugriff auf personenbezogene Daten ist nur nach vorheriger Einwilligung durch die betroffenen Personen bzw. deren Sorgeberechtigten zulässig.

  • und der Leistungsstände der Auszubildenden im Rahmen der dualen Berufsausbildung der vorherigen Einwilligung?

    Ja. Aktuell ist allerdings eine Änderung der Thüringer Allgemeinen Schulordnung für die berufsbildende Schule in der Umsetzung, die die Rechtsgrundlage schafft, um zukünftig auf die Einwilligung verzichten zu können. Die entsprechende Einwilligungserklärung gemäß DS-GVO, mit dem Hinweis auf das Recht diese zu widerrufen, wird von den Ausbildungsbetrieben bzw. den jeweils zuständigen Stellen für die Berufsausbildung eingeholt. Ein entsprechendes Muster wurde mit dem TMBJS abgestimmt. Nach der erfolgten Änderung der ThürASObbS beruht die Datenübermittlung auf einer rechtlichen Grundlage (Art. 6 Abs. 1 lit. c DS-GVO) und die Einwilligungen entfallen.

  • Ja. Auch nach Inkrafttreten der DS-GVO ist die Übermittlung personenbezogener Daten von Schülerinnen und Schülern und deren Erziehungsberechtigten an untere Gesundheitsbehörden zur Durchführung der Untersuchungen nach Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i. V. m. § 120 ThürSchulO zulässig. Die Einholung von Einwilligungen der Erziehungsberechtigten ist nicht erforderlich.

  • Nein. Es ist nicht Aufgabe der Schulen, personenbezogene Daten an Dritte, wie etwa Sponsoren, weiterzugeben, die mit diesen Daten einen kommerziellen und damit schulfremden Zweck verfolgen. Darüber hinaus wäre eine solche Weitergabe an eine explizite Einwilligung der Erziehungsberechtigten bzw. der Schülerinnen und Schüler geknüpft, die die Übermittlung an Dritte konkret vorgibt und den Zweck der Übermittlung klarstellen muss.

  •  mit den anwesenden Eltern beraten?

    Nein. Es ist grundsätzlich nicht datenschutzgerecht, wenn einzelfallbezogene Probleme der Lehrer und der Schule mit Schülern und einzelnen Eltern und die sich daraus ergebenden Maßnahmen in der Öffentlichkeit eines Elternabends personenbezogen (insbesondere namensbezogen) genannt und beraten werden. Die Bekanntgabe von personenbezogenen Daten von Schülern und Eltern im Rahmen eines Elternabends stellt eine Übermittlung an Dritte dar. Die Schule als öffentliche Stelle darf diese Daten nur im Rahmen ihrer Aufgabenerfüllung übermitteln. Dabei unterliegt die Datenübermittlung dem Grundsatz der Zweckbindung und Erforderlichkeit. Es ist für die Aufgabenerfüllung der Schule nicht erforderlich, Dritte in die Schwierigkeiten der Schule mit anderen Eltern und/oder Schülern einzubeziehen. Die Bekanntmachung solcher Daten ist also weder datenschutzgerecht noch zielführend.

  • Ja. Im Rahmen des Bildungsauftrages dürfen Lehramtsanwärter - genau wie Lehrkräfte - auf die Daten der Schülerinnen und Schüler zugreifen, soweit dies zur Erfüllung der ihnen von der Schule übertragenen Aufgaben erforderlich ist.

  • Ja. Allerdings bedarf es hierfür einer Einwilligungserklärung durch den Schüler bzw. seiner Eltern.

    Die Bundesagentur für Arbeit (BA) hat dazu eine Muster-Einwilligungserklärung erarbeitet und diese mit dem TMBJS abgestimmt.

  • Ja. Sofern seitens der Mitglieder der Schülervertretung eine Einwilligung nach Art. 7 DS-GVO vorliegt, bestehen gegen diese Vorgehensweise keine Bedenken.

  • Nein. Es empfiehlt sich, diese Listen zentral (z. B. im Sekretariat) vorzuhalten, um eine Einsichtnahme durch unbefugte Dritte zu vermeiden.

  • Nein. Die Einsichtnahme in alte Klassenbücher führt dazu, dass nicht nur die Antragsteller Kenntnis von den eigenen personenbezogenen Daten (z. B. Noten, Beurteilungen und Anmerkungen) erhalten, sondern auch von denen der ehemaligen Mitschüler. Dies stellt eine Datenübermittlung an Dritte ohne rechtliche Grundlage i. S. v. Art. 6 DS-GVO dar. Da es nicht zur Aufgabenerfüllung der Schule gehört, Klassentreffen vorzubereiten, und die Klassenbücher auch nicht zum Zwecke der Ausgestaltung von Klassentreffen angelegt werden, ist es der Schule datenschutzrechtlich nicht erlaubt, die Klassenbücher Interessenten zur Verfügung zu stellen.

  •  per E-Mail an die Schule zurückgeschickt werden?

    Nein. Zeugnisse sind besonders schützenswerte personenbezogene Daten. An den Schutz sind besondere Anforderungen zu stellen.

    Zunächst ist klarzustellen, dass es keine Verpflichtung des Lehrers gibt, Zeugnisse zuhause auf privaten Endgeräten zu erstellen.

    Sollte ein Lehrer dennoch diese Tätigkeiten zu Hause auf privaten Endgeräten verrichten wollen, ist der nachfolgende Weg datenschutzrechtlich zulässig:

    Die Schule stellt einen verschlüsselten USB-Stick zur Verfügung, auf dem die Vordrucke enthalten sind und auf dem die erstellten Zeugnisse abgelegt werden müssen. Zudem müssen die nachfolgenden Punkte beachtet werden:

    1. Der USB-Stick mit den darauf abgelegten Daten muss verschlüsselt sein. Ausführliche Hinweise zur Umsetzung erhalten sie auf der Homepage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unter www.bsi.bund.de
    2. Bei der Arbeit am heimischen Rechner dürfen die Dateien nur auf dem USB-Stick gespeichert werden. Flüchtige oder begleitende Speicherungen im Arbeitsspeicher o.ä. des heimischen Computers sind zulässig.
    3. Wenn nicht an den Dateien gearbeitet wird, muss mit einer aktiven Verschlüsselung sichergestellt werden, dass kein Zugriff auf die Daten durch Dritte erfolgen kann.
    4. Der Transport der Dateien darf nur verschlüsselt erfolgen.

5. Aufbewahrung und Löschung

  • Ja. Folgendes Grundprinzip gibt eine Orientierung. Unbefugte Dritte dürfen keinen Zugang zu den Daten erhalten. Deshalb müssen diese durch geeignete Datensicherungsmaßnahmen geschützt werden. Digitale Daten sind u.a. durch ein starkes Passwort zu schützen. Papiergebundene Daten sind durch die für unbefugte Dritte unzugängliche Aufbewahrung zu schützen, etwa in geschlossenen Dienstzimmern oder abgeschlossenen Aktenschränken.

    Rechtsgrundlagen: § 136 Abs. 5 ThürSchulO

  • Nein. Die Aufbewahrungsfristen gelten für alle an der Schule gespeicherten Daten in elektronischer (PC, Laptop, Speichermedien) und in gedruckter Form, also unabhängig davon, ob die Daten digital oder analog gespeichert werden. Nicht automatisiert verarbeitete personenbezogene Daten sind ein Jahr, nachdem der Schüler die Schule verlassen hat, zu sperren. Sie dürfen ab diesem Zeitpunkt nur in sehr eng begrenzten Ausnahmefällen verarbeitet werden.

