Datenschutz und Schule

Veröffentlicht am von sapadmin

Datenschutz und Schule

Die DSGVO gilt seit Mai 2018 auch für Schulen und somit auch für die Schulleitung, die Lehrer und Schüler.

Die Schule selbst ist Verantwortlicher i.S.v. Art. 4 Ziff. 7 DSGVO und als solche in datenschutzrechtlicher Hinsicht rechenschaftspflichtig. Das heißt: Die einzelne Schule muss nachweisen, dass sie die datenschutzrechtlichen Grundsätze gemäß Art. 5 Abs. 1 DSGVO einhält. Die Verarbeitung personenbezogener Daten muss rechtmäßig sein und nach Treu und Glauben erfolgen, sie muss transparent sein und die Zwecke der Verarbeitung müssen eindeutig festgelegt sein. Die Verarbeitung muss auf das erforderliche Maß beschränkt sein. Es bedarf daher der Zustimmung der Schule, dass personenbezogene Daten der Schüler und ihrer Eltern durch die Lehrer u.U. auf privaten PC verarbeitet werden!!!

Die Schule müsste daher geeignete technische und organisatorische Datenschutzmaßnahmen treffen, um die Sicherheit der von ihr verarbeiteten personenbezogen Daten zu gewährleisten. Dazu zählen beispielsweise Zugriffskontrolle, das regelmäßige Erstellen von Back-ups sowie Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.

Die betroffenen Personen haben ein Informationsrecht, welche Daten gespeichert und verarbeitet werden. Sie können dies für sich ablehnen und die Löschung beanspruchen. Vorab sind sie über Art und Umfang der Datenverarbeitung zu belehren. Es bedarf daher auch der der Zustimmung der Schüler und ihrer Eltern, dass deren personenbezogene Daten durch die Lehrer u.U. auf privaten PC verarbeitet werden!!!

Der private Rechner des Lehrers muss den Anforderungen nach der DSGVO gerecht werden. Es muss gewährleistet sein, dass die personenbezogenen Daten verschlüsselt und vor dem Zugriff Unbefugter gesichert sind.

Ansprechpartner sollte der von der Schule bestellte Datenschutzbeauftragte sein.

Daher gilt:

Mails, Zeugnisse, Noten etc. dürfen auf dem privaten Lehrer-PC nur dann erstellt werden, wenn die Zustimmung der Schule, der Schüler und ihrer Eltern hierfür erteilt worden ist und die Daten abgesichert sind.

In der Praxis empfiehlt sich ein USB-Stick, der ausschließlich zur Datenverarbeitung genutzt wird. Der USB-Stick ist wie ein eigener Rechner aufgebaut zB. mit dem Programm „Windos to go“. Auf diesem können die Daten, wie Mailadressen, Mails, Anschriften und Telefonnummern, Zeugnisse, Noten etc gespeichert und verarbeitet werden.

Bei der Verarbeitung wäre zu beachten, dass zB- Rundmails grundsätzlich nicht gestattet sind, wenn diese unverschlüsselt auch die Daten anderer Personen erkennbar enthalten. Daher wären die Mails zu verschlüsseln und die weiteren Adressaten zumindest auf BCC zu setzen. Die Abkürzung „BCC“ steht für „blind carbon copy“ (deutsch: Blindkopie). Der Empfänger einer Mail in BCC, sieht zwar wie bei CC ebenfalls eine Kopie der Nachricht – mit dem Unterschied, dass er nicht sehen kann, an wen die Mail noch verschickt wurde.

Schließlich sollte sowohl die Schule als auch jeder Schüler und dessen Eltern die Datenverarbeitung auf dem privaten Lehrer PC durch eine schriftliche Datenschutzerklärung gestatten.

Jena, den 8. August 2018

 

 

Roy Fischer

Rechtsanwalt