Lesezeit: 5 Min
Wie der digitale Schulunterricht DS-GVO-konform umgesetzt werden kann
Homeschooling – der Unterricht von zu Hause ist in Deutschland bis zur Corona-Pandemie eher selten gewesen. Der Großteil der Schüler und Lehrer haben den Präsenzunterricht besucht. Jetzt, da Kontaktbeschränkungen gelten und Schulen immer wieder teilweise oder auch ganz geschlossen bleiben, greifen immer mehr Schulen auch in Köln, Düsseldorf, Bonn, Siegen und ganz NRW auf den digitalen Unterricht zurück.
Egal ob Lehrer von zu Hause aus unterrichten oder Kinder die Daten über Onlineplattformen erhalten: IT-Sicherheit und Datenschutz spielen eine wesentliche Rolle bei der Nutzung aller Angebote. In unserem aktuellen Blog möchten wir Schulen und Lehrern wichtige Grundsätze für die Einhaltung des Datenschutzes nach Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) erklären.
Unterrichten aus den eigenen vier Wänden – Homeschooling unter der Lupe des Datenschutzes
Im Homeschooling und auch im Wechselunterricht kommt der Lehrer in regelmäßigen Abständen zum Schüler „nach Hause“. Die digitale Kommunikation gleich welcher Art, stellt die Einhaltung des Datenschutzes vor neue Herausforderungen. Dazu gehört auch die Bearbeitung der Schülerdaten in den eigenen „vier Wänden“ des Lehrers.
Viele Lehrer nehmen die Arbeit für den Unterricht natürlich auch ohne Corona schon mit in Ihr zu Hause, um z.B. Arbeiten und Test zu korrigieren, Noten festzulegen oder den Unterricht vorzubereiten. Trotzdem wollen wir hier auch noch einmal die Grundlagen des Datenschutzes aufgreifen, welche bei der Verarbeitung von personenbezogenen Daten auftreten.
An erster Linie steht hierbei der Schutz von personenbezogenen Daten. Wann man von personenbezogenen Daten spricht, können Sie in einen unserer Blogartikel nachlesen. Ähnlich wie im Homeoffice eines Angestellten, verhält sich der Schutz von personenbezogenen Daten auch bei der Arbeit von Lehrern von zu Hause, ist jedoch in vielen Fällen durch die Vorgaben der Schule und den entsprechenden Ministerien noch strenger geregelt.
Schutz personenbezogener Daten – auch Familienmitglieder sind Unbefugte
Es gilt bei der Verarbeitung von personenbezogenen Daten zu verhindern, dass unbefugte Dritte die Daten des sogenannten Betroffenen einsehen können, welche Rückschlüsse auf dessen Identität zulassen. Unterlagen, die zu Hause bearbeitet werden und welche personenbezogene Daten beinhalten, müssen also entsprechend geschützt werden.
Dazu gehört die Aufbewahrung in abschließbaren Schränken oder Räumen. Lassen Sie diese Unterlagen auch nicht durch Unbefugte einsehen, wenn Sie diese z.B. bearbeiten. Nutzen Sie keine privaten E-Mail-Adressen und schützen Sie die E-Mail-Zugänge entsprechend. Außerdem sollte sichergestellt werden, dass der Versand der E-Mails ausreichend verschlüsselt stattfindet.
Bedenken Sie, dass diese Regeln auch für Familienmitglieder gelten. Kinder, Partner, Eltern, Mitbewohner etc. gelten im Datenschutz als unbefugte Dritte, die keinen Zugriff auf die personenbezogenen Daten der Betroffenen erhalten dürfen. Auch wenn dieser nur theoretisch möglich ist und Sie sich sicher sind, dass die Personen im Umfeld kein Interesse an den Daten haben: Es muss ein entsprechender Schutz gewährleistet sein und eingehalten werden.
Digitale Dokumente schützen – Schule, Digitalisierung und DS-GVO
Dateien und die Zugänge zu Programmen sollten, genauso wie der E-Mail-Zugang mit einem starken Passwort geschützt werden. Es macht Sinn, dass eine Schule bestimmte Kennwortrichtlinien an Lehrer und Mitarbeiter herausgibt. So kann eine sichere Verarbeitung gewährleistet werden und die Umsetzung des Datenschutzes auch dokumentiert werden.
Gerade bei der Nutzung von digitalen Medien ist eine ausreichende IT-Sicherheit zu beachten. Neben Kennwörtern spielt hierbei beispielsweise auch eine entsprechende Firewall eine tragende Rolle. Lassen Sie zur Einhaltung des Datenschutzes auch die IT-Sicherheit prüfen und verbessern.
Nach Möglichkeit sollte auch kein privater Rechner für die Arbeit mit personenbezogenen Daten genutzt werden. Eine Trennung von privaten Dateien und Zugängen und schulischen Daten, sowie eine notwendige Genehmigung des Schulleiters sollte aber mindestens selbstverständlich sein.