    Digitale Daten sind stets dann zu löschen, sobald diese für die Lehrkraft oder die Schule nicht mehr zur Erfüllung ihrer Aufgaben erforderlich sind. Ein Beispiel hierfür ist die Anmeldung zur Klassenfahrt. Diese Daten sind nach vorfallsfreier Klassenfahrt zu löschen. Dabei sind die besonderen Anforderungen an die Löschung digitaler Daten zu beachten.

    Rechtsgrundlagen: § 136 Abs. 6, 7 ThürSchulO, Richtlinie über die Aufbewahrung von Schriftgut in der Verwaltung des Freistaats Thüringen

  • Ja. Die nachfolgende Übersicht stellt eine Auswahl der Aufbewahrungszeiten in der Schule für die im Schulalltag häufigsten Dokumente dar:

    a) Schülerbezogene Daten

    Was?

    Wie lange?

    Schulabschlusszeugnisse/ Abschriften

    50 Jahre

    Schülerbögen allgemeinbildender Schulen

    20 Jahre

    Schülerbögen berufsbildender Schulen/ Abschriften

    40 Jahre

    Abiturarbeiten

    10 Jahre

    sonstige Abschlussarbeiten

    5 Jahre

    Klassenarbeiten

    2 Jahre

    Klassenbücher

    2 Jahre

    Niederschriften von Lehrerkonferenzen

    10 Jahre

    Im Rahmen des Kinderschutzes nach § 55a Abs. 2 ThürSchulG erhobene Daten

    3 Jahre
    (nach Abschuss des Vorgangs)

    Ordnungsmaßnahmen

    2 Jahre

    Unterlagen Klassenfahrten

    5 Jahre
    gem. Ziffer 4.3.1 der Aufbewahrungsrichtlinie Thüringen

    b) Mitarbeiterbezogene Daten

    Vertretungspläne

    5 Jahre
    gem. Ziffer 4.3.1 der Aufbewahrungsrichtlinie Thüringen

    Erholungsurlaub

    3 Jahre

    Unterlagen Klassenfahrten

    5 Jahre
    gem. Ziffer 4.3.1 der Aufbewahrungsrichtlinie Thüringen

    Rechtsgrundlagen:

    • § 136 Absatz 3 sowie 11 ThürSchulO
    • § 47 Abs. 3 ThürASObbS
    • § 38 Abs. 4 Satz 2 ThürSchulO
    • § 6 Abs. 3 LDO
    • § 87 Abs. 2 ThürBG
    • Richtlinie über die Aufbewahrung von Schriftgut in der Verwaltung des Freistaats Thüringen
  • Nein. Die in den Klassen- oder Notenbüchern enthaltenen personenbezogenen Daten sind schutzwürdig und dürfen Dritten nicht zugänglich gemacht werden.

  • Nein. Papiergebundene und elektronische Unterlagen sind nach Ablauf ihrer Aufbewahrungsfrist dem zuständigen Archiv anzubieten. Das zuständige kommunale oder staatliche Archiv wird in der Regel nur eine sehr begrenzte Stichprobe übernehmen (ca. 1 %). Das Archiv übernimmt mit diesen Unterlagen auch die Verpflichtung zur Einhaltung des Datenschutzes und darf personenbezogene Unterlagen erst 10 Jahre nach dem Tod bzw. bei nicht zu ermittelndem Todesjahr 100 Jahre nach der Geburt der betreffenden Person uneingeschränkt zur Einsicht freigeben. Für besonders schutzwürdige Unterlagen gelten dabei noch längere Sperrfristen. Die Kontaktdaten des für Ihre Schule zuständigen Archivs finden Sie unter dem nachfolgenden Link:

    www.archive-in-thueringen.de

    Rechtsgrundlage: § 11, 17 ThürArchivG

  • Nein. Sobald personenbezogene Daten enthalten sind, muss die Entsorgung besonderen Anforderungen genügen.

    Papiergebundene Unterlagen müssen fachgerecht entsorgt werden. D.h., es muss sichergestellt sein, dass zu keinem Zeitpunkt ein Dritter Kenntnis der personenbezogenen Daten erhalten kann. In der Praxis gibt es hierzu zwei mögliche Wege: Der Schulträger stellt einen Aktenvernichter bereit, der mindestens der Sicherheitsstufe 3 der DIN 66399 entspricht. D.h. der Aktenvernichter schneidet das Schriftgut bei Streifenschnitt mit max. 2 mm Streifenbreite und bei Partikelschnitt mit max. 4mm Breite auf max. 60mm Partikellänge. Der zweite mögliche Weg kann sein, dass der Schulträger eine gesicherte Papiertonne zur Verfügung stellt, in die Papier durch einen Schlitz eingeworfen, nach Einwurf aber nicht mehr entnommen werden kann. Diese Tonne wird von einem zertifizierten Unternehmen abgeholt und entsorgt.

    Sollte der Schulträger die Auswahl eines Unternehmens zur Aktenentsorgung der Schule selbst überlassen, sind folgende Punkte zu beachten:

    • Das Unternehmen muss ein nach Datenschutzgütesiegel zertifizierter Betrieb sein. Diese zertifizierten Betriebe stellen sicher, dass die Unterlagen vor ihrer Vernichtung (Verbrennung, Zerkleinerung u. ä.) nicht durch eigene Mitarbeiter oder andere unbefugte Dritte zur Kenntnis genommen werden können.
    • Bei der Entsorgung handelt es sich datenschutzrechtlich um Datenverarbeitung im Auftrag (Art. 28 DS-GVO). Dies verlangt eine sorgfältige Auswahl des Auftragnehmers (Datenschutzgütesiegel) sowie die schriftliche Festlegung der Art und Weise der Aktenvernichtung und deren Kontrolle.

    Weitere Informationen zum Thema „Auftragsverarbeitung“ sowie ein Muster für den Auftragsverarbeitungsvertrag erhalten Sie im Glossar.

  • Nein. Eine einfache Löschung reicht nicht aus. Auch eine Formatierung löscht die Daten nicht in jedem Fall, da hier oft nur die Dateisystemstruktur (Inhaltsverzeichnis des Datenträgers) neu angelegt wird, die Daten selbst aber zunächst unangetastet bleiben und mit geringem technischen Aufwand ausgelesen werden können. Personenbezogene Daten müssen mehrfach überschrieben werden. Geeignete Methoden und Programme erfahren Sie vom zuständigen Systemadministrator für ihre Schule. Empfehlungen für geeignete Programme bei der Nutzung privater Endgeräte erhalten sie auf der Website des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.bund.de).

6. Auskunftsrecht

  • Ja. Allerdings nur gegenüber berechtigten Personen und in einem geordneten Verfahren.

