Zensierte Bilder und handschriftliche Zeugnisse – sind Schulen und Kindergärten so von der DSGVO betroffen?

Nicht nur Privatpersonen und Unternehmen wurden durch die Einführung der Datenschutzgrundverordnung (DSGVO) erschreckt – auch Kindertagesstätten und Schulen sind seit dem 25. Mai 2018 diesbezüglich verunsichert.

Warum werden Schulfotos meiner Kinder zensiert? Was geschieht mit Noten und den Internetseiten von Schulen, Kindergärten und Kitas? Ein Thema, das die Öffentlichkeit in den letzten Wochen stark tangierte und viele Eltern mit offenen Fragen zurücklässt. Welche Pflichten treffen Schulen, Kindergärten & Co bezüglich der DSGVO? Wir wissen Bescheid und erklären es Ihnen!

Auch Bildungseinrichtungen sind gemäß DSGVO Verantwortliche

Als Verantwortlicher gemäß Art. 4 DSGVO gilt grundsätzlich jede Einrichtung, die personenbezogene Daten verarbeitet. Sowohl Schulen und Hochschulen als auch Lehranstalten und Kindergärten sind davon gleichermaßen betroffen. Eine Öffnungsklausel der DSGVO ermöglicht es, den bereichsspezifischen Datenschutz für den Schulbereich weiterhin auf Länderebene zu regeln. Fast alle Landesschulgesetze wurden dementsprechend frühzeitig geändert. Dennoch müssen die datenschutzrechtlichen Grundsätze der DSGVO neuerdings von allen Schulen nachweisbar umgesetzt werden.

Gerade in Bildungsstätten werden besonders viele Daten erhoben

Ohne eine rechtliche Grundlage dürfen laut DSGVO grundsätzlich keine Erhebung und Verarbeitung von personenbezogenen Daten erfolgen, was der Hauptgrund für die aktuelle Verunsicherung vieler Bildungsstätten ist. Lediglich die Aufnahmemodalitäten sind hiervon sicherlich nicht betroffen. Doch was geschieht mit den bisherigen Schulwebseiten, welche möglicherweise im Rahmen eines Schulprojekts oder sogar in Eigeninitiative des Elternbeirats entworfen wurden? Was ist mit Zeugnisnoten, Evaluationsbögen, Lehrerbefragungen oder Internetpublikationen der Schulen? Viele Verantwortliche schienen bereits an einer rechtssicheren Datenschutzerklärung zu verzweifeln. Die Gewerkschaften und Landesdatenschutzbeauftragten arbeiten deshalb tatkräftig daran, die DSGVO in den Schulen publik zu machen und praktische Hilfestellungen zu geben. Dennoch ist es in vielen Bereichen unklar, wie die datenschutzrechtlichen Vorgaben überhaupt umgesetzt werden können.

Schulen sind verpflichtet, einen Datenschutzbeauftragten zu stellen

Gemäß Art. 39 DSGVO müssen Schulen und Kindergärten als Verantwortliche nun einen eigenen Datenschutzbeauftragten stellen, was sich als eine große Herausforderung erweist. Denn diesen muss jede Betriebsstelle zur Verfügung stellen, die mehr als zehn Beschäftigte hat, welche regelmäßig personenbezogene Daten verarbeiten (und das tun beispielsweise Lehrer). Im Zweifel eines Missbrauchs muss sich der zuständige Datenschutzbeauftragte vor den jeweiligen Landesdatenschutzbehörden verantworten, weswegen eine reine Unterschrift als Zuständiger nie ausreichen wird. Fachkundiger Rat oder sogar eine entsprechende TÜV-Zertifizierung desjenigen, der die Datenschutzaufgabe übernimmt, ist in den meisten Fällen unverzichtbar. Sichern Sie sich unbedingt auch über regelmäßige Auffrischungen ab und verfolgen Sie die einschlägige Rechtsprechung! Möglich ist ebenfalls, dass diese Aufgabe von einem Benannten im Schulamt wahrgenommen wird, der bei jeder datenrelevanten Frage frühzeitig mit eingebunden werden muss.

Übrigens: Der Datenschutzbeauftragte muss in der Datenschutzerklärung genannt werden, doch im Fall einer Rechtsverletzung haftet dieser natürlich nicht selbst!

Bietet Zensur eine ernst zu nehmende Lösung für rechtskonformen Datenschutz?

Die DSGVO sieht vor, dass der zuständige Datenschutzbeauftragte ein erkennbares Verzeichnis aller datenverarbeitenden Prozesse anlegen muss. Hier muss nachweisbar dargestellt werden, welche Daten durch Ihre Einrichtung erhoben werden, wie lange diese gespeichert werden und welche Sicherheitsvorkehrungen diesbezüglich getroffen wurden. Dieses Verzeichnis dient dem Nachweis, dass Sie Ihren Pflichten als verantwortliche Stelle nachkommen. Zeugnisse oder anderweitige Daten von Schülern sind dementsprechend auf Privatcomputern von Lehrern nur dann erlaubt, wenn diese den hohen Datenschutzansprüchen gerecht werden. Hilfe dazu gibt es beim zuständigen Kultusministerium oder bei der Gewerkschaft. Um geschwärzte Bilder zu vermeiden oder gar alle Zeugnisse von Hand schreiben zu müssen, hilft nur eins: Einwilligungen der Schüler und Eltern einholen und für Verschlüsselungen auf allen Geräten sorgen, die Daten verarbeiten. Insbesondere für den Internetauftritt der Schule ist eine Einwilligung unerlässlich und sollte unbedingt (auch nachträglich) erhoben werden.

Unser Tipp: Cloudbasierte Systeme weisen oft gewisse Sicherheitslücken bezüglich der DSGVO auf. Stattdessen eignen sich beispielsweise verschlüsselte USB-Sticks, die es Ihnen ermöglichen, Daten auf einem beliebigen PC anzusehen, ohne diese lokal gespeichert zu haben.

Die Rechte der Kinder werden von den Eltern geltend gemacht

Gerade wegen des Rechts auf informationelle Selbstbestimmung gilt es besonders, personenbezogene Daten ausreichend zu schützen. Wer sich darüber im Klaren ist, welche teils äußerst sensiblen Daten gespeichert werden, der sollte im Fall eines Missbrauchs auch dafür sorgen, dass eben diese Daten nicht in falsche Hände geraten, und sie gegebenenfalls löschen. Als Eltern und Erziehungsberechtigte sollten Ihnen die Daten Ihrer Kinder am Herzen liegen – denn für Sie wurde die DSGVO verabschiedet! Machen Sie sich mit Ihren Rechten vertraut und fragen Sie bei zuständigen Stellen nach, ob und welche Daten verarbeitet werden. Nutzen Sie unseren Ratgeber, um die Rechte Ihrer Kinder geltend zu machen, und prüfen Sie die Einwilligungen im Hinblick auf die aktuelle Rechtslage der DSGVO.