Besondere Kategorien personenbezogener Daten – Befreiung von der Maskenpflicht und Entschuldigungen
Als Vorschrift für die Verarbeitung besagt das Schulgesetz Nordrhein-Westfalen (SchulG):
„Schulen […] dürfen personenbezogene Daten der Schülerinnen und Schüler […] sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist.“ (§ 120 Abs. 1 Satz 1 SchulG)
Diese besagt also im Grundsatz, dass die personenbezogenen Daten von Schülern und Eltern in einer notwendigen Weise verarbeitet werden dürfen bzw. müssen. Je nachdem welche Daten verarbeitet werden, greifen darüber hinaus jedoch auch noch andere gesetzliche Grundlagen. Nehmen wir das Beispiel der Maskenbefreiung im Unterricht – hier kann z.B. die Coronabetreuungsverordnung (CoronaBetrVO) als Grundlage greifen usw.
Gerade, wenn es um Gesundheitsdaten geht, sollte eine genaue Prüfung des Sachverhaltes durchgeführt werden. Gesundheitsdaten gehören zur besonderen Kategorie von personenbezogenen Daten und sind daher besonders schützenswert. Sollten diese Daten (z.B. bei Krankmeldungen / Entschuldigungen oder anderen gesundheitsbezogenen Angaben zur Betreuung der Schüler) verarbeitet werden, müssen ggf. eine Risikoanalyse für die Verarbeitung und eine Datenschutzfolgenabschätzung durchgeführt werden. Diese Daten bedürfen einer gesonderten Bewertung und Sicherstellung.
Videokonferenzen, Plattformen und Telefonate – Schulen in NRW auf neuen Wegen
Ist die Arbeit von zu Hause für viele in Lehrberufen nicht selten schon Alltag, so kommt ein neuer Faktor beim Homeschooling dazu: Der direkte Kontakt mit den IT-Systemen der Schüler und deren Eltern. Da der Unterricht in den Schulen teilweise oder ganz in regelmäßigen Abständen wegfällt, kommunizieren die Lehrkräfte nun auch immer öfter über diverse digitale Plattformen mit Ihren Schülern.
Dabei wird Material auf unterschiedlichen Wegen ausgetauscht. Neben den schon genannten Kennwörtern und der IT-Sicherheit muss die Schule auch prüfen, ob es sich bei der Datenverarbeitung unter Umständen um eine Auftragsdatenverarbeitung handelt, für die ein ADV-Vertrag abgeschlossen werden muss. Mehr dazu finden Sie hier.
Das Gleiche gilt auch für Videokonferenzen, über die Unterricht stattfinden kann. Darüber hinaus sollte bei Telefonaten oder Videokonferenzen auch sichergestellt werden, dass kein Unbefugter (auch Familie und Freunde) zuhören oder zuschauen kann.
Senden Sie mögliche Zugangsdaten für Videomeetings separat zum Teilnehmer, um einen Zugriff anderer zu vermeiden.
Betroffenenrechte für Schüler und Erziehungsberechtigte
Sobald personenbezogene Daten einer Person verarbeitet werden, gilt dieser als sogenannter Betroffener im Datenschutz. Egal ob es sich bei der verantwortlichen Organisation um eine Schule, ein Unternehmen oder ein Verein usw. handelt, hier greift die DS-GVO – der Verantwortliche muss also dem Betroffenen (Schüler, Eltern, Beschäftigte, Interessenten usw.) unterschiedliche Rechte einräumen. Dazu gehören u.a.:
- Recht auf Information (Informationspflichten für Betroffene bei der Datenerfassung)
- Recht auf Auskunft
- Recht auf Korrektur
- Recht auf Löschen / Recht auf Vergessenwerden
- Recht auf Übertragbarkeit
Die Verarbeitung der Daten in Schulen unterliegt darüber hinaus z.B. der „Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern“ (VO-DV I) und dem Schulgesetz für das Land Nordrhein-Westfalen (SchulG), welche den Datenschutz teilweise noch strenger regeln als die Vorgaben in der DS-GVO.
Datenschutz in Schulen – nicht nur in Corona-Zeiten besonders anspruchsvoll
Dadurch, dass der Datenschutz in Schulen komplex geregelt ist und sich durch den Unterricht zu Hause die Ansprüche verändert haben, sollte die Einhaltung der Vorgaben regelmäßig auf einen Prüfstand gestellt werden.
Dies kann durch einen externen Datenschutzbeauftragten erfolgen. Wir von Datenschutzberater.NRW unterstützen bereits erfolgreich unterschiedliche schulische Einrichtungen bei der Umsetzung der gesetzlichen Vorgaben im Datenschutz im Großraum Köln, Bonn, Düsseldorf, Siegen und Siegburg, sowie in ganz NRW.
Wir stellen einen externen Datenschutzbeauftragten (TÜV), der durch eine Datenschutzfachkraft (TÜV) unterstützt wird. Unser Team aus Fachleuten aus Datenschutz, IT und Steuerrecht kann Ihrer Schule bei der Betreuung im Datenschutz und der Umsetzung bei den neuen Aufgaben vor allem im Homeschooling helfen. Unser Angebot finden Sie hier, nehmen Sie einfach Kontakt mit uns auf.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO für Ihre Schule in NRW einhalten, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.