    Das heißt konkret für die Praxis:

    1. Das Auskunftsersuchen muss schriftlich gegenüber dem Schulleiter erfolgen. Sollte das Auskunftsersuchen nicht an den Schulleiter gestellt worden sein, muss der Adressat das Auskunftsersuchen an den Schulleiter abgeben. Eigenständige Auskunftserteilungen durch einzelne Lehrkräfte sind nicht zulässig, da die Gefahr droht, dass diese unvollständig sind.
    2. Mit Zustimmung des Schulleiters kann das Auskunftsersuchen auch mündlich erfolgen.
    3. Sofern begründete Zweifel an der Identität des Auskunftsersuchenden bestehen, ist ein entsprechender Nachweis zu erbringen, damit sichergestellt wird, dass nicht unbefugte Dritte Kenntnis schutzwürdiger Daten erhalten.
    4. Volljährige Schüler bzw. minderjährige Schüler mit Genehmigung ihrer Eltern können das Auskunftsrecht selbstständig gegenüber der Schule geltend machen.

    Rechtsgrundlage: Art. 15 DS-GVO

  • Ja. Die Auskunft hat gemäß Art. 15 DS-GVO

    1. die verarbeiteten Daten,
    2. die Informationen über ihre Herkunft,
    3. Empfänger oder Empfängerkreise von Übermittlungen,
    4. den Zweck der Datenverarbeitung,
    5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung,
    6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde sowie
    7. die Rechtsgrundlagen hierfür

    in allgemein verständlicher Form anzuführen. Ein Musterschreiben finden Sie hier:

    Positivauskunft

  • Ja. Wenn der Auskunftsersuchende einwilligt, kann die Auskunft aber auch mündlich erfolgen. Allerdings muss hier die Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

  • Ja. Allerdings reicht hier die Bekanntgabe dieses Umstandes (Negativauskunft). Ein Musterschreiben finden Sie hier:

    Negativauskunft

  • Nein. Der Antragsteller hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand bei der Schulleiterin / dem Schulleiter zu vermeiden. D. h. der Auskunftsersuchende muss ihnen auf Nachfrage mitteilen, wann er die Schule besucht hat.

  • Ja. Innerhalb von einem Monat nach Eingang des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Die Schulleiterin bzw. der Schulleiter unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.

  • Nein. Die Auskunft ist unentgeltlich, wenn der Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den Verantwortlichen zum selben Aufgabengebiet gestellt hat.

  • Ja. In der Kopie sind allerdings alle personenbezogenen Daten Dritter zu schwärzen bzw. zu löschen. Für die erste Kopie dürfen zudem keine Gebühren verlangt werden.

7. Cloud Computing

  • Nein. Für den Datenschutz ist weiterhin die Schule verantwortlich. Der Cloud-Anbieter wird im Auftrag der Schule tätig (Auftragsverarbeitung nach Art. 28 DS-GVO). Hieraus folgt, dass bei einer solchen Beauftragung die nachfolgenden Punkte zwingend beachtet werden müssen:

    1. der Auftrag muss schriftlich erfolgen,
    2. im Vertrag muss eine konkrete Benennung der eingesetzten Hardware, Software und Vernetzung erfolgen sowie
    3. eine präzise Darstellung der bereits durch den Anbieter getroffenen technischen und organisatorischen Datenschutzmaßnahmen.
    4. Der Vertrag darf keine Aussage darüber enthalten, dass die AGBs bzw. andere Vertragsbestandteile einseitig geändert werden können.
    5. Im Vertrag muss eine abschließende und vollständige Auflistung aller Stellen, Personen oder Firmen, an die Daten übermittelt werden erfolgen,
    6. Die Schule muss sich von den vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Wenn die Schule nicht die Mittel und Möglichkeiten hat, die ordnungsgemäße Verarbeitung ihrer Daten beim Cloud-Anbieter zu überprüfen, könnten aktuelle und aussagekräftige Nachweise, beispielsweise Zertifikate von anerkannten und unabhängigen Prüfungsorganisationen, herangezogen werden.
    7. Im Vertrag muss eine Verpflichtung des Dienstleisters zur Vertraulichkeit erfolgen,
    8. Im Vertrag muss eine Unterstützungspflicht des Dienstleisters bei der Umsetzung der Betroffenenrechte durch die Schule vereinbart sein und es
    9. muss die Lösch- oder Rückgabepflicht der Daten nach Anschluss der Verarbeitung vereinbart sein.
    10. Bei Unterauftragsverarbeitung muss eine Genehmigung des Auftraggebers eingeholt werden.
    11. Der Auftraggeber muss sich Betretungs- und Kontrollrechte vertraglich zusichern lassen.

    Weitere Informationen zum Thema „Auftragsverarbeitung“ erhalten sie im Glossar.

  • Nein. In diesem Fall dürfen keine personenbezogenen Daten in der Cloud gespeichert werden.

  • Ja. Es sollte aber ausschließlich mit Dienstleistern zusammengearbeitet werden, die Ihren Sitz im Geltungsbereich der DS-GVO haben. Dabei ist auch darauf zu achten, dass dies seitens des Auftragnehmers auch für alle Unterauftragnehmer zugesichert wird. Im Vertrag müssen die unter Frage 1 genannten Punkte schriftlich vereinbart werden. Zahlreiche Anbieter haben sich bereits auf die datenschutzrechtlichen Anforderungen an Schulen eingestellt und erfüllen diese vertraglich.

  • Unbedenklichkeit seiner Cloud. Kann auf dieser Grundlage eine Beauftragung erfolgen?

    Nein. Hierfür sind folgende Gründe maßgeblich: Einige Dienstleister hatten als rechtliche Grundlage für die Beauftragung die sogenannten Safe Harbor Principles genannt. Diese Safe Harbor Principles wurden von der Europäischen Kommission anerkannt, eine Datenverarbeitung war deshalb zulässig. Vom Europäischen Gerichtshof (EuGH) wurde jedoch die Safe Harbor Principles als nicht ausreichend bewertet und eine Datenverarbeitung auf dieser Grundlage (Urteil vom 6. Oktober 2015) als unzulässig bewertet. Es ist bis auf weiteres davon auszugehen, dass auch die EU Model Clauses, die andere Dienstleister anführen, ähnlich zu bewerten sind. Eine Beauftragung basierend auf dem anerkannten EU-US-Privacy-Shield ist bis auf weiteres ebenfalls nicht angeraten. Zwar ist dieser von der von der Europäischen Kommission anerkannt worden, es bleiben aber noch viele Fragen und Kritik offen.

  • Nein. Die Cloudkomponenten dieser Softwareprodukte dürfen nicht für personenbezogene Daten genutzt werden. Die Daten werden auf Servern verarbeitet, die in rechtlicher und technischer Hinsicht nicht den europäischen Datenschutz-Standards entsprechen. Ein Einsatz ist somit nur dann zulässig, wenn entweder über ein Treuhandmodell der Zugriff durch US-amerikanische Stellen ausgeschlossen ist oder wenn keine personenbezogenen Daten in der Cloud gespeichert werden. Solche Lösungen sind bislang noch nicht absehbar.

  • Marktführer (Microsoft one drive, Apple icloud, google drive, dropbox) ausgetauscht werden?

    Nein. Personenbezogene Daten dürfen nur durch öffentlich-rechtliche Cloudanbieter (schulinterne Cloudlösungen, kommunale Datenzentralen) und private Cloudanbieter mit Sitz innerhalb der EU ausgetauscht werden. Die Verwendung außereuropäischer Anbieter kommt bis auf weiteres nicht in Betracht, da diese die europäischen Datenschutzanforderungen nicht erfüllen.

    Der Freistaat Thüringen erarbeitet im Rahmen des Digitalpaktes eine datenschutzkonforme Cloud-Lösung für die Thüringer Schulen.

  • hier für den komfortablen Dateiaustausch und Datensicherung Cloud-Lösungen nichteuropäischer Anbieter nutzen?

    Nein. Es dürfen keine personenbezogenen Daten auf Servern verarbeitet werden, die in rechtlicher und technischer Hinsicht nicht den europäischen Datenschutz-Standards entsprechen. Bitte beachten sie, dass entsprechende Cloud-Funktionalitäten in ihrer Software bei der dienstlichen Nutzung deaktiviert sind.

8. Dokumentationspflichten

  • Ja. Vorlagen für ein Verarbeitungsverzeichnis für automatisierte, nicht automatisierte Verfahren sowie Ausfüllhinweise finden Sie hier:

    VAV automat., ► VAV nicht automat., ► Hinweise VAV

    Die Verantwortung, für das Führen des Verzeichnisses der Verarbeitungstätigkeiten liegt bei der Schulleitung.

    Weitere Informationen zum Thema „Verzeichnis der Verarbeitungstätigkeiten“ erhalten Sie im Glossar

9. Elektronische Klassen- und Kursbücher

  • Ja. Klassen- bzw. Kursbücher sind sowohl papiergebunden wie auch elektronisch als Verarbeitung personenbezogener Daten zu verstehen. Auch in Bezug auf elektronische Klassen- und Kursbücher besteht ein Recht auf Geheimhaltung, Auskunft, Richtigstellung und Löschung. Klassen- bzw. Kursbücher können folgende, zum Teil auch personenbezogene Daten erfassen:

    1. Namen, Geburtsdatum, Schulalter und Wohnanschrift der Schüler,
    2. Angaben zu Krankheiten und Behinderungen, soweit sie für die Schule von Bedeutung sind,
    3. Namen der Eltern,
    4. Noten,
    5. Vermerke über unentschuldigtes und entschuldigtes Fernbleiben,
    6. Angaben zur Teilnahme am fakultativen Unterricht und an Arbeitsgemeinschaften,
    7. Name und Anschrift der Mitglieder der Eltern- und Schülervertretungen sowie
    8. Angaben zur Herstellung des Kontakts in Notfällen.

    Zur Gewährleistung der Datensicherheit der Klassen- und Kursbücher ist es notwendig, dass diese zu sichern und vor dem Zugriff anderer Personen als dem an der Schule tätigen Lehr- und Verwaltungspersonal zu schützen sind.

    Für Schülerinnen und Schüler sowie für Sorgeberechtigte darf ein Personenbezug nur hinsichtlich der eigenen Person bzw. der Schülerin/des Schülers, auf die/den sich das Personensorgerecht bezieht, hergestellt werden.

    Hinsichtlich einer möglichen Cloud-Komponente wird auf den Abschnitt „Cloud Computing“ verwiesen.

    Rechtsgrundlage: § 136 Abs. 4 ThürSchulO

10. E-Mail

  • Ja. Die Nutzung von E-Mail durch Lehrkräfte für die dienstlich-schulische Kommunikation mit Schülerinnen, Schülern, Eltern und anderen Personen und Stellen ist längst Praxis im Schulalltag. Dabei nutzen die Lehrkräfte hierfür insbesondere im häuslichen Bereich E-Mail-Adressen, die sie in der Regel selbst bei Providern eingerichtet haben.

    Die E-Mail-Nutzung hat sich in den vergangenen Jahren eigenständig und dadurch unsystematisch entwickelt. Dies begründet Gefahren für den ordnungsgemäßen und datenschutzrechtlich unbedenklichen Umgang mit den personenbezogenen Daten der betroffenen Personen. Vor diesem Hintergrund hat sich der Freistaat Thüringen entschieden allen Lehrern dienstliche E-Mail-Adressen zur Verfügung zu stellen. Die Einführung erfolgt im Schuljahr 2019/2020. Für den Übergangszeitraum von drei Monaten nach der Einführung können die an den Schulen bestehenden Lösungen für die E-Mail-Kommunikation weiter genutzt werden, vorausgesetzt, dass diese den datenschutzrechtlichen Anforderungen genügen, d.h. insbesondere eine entsprechende Verschlüsselung vorliegt.

  • Ja. Allerdings müssen hierfür Voraussetzungen erfüllt sein. Sofern die E-Mail und die evtl. Anhänge (z. B. Textdokumente) nicht verschlüsselt werden, wird im Grunde eine Postkarte über das Internet verschickt. Die so verschickten Inhalte sind für jeden lesbar, der Zugriff auf die „Transportserver“ oder unverschlüsselte Leitungen hat. Deshalb ist bei der Nutzung von E-Mail für dienstliche Zwecke darauf zu achten, dass keine personenbezogenen Daten mittels E-Mail verschickt werden. Sollen personenbezogene Daten verschickt werden, so müssen diese verschlüsselt werden.

  •  von E-Mails an eine private E-Mail-Adresse erfolgen?

    Nein. Es muss sichergestellt werden, dass personenbezogene Daten nicht unverschlüsselt versandt werden. Eine automatische Weiterleitung kann dies in der Regel nicht leisten.

  • Ja. Allerdings hat die Nutzung der dienstlich bereitgestellten E-Mail-Adressen nach Ende des Übergangszeitraums (drei Monate nach Einführung) zwingend Vorrang und zudem sind organisatorische Maßnahmen erforderlich. Die Schulleiterin bzw. der Schulleiter muss mittels Dienstanweisung festlegen, dass eine Kommunikation der Lehrkräfte im dienstlichen Kontext nur über die von der Schule zur Verfügung gestellten E-Mail-Adressen erfolgen darf. Es ist festzulegen, dass diese E-Mail-Adressen nur für dienstliche Zwecke verwendet werden dürfen. Eine Weiterleitung der E-Mails auf die privaten E-Mail-Accounts der Lehrkräfte ist unzulässig. Dies muss deutlich zum Ausdruck gebracht werden. Ferner muss die Schulleitung festlegen, wie mit gespeicherten E-Mails, die Verwaltungsbezug haben können, zu verfahren ist.

    Hierbei muss Art. 32 DS-GVO beachtet werden, d.h. der Stand der Technik hat Berücksichtigung zu finden.

  • Es ist sicherzustellen, dass es sich um einen E-Mail-Provider handelt, der seinen Geschäftssitz und seinen Serverstandort in der EU hat. In diesem Fall kann soweit darauf vertraut werden, dass die verfassungsrechtlichen (insbes. Art. 10 GG), die telekommunikationsrechtlichen (TKG) und europäischen (E-Privacy-Richtlinie der EU, Richtlinie 2009/136/EG) Vorgaben durch den Provider eingehalten werden. Allerdings hat die Nutzung der dienstlich bereitgestellten E-Mail-Adressen nach Ende des Übergangszeitraums zwingend Vorrang. Im Übrigen sind die unter Frage 4 genannten organisatorischen Maßnahmen zu treffen.

  • Ja. Sobald sie eine E-Mail an mehrere Absender versenden, muss diese als Blindkopie versendet werden.

    Dazu ist auch in das Feld „An“ die Absenderadresse einzutragen und in das Feld „bcc“ die Adressen der Empfänger. In diesem Fall können die Empfänger zwar vermuten, dass mehrere Empfänger diese E-Mail erhalten, aber nicht sehen, um welche Empfänger es sich handelt.

    Diese Vorgehensweise ist erforderlich, weil häufig nicht bekannt ist, ob die Empfänger mit der Preisgabe ihrer E-Mail-Adresse an Dritte einverstanden sind. Kommuniziert die Lehrkraft z. B. per E-Mail-Verteiler mit Schülerinnen, Schülern und ggf. Eltern oder nutzt die Schulverwaltung E-Mail-Verteiler, ist diese Vorgehensweise immer einzuhalten.

    Im Rahmen der Kommunikation innerhalb einer Schule oder Behörde darf auch eine Nachricht z. B. an alle Lehrkräfte so gesendet werden, dass jede Lehrkraft erkennen kann, an welche anderen Lehrkräfte diese noch ging, sofern dienstliche E-Mail-Adressen verwendet werden und der Inhalt der Nachricht nicht persönliche Informationen über eine oder zu einer bestimmten Person enthält. Die Schulleitung sollte dies im Rahmen ihrer Weisungs- und Organisationsbefugnis (§ 33 ThürSchulG) einheitlich vorgeben.

11. Evaluation und wissenschaftliche Forschungsvorhaben

  • Ja. Sowohl die interne Evaluation - also die Evaluation durch die Schulen selbst - als auch die externe Evaluation - also die Evaluation durch die Schulaufsichtsbehörden - sind in § 40 b Thüringer Schulgesetz (ThürSchulG) geregelt. Die Verarbeitung personenbezogener Daten ist in § 57 Abs. 5 und 6 ThürSchulG normiert und darf sich nur in dem dort vorgegebenen gesetzlichen Rahmen bewegen.

  • Ja. Aus datenschutzrechtlicher Sicht dürfen (die Teile der) Schülerbefragungen, die über anonyme Leistungsvergleiche hinausgehen, erst nach vorheriger, den Anforderungen von Art. 4 Nr. 11 und Art. 7 Datenschutz-Grundverordnung entsprechender Einwilligung durchgeführt werden. Bei Minderjährigen muss die Einwilligung durch die Erziehungsberechtigten, bei Volljährigen durch diese selbst erteilt werden. Die rechtliche Grundlage bildet § 57 Abs. 5 und 6 ThürSchulG.

12. Fotoaufnahmen

  • Nein. Generell sollte auf die Veröffentlichung von Fotos und weiteren personenbezogenen Daten von Schülern auf der Schulhomepage verzichtet werden. Die Daten können jederzeit weltweit abgerufen, gespeichert, dupliziert und missbräuchlich verwendet werden.

    Wird von den Beteiligten aber eine Veröffentlichung erwünscht, muss eine schriftliche Einwilligung aller Beteiligten eingeholt werden. Vor der Einwilligung müssen alle Schüler über mögliche Risiken (weltweite Abrufbarkeit, Veränderung, missbräuchliche Verwendung) einer Veröffentlichung im Internet informiert werden. Bei minderjährigen Schülern ist die Einwilligung der Eltern erforderlich.

  • Ja. Es ist ein berechtigter Wunsch der Eltern, wichtige und gemeinsame Momente im Leben ihrer Kinder auf Fotos festzuhalten. Allerdings müssen sich Eltern bewusst sein, dass auf Fotoaufnahmen öffentlicher Schulveranstaltungen ggf. auch Dritte abgebildet werden und damit deren Rechte betroffen sind.

    Bei Dritten, d. h. anderen Kindern, muss eine Interessensabwägung nach Art. 6 Abs.1 Satz 1 Buchstabe f) DS-GVO erfolgen. Nur wenn die berechtigten Interessen der fotografierenden Person die Interessen des Fotografierten am Datenschutz seiner Person überwiegen und der Fotografierte kein schutzwürdiges Interesse hat, kann die Verarbeitung rechtmäßig sein. Allerdings ist davon auszugehen, dass die Interessen eines Kindes an der Nicht-Verarbeitung seiner Daten in der Regel überwiegen.

    Ausnahmsweise kann dies nicht der Fall sein, wenn Kinder an öffentlichen Veranstaltungen teilnehmen (z. B. Schulchor, Schuleinführung) bei denen nach üblichem Sozialstandards Fotos gemacht werden.

    Falls möglich, ist eine Einwilligung einzuholen.

    Eine Verbreitung, insbesondere über das Internet oder Messenger-Dienste ist nicht gestattet.

  • Nein. Kinder als Beiwerk haben grundsätzlich ein schutzwürdiges Interesse nicht abgebildet zu werden.

    Ansonsten siehe Frage 2.

    Im Übrigen ist die Schule nicht für die Durchsetzung des Datenschutzes in einem reinen Privatrechtsverhältnis zwischen ihren Gästen verantwortlich.

  • Ja, allerdings muss die Veranstaltung im Mittelpunkt stehen, d.h. es dürfen nur Bilder der Veranstaltung und keine Einzelaufnahmen von Personen getätigt werden (Grundgedanke von § 23 Kunsturhebergesetz). Abgebildete Personen dürfen nur Beiwerk sein und die Interessen der Personen nicht abgebildet zu werden, dürfen nicht überwiegen (Beispiel: Personen in einer unvorteilhaften Situation). Die Möglichkeit der Anwendung dieser Grundsätze des § 23 Kunsturhebergesetz wird durch die demnächst folgende Schuldatenschutzrechtsverordnung geschaffen werden. Bis dahin ist über Einwilligung vorzugehen Zudem muss die Schule den Informationspflichten nachkommen. Dies ist über einen zugänglichen Aushang während der Schulveranstaltung möglich. Ein entsprechendes Muster finden sie hier:

    Aushang

  • Nein. Die Einwilligung muss so konkret formuliert sein, dass der Einwilligende weiß, welche Folgen die Zustimmung hat. Daher ist eine generelle Einwilligung, wie etwa „Ich erkläre mich damit einverstanden, dass Bilder und/oder Videos von mir und meinem Kind gemacht und veröffentlicht werden“ nicht zulässig. Die Einwilligung muss für konkrete Anlässe „Schulfest, Tag der offenen Tür, Anfertigung Klassenfoto, etc.“ und konkrete Verwendungszwecke („Veröffentlichung des Fotos auf der Website der Schule“) gegeben werden. Die Einwilligung kann für bekannte und/oder wiederkehrende Veranstaltungen vorab für maximal ein Schuljahr gegeben werden. Hierzu kann ein Formular genutzt werden. Allerdings muss jede Veranstaltung einzeln aufgeführt sein und die Möglichkeit gegeben sein, die Zustimmung für einzelnen oder alle Veranstaltungen nicht zu geben.

  •  zur Dokumentation von Fehlverhalten zulässig?

    Nein. Hierfür ist stets eine Einwilligung der Betroffenen erforderlich. Video-, Foto- oder Tonaufnahmen zum Zwecke der Leistungsbeurteilung oder Leistungsmessung sowie der Notenbildung sind generell unzulässig, zudem kann eine Benotung nicht von einer Einwilligung abhängig sein.

    Mit Einwilligung der Schüler ist es möglich, bei besonderem pädagogischem Interesse eine Videoaufnahme anzufertigen. Zu denken ist hier an den Sportunterricht zur Verbesserung von Bewegungsabläufen, die Schulung von Präsentationstechniken oder der Rhetorik. Allerdings ist hier geboten, die Auswertung unmittelbar in Anschluss vorzunehmen und die Aufnahme unmittelbar in Anschluss wieder zu löschen.

    Zur Dokumentation von Fehlverhalten sind Video-, Foto- oder Tonaufnahmen zu keinem Zeitpunkt erforderlich, da stets pädagogische Mittel vorhanden sind, die nicht so weit in die Persönlichkeitsrechte der Schüler eingreifen. Video- und Fotoaufnahmen zu diesem Zweck sind damit generell unzulässig.

13. Internetseite/Intranet

  • Ja. Seit 25.05.2018 gelten die Vorschriften der DS-GVO, die umfassende Informationspflichten der verantwortlichen Stellen gegenüber den betroffenen Personen vorschreiben.

    Sofern Schulen eigene Webseiten betreiben, sind sie verpflichtet, entsprechende Datenschutzerklärungen zu veröffentlichen.

    Die Datenschutzerklärungen müssen auf die jeweiligen Verhältnisse der Webseite abgestellt werden. Beim Überarbeiten der Webseite und Bereitstellen einer aktuellen Datenschutzerklärung sollten alle mit dem Betrieb zusammenhängenden datenschutzrechtlichen Fragen geklärt sein.

    Die Muster für die Datenschutzerklärung, das Impressum und die rechtlichen Hinweise einer Schulinternetseite finden Sie hier:

    Internetseite

    Um eine auf die Verhältnisse der Webseite angepasste Datenschutzerklärung zu erstellen, nehmen Sie zunächst eine Analyse anhand der folgenden Fragen vor:

    1. Werden mit Hilfe der Webseite personenbezogene Daten von betroffenen Personen (Schülerinnen, Schüler, Eltern usw.) erhoben?
      Werden z. B. Online-Formulare (Kontaktformulare, Krankmeldeformulare usw.) bereitgestellt?
      Ist dies der Fall, ergibt sich eine Informationspflicht nach Artikel 13 DS-GVO.
    2. Passen Sie die weiteren Informationen zur Datenverarbeitung an die tatsächlichen Verhältnisse der Webseite an.
    3. Informieren Sie über die Verarbeitung solcher personenbezogener Daten, die technisch bedingt anfallen(z. B. die ID-Nummer).
  • Nein. Da personenbezogene Daten im Internet weltweit abgerufen, gespeichert, und verändert werden können und dabei keinerlei Zweckbindung oder Kontrolle unterliegen, dürfen personenbezogene Schülerdaten grundsätzlich nicht ohne schriftliche Einwilligung von Eltern und heranwachsenden bzw. volljährigen Schülern auf den Internetpräsenzen von Schulen veröffentlicht werden. Die Schule als öffentliche Stelle sollte, unabhängig von der Einwilligungsmöglichkeit, nach strengen Maßstäben prüfen, ob überhaupt und in welchem Umfang personenbezogene Schülerdaten über ihre Schulhomepages in das Internet gelangen. Da die Veröffentlichung personenbezogener Schülerdaten für die Aufgabenerfüllung der Schule insgesamt nicht erforderlich ist, müssen im Übrigen die Einwilligungen jederzeit widerrufbar sein.

    Einen besonderen Fall kann die Veröffentlichung von Fotos von Schulveranstaltungen darstellen. Hierzu wird auf die Antwort zu Frage 4 im Kapitel XIII verwiesen.

    Die Betroffenen müssen über die Risiken (z. B. weltweite Abrufbarkeit, Veränderbarkeit und Nutzung in anderen Zusammenhängen), die mit der Veröffentlichung personenbezogener Daten im Internet verbunden sind, ausreichend informiert werden. Die Einwilligungserklärung muss schriftlich erfolgen. Der Einwilligungstext - insbesondere mit dem Hinweis auf die Widerrufsmöglichkeit - muss den Unterzeichnern dauerhaft zur Verfügung gestellt werden. Es ist darauf zu achten, dass keine weiteren Informationen über das Kind, insbesondere keine Wohnadressen, private E-Mail-Adressen usw. veröffentlicht werden.

    Schulen nutzen zur Gestaltung ihrer Internetseiten auch Fotos, die z. B. Klassenaktivitäten und Schulsportveranstaltungen darstellen. Solange darauf keine einzelnen bestimmbaren Personen erkennbar sind, ergeben sich daraus keine datenschutzrechtlichen Fragestellungen. Bei der Darstellung von Einzelpersonen jedoch muss neben den einschlägigen Bestimmungen der DS-GVO auch das Kunsturheberrechtsgesetz beachtet werden, wonach Bildnisse nur mit Einwilligung der Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden dürfen, § 22 Abs. 1 Kunsturheberrechtsgesetz. Nach § 33 des Kunstrechtsurhebergesetzes ist eine Zuwiderhandlung strafbar. Das Gesetz nennt in § 23 Abs. 1 aber auch Ausnahmen. So dürfen nach dem Gesetz Bildnisse verbreitet und zur Schau gestellt werden, wenn die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeiten erscheinen oder Versammlungen, Aufzüge und ähnliche Vorgänge (z. B. das Schulfest) abgebildet werden, an denen die dargestellten Personen teilgenommen haben. Die Schule muss also zunächst entscheiden, ob die Veröffentlichung des Fotos durch die gesetzliche Ausnahmeregelung gedeckt ist. Sie hat aber in jedem Fall zu prüfen, ob schutzwürdige Interessen der betroffenen Schüler berührt oder verletzt werden könnten, denn Daten von Kindern unterliegen nach der DS-GVO einem besonderen Schutz. Die Möglichkeit der Anwendung der Grundsätze des § 23 Kunsturhebergesetz wird durch die demnächst folgende Schuldatenschutzrechtsverordnung geschaffen werden. Bis dahin ist über Einwilligung vorzugehen.

    Eine Veröffentlichung der dienstlichen Erreichbarkeitsdaten (aber keine Fotos) der Schulleiterin bzw. des Schulleiters und deren Stellvertreterin bzw. deren Stellvertreter ist als dienstlich erforderlich und somit auch ohne deren Einwilligung als zulässig anzusehen. Dies gilt aber nicht für das übrige Personal der Schule (Lehrerkollegium, Hausmeister und Schulsekretärin).

    Vorlagen für Einwilligungserklärungen sowie die Anlage finden Sie hier:

    EW volljähr. Schüler
    EW minderjähr. Schüler
    EW Lehrkräfte
    ► EW Elternvertretung
    EW Schulelternvertretung
    Anlage EW Schüler

     

  • von der Schulleitung in das Schulintranet eingestellt werden?

    Nein. Zu den Aufgaben des Schulleiters gehört u. a. die Anordnung von Vertretungen. Deshalb muss er die persönlichen Daten der Lehrkräfte kennen. Nach dem Grundsatz der Zweckbindung und Datensparsamkeit ist es jedoch nicht gestattet und auch nicht erforderlich, dass z. B. für Vertretungsfälle alle Lehrkräfte im Intranet die privaten Anschriften und Telefonnummern der Kolleginnen und Kollegen einsehen können. Die von der Schulleitung erhobenen Privatdaten der Lehrkräfte dürfen nur dann in das Schulintranet eingestellt werden, wenn sie in diese Verarbeitungsform schriftlich eingewilligt haben. Dies gilt ausdrücklich auch, wenn der Bereich passwortgeschützt ist.

  • Ja. Es müssen aber die folgenden Voraussetzungen erfüllt sein: Vertretungspläne dienen der Organisation des Schulbetriebes. Sie informieren die Schülerinnen und Schüler über Veränderungen in den Stundenplänen. Vertretungspläne werden üblicher Weise in den Räumlichkeiten der Schulen ausgehängt und sind damit im Grundsatz nur den Adressaten (Schülerinnen, Schülern, ggf. Eltern und den Lehrkräften) zugänglich. Diese Veröffentlichung von Vertretungsplänen ist zur Organisation des Schulablaufes erforderlich. In diesem Fall ist es datenschutzrechtlich grundsätzlich zulässig, dass die Vertretungspläne Namen von Lehrkräften oder deren entsprechende Kürzel enthalten. In jedem Fall ist die Nennung des Grundes der Vertretung zu vermeiden.

    Die Veröffentlichung von Vertretungsplänen auf der schuleigenen Homepage mit Nennung der Namen der Lehrkräfte ist hingegen aus schulorganisatorischen Gründen in der Regel schon nicht erforderlich. Zum einen ist die Notwendigkeit einer Vertretung meist bereits am Vortag bekannt und kann den Schülerinnen und Schülern noch während der Unterrichtszeit im Rahmen der Aushänge bekannt gemacht werden.

    Zum anderen fehlt es auch deswegen an der Erforderlichkeit, personenbezogene Daten der Lehrkräfte mit den Vertretungsplänen zu veröffentlichen, weil die Schülerinnen und Schüler anhand der Vertretungspläne nur Informationen erhalten müssen, ob sich Fächer verschieben oder sich der Stundenplan verändert hat.

    Darüber hinaus ist zu bedenken, dass durch die Veröffentlichung von Vertretungsplänen auf der Schulhomepage nicht nur der eingeschränkte Adressatenkreis der Schulöffentlichkeit Zugang zu diesen Informationen hat, sondern jeder Nutzer des Internet weltweit. Wegen der fehlenden Erforderlichkeit und des unbestimmten Adressatenkreises ist eine Veröffentlichung von Namen oder Namenskürzeln der Lehrkräfte daher unzulässig. Ein öffentlich einsehbarer Vertretungsplan ohne Login-Schranke darf auf der Homepage nur ohne Namen und/ oder Namenskürzel veröffentlicht werden.

    Ein Vertretungsplan ohne personenbezogene Daten enthält z. B. nur Angaben über den Unterrichtsausfall oder Stundentausch (z. B. Klasse 7c: 4. Stunde Mathematik statt Kunst, Klasse 9a: 6. Stunde Ausfall).

14. Messenger Dienste

  • Nein. Das tatsächliche Nutzungsverhalten bringt datenschutzrechtliche Verstöße mit sich.

  • Nein. Das Ministerium darf aus wettbewerbsrechtlichen Gründen keine Empfehlungen aussprechen.

    Sie erhalten bei Bedarf  entsprechende Überblicke zu datenschutzkonformen Messengern bei den Verbraucherschutzzentralen.

15. Online-Lernplattformen

  • Ja. Allerdings sind hier zwei Konstellationen zu unterscheiden. Der Freistaat Thüringen arbeitet aktuell mit den anderen Ländern an der Einführung einer Landeslösung. Hier werden Fragen des Datenschutzes bereits bei der Konzeption und technischen Umsetzung abschließend geklärt.

    Bei der Nutzung von Lösungen anderer Anbieter müssen die nachfolgenden Punkte beachtet werden:

    Wenn die Schule Online-Dienste als unterrichtsbegleitendes Element nutzt, ergeben sich Sorgfaltspflichten, wenn in diesem Zusammenhang personenbezogene Daten der Schülerinnen und Schüler genutzt werden sollen oder genutzt werden müssen. Ferner sind datenschutzrechtliche Vorschriften zu beachten.

    Seitens der Schulleitung und der Lehrkräfte sind folgende Punkte zu beachten:

    Jeder Webseitenbetreiber unterliegt einer Impressumspflicht. Aus dem Impressum lassen sich die Identität der Stelle und ihre Adresse entnehmen.

    Es muss seitens der Schule sichergestellt sein, dass die Daten beim Auftragnehmer ausschließlich für den schulisch gewünschten Zweck verarbeitet und keinen unbefugten Dritten zur Kenntnis gegeben werden sowie die Löschung unmittelbar nach Beendigung der Inanspruchnahme der Dienstleistung erfolgt.

    Die Schule sollte sich diese Eigenschaften schriftlich vom Diensteanbieter bestätigen lassen. Entsprechende Erklärungen auf der Webseite des Diensteanbieters sind nicht ausreichend.

    1. Es ist zu prüfen, ob der Anbieter des Dienstes eine öffentliche oder eine nicht-öffentliche (private) Stelle ist und seinen Sitz in Deutschland hat. Öffentliche Stellen sind aufgrund ihrer Rechtsstellung verpflichtet, die einschlägigen Rechtsvorschriften zum Datenschutz und der Datensicherheit für öffentliche Stellen zu beachten; private Stellen müssen das Bundesdatenschutzgesetz beachten.
    2. Es ist zu prüfen, ob für die Nutzung des Dienstes zwingend personenbezogene Daten der Schülerinnen und Schüler (Vorname, Name) einzugeben sind. Vorrangig sollte mit Pseudonymen gearbeitet werden.
    3. Ist die Preisgabe personenbezogener Daten notwendig oder von der Schule gewollt, muss vor der Nutzung des Dienstes die Schule prüfen, in welcher Weise der Diensteanbieter die Daten verarbeitet. Datenschutzrechtlich ist die Inanspruchnahme eines solchen Dienstes durch die Schule als Auftragsverarbeitung (Art. 28 DS-GVO) anzusehen. Damit bleibt die Schule für die Datenverarbeitung verantwortlich.

    Seitens der Schulleiterin oder des Schulleiters ist in jedem Fall zu prüfen, ob es sich bei der Nutzung des Online-Dienstes um Datenverarbeitung im Auftrag (Art. 28 DS-GVO) handelt. Ausschlaggebend ist hierbei, ob durch den Diensteanbieter personenbezogene Daten der Nutzer (Lehrer, Schüler) verarbeitet werden.

    Es wird geraten, allen Lehrkräften deutlich zu machen, dass sie vor der Nutzung eines unterrichtsbegleitenden Online-Dienstes, die Schulleiterin oder den Schulleiter informieren müssen, damit sie oder er die Einhaltung der rechtlichen Vorgaben prüfen kann. Die Konferenz der Datenschutzbeauftragten hat eine Orientierungshilfe für Online-Lernplattformen herausgegeben. Diese finden Sie hier:

    Orientierungshilfe

    Rechtsgrundlage: §§ 43, 44 ThürSchulG

Glossar – wichtige Begriffe im Datenschutz

  • Auftragsverarbeitung

    Oftmals erfolgt die Durchführung der Datenverarbeitung an Schulen nicht durch die Schule selbst. Man spricht dann von einer Auftragsverarbeitung (AV). Auftragsverarbeitung im Sinne der DS-GVO ist jede Verarbeitung (Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfen, Einschränken, Löschen oder Vernichten) personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen. 

    Die Dienstleistung wird hierbei durch einen Dritten, den Auftragsverarbeiter, erbracht. Dies kann z. B. die Nutzung der Dienste eines Rechenzentrums sein (beim Schulträger, in einem anderen Rechenzentrum oder auch bei Cloud-Diensteanbietern). Auch die Nutzung vieler webbasierter Technologien (Zugriff erfolgt über Web-Browser) stellt eine Auftragsverarbeitung dar.

    Einige Beispiele für AV:

    • Nutzung von Software, welche webbasiert (über Internet oder Intranet) zur Verfügung gestellt wird (z. B. Lernstandserhebung und Förderprogramme, wenn personenbezogene Schüler- oder Lehrerdaten verarbeitet werden).
    • Ablagen von personenbezogenen Daten auf extern gehosteten Servern.
    • Entsorgung von Akten oder Datenträgern durch externe Unternehmen.

    Wichtig ist: bei einer Auftragsverarbeitung bleibt die datenschutzrechtliche Verantwortung bei der Schule. Um den Anforderungen des Datenschutzes zu genügen muss zwischen Auftraggeber - also der Schule - und dem Auftragsverarbeiter - dem Dienstleister - zwingend eine schriftliche Beauftragung abgeschlossen werden (hierzu Art. 28 Abs. 2 DS-GVO, eine Vorlage finden sie hier:

    Vertrag zur AV

    Verzeichnis der Verarbeitungstätigkeiten

    Jede Schule führt ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dies gilt auch für den Fall, dass die Schule eine Datenverarbeitung durch eine andere Person, Behörde, Einrichtung oder Stelle durchführen lässt (Auftragsverarbeitung).

    Die Verantwortung für das Führen des Verzeichnisses der Verarbeitungstätigkeiten liegt bei der Schulleitung. Im Vergleich zum Thüringer Datenschutzgesetz in seiner alten Fassung geht es nicht nur um automatisierte Verfahren, sondern um jede Verarbeitung, die ganz oder teilweise automatisiert erfolgt oder die personenbezogene Daten in Dateisystemen speichert. Unter Dateisystem sind dabei auch papiergebundene Akten zu verstehen, sofern diese nach bestimmten Kriterien geordnet sind.

    Das Verzeichnis enthält sämtliche der folgenden Angaben:

    • Namen und die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
    • Zweck der Verarbeitung,
    • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
    • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
    • ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation,
    • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
    • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO, diese Maßnahmen schließen u. a. Folgendes ein:
      • Pseudonymisierung und Verschlüsselung personenbezogener Daten,
      • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
      • Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
      • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

    Die notwendigen Angaben für das Verzeichnis müssten bei den für die einzelnen Verfahren zuständigen Personen erhoben werden, beispielsweise technische Informationen vom EDV-Administrator bzw. vom Netzwerkbetreuer. Im Regelfall ist an den Schulen zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten eine Zusammenarbeit zwischen den Verfahrensverantwortlichen und der Beratung durch den Datenschutzbeauftragten erforderlich.

    Cloud Computing

    Bei Cloud-Computing werden IT-Infrastrukturen wie z. B. Rechenleistung, Datenspeicher, Netzwerkkapazitäten oder auch komplette Anwendungssoftware, sowie die Verarbeitung von Daten der Kunden mittels dieser Software - von einem Dienstleister dynamisch an den Bedarf angepasst - über ein Netz zur Verfügung gestellt. Dadurch ergeben sich mehr Flexibilität und meist niedrigere Kosten. Für den Nutzer erscheint die zur Verfügung gestellte Infrastruktur fern und undurchsichtig, wie von einer „Wolke" (engl. Cloud) verborgen.

    Beispiele für Cloud-Computing sind Dropbox, Microsoft Cloud Services (z. B. Office365, Azure), Google Drive, Apple iCloud sowie weitere Web 2.0 Anwendungen.

    Personenbezogene Daten

    Personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Zu diesen Daten gehören z. B. Name, Anschrift, Geburtsdatum, Telefonnummer, Fotos, E-Mail-Adresse, Kontonummer, Noten usw.

    Verarbeitung

    Der Begriff „Verarbeitung“ ist in Art. 4 Nr. 2 DS-GVO definiert. „Verarbeitung“ meint danach „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

    Von der Verarbeitung sind daher sowohl EDV-gestützte als auch papiergebundene Verarbeitungstätigkeiten umfasst.

    Prinzip der Erforderlichkeit

    Eine Verarbeitung personenbezogener Daten ist nur erforderlich, wenn die jeweilige Aufgabe im Rahmen eines Erlaubnistatbestandes nach Art. 6 Abs. 1 lit. b bis f DS-GVO ohne das konkrete personenbezogene Datum nicht oder nicht vollständig erfüllt werden kann. Die Eignung der Daten für die Verarbeitung ist die Voraussetzung für eine Erforderlichkeit.

    D. h., Daten, die zur Erreichung des Verarbeitungszieles nicht geeignet sind, sind nicht erforderlich. Das Prinzip der Erforderlichkeit gilt für alle Phasen der Verarbeitung, also nicht nur für die Erhebung, sondern auch für den gesamten anschließenden Verarbeitungsprozess.

    Einwilligung

    Die Anforderungen an eine rechtswirksame Einwilligungserklärung regelt Art. 7 DS-GVO in Verbindung mit Art. 4 Nr. 11 DS-GVO - „Einwilligung“ der betroffenen Person:  Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

    Beruht die Verarbeitung auf einer Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Die Einwilligung ist also schriftlich oder elektronisch einzuholen, eine bloße mündliche Einwilligung reicht nicht aus.

    Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Die Einwilligung sollte von evtl. anderen Sachverhalten z. B. durch eine andere Schriftart klar unterscheidbar sei. Zudem muss die Einwilligung in jede Verarbeitungsart einzeln erfolgen können. Das bedeutet, dass die betroffene Person die Möglichkeit haben muss, einzeln bspw. in die Veröffentlichung seines Bildes auf der Homepage und davon unabhängig in die Veröffentlichung  seines Namens in der örtlichen Tageszeitung durch Ankreuzen des jeweiligen Sachverhaltes einzuwilligen.

    Die betroffene Person ist darüber zu informieren, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung allerdings nicht berührt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

    Verantwortlicher und Datenschutzbeauftragter

    Alle am Schulleben Beteiligten müssen die Vorgaben des Datenschutzes beachten. Alleine die Schulleitung (also Schulleiterin bzw. Schulleiter) ist für den Datenschutz an der Schule verantwortlich. Zur Unterstützung wurden in den Staatlichen Schulämtern Datenschutzbeauftragte für die Schulen im jeweiligen Schulamtsbereich benannt (Art. 37 Abs.1 lit. a DS-GVO i. V. m. § 13 Abs. 3 ThürDSG).

    Dieses Glossar stellt keine abschließende Aufzählung der datenschutzrechtlichen Begriffe dar. Weitere Begriffsdefinitionen enthält Art. 4 DS-GVO.

Diese Seite teilen:

Unsere sozialen Netzwerke: