Aus gegebenem Anlass haben wir uns intensiver mit datenschutzrechtlichen Aspekten in Schulen beschäftigt. Hierbei zeigt sich, dass insbesondere standardisierte Fragestellungen wiederholt zu diversen Unsicherheiten führen.

Viele Schulen betreiben zur eigenen Selbstdarstellung bzw. zur Präsentation im Internet schuleigene Internetseiten/ Home Pages. In Teilen werden in jenen in geschützten Bereichen bzw. vereinzelt auch der Öffentlichkeit uneingeschränkt zugänglich Lichtbilder bzw. weitergehende personenbezogene Daten von Schülern, Eltern und Lehrern veröffentlicht als auch personenbezogen Daten von Nutzern der Webseiten (z.B. IP-Adresse/ Emailadresse) erhoben.

I.            Verbot mit Erlaubnisvorbehalt

Wie im gesamten Anwendungsbereich des Datenschutzrechtes verbleibt es auch im schulischen Kontext bei dem Dogma:

Die Datenverarbeitung  ist nur rechtmäßig, wenn eine Rechtsgrundlage dies erlaubt.

Mithin bedarf auch jede automatisierte Verarbeitung von personenbezogenen Daten neben einer Vielzahl anderer rechtlicher Vorgaben in der Rechtsanwendung bei Webseiten der Beachtung legislativer Besonderheiten.

II.              Anbieterkennzeichnung

Die Anbieterkennzeichnung, das sog. Impressum richtet sich nach den Vorgaben des § 5 Abs. 1 Telemediengesetz (TMG). Zu den Telemediendiensten gehören alle elektronischen Informations- und Kommunikationsdienste. Dies sind grundsätzlich alle Internetseiten z. B. Plattformen, Werbeseiten und E-Mail-Dienste.

Folgende inhaltliche Mindestangaben für Schulen müssen von jeder Unterseite auf der Homepage leicht erreichbar sein und jederzeit zur Verfügung stehen (sogenannte 2-Klicktheorie):

1.  Name und Anschrift des Schule
2. Vertretungsberechtigter Schulleiter
3. Verantwortlicher im Sinne des Presserechts [fakultativ]
4. Kontaktdaten des Datenschutzbeauftragten [es genügt aber datenschutzbeauftragte@MUSTERSCHULE.de]
5. Kontaktmöglichkeiten, welche eine schnelle elektronische Kommunikation ermöglichen (E-Mail-Adresse und Telefonnummer(bestenfalls einschließlich der Ländervorwahl und bei der Angabe einer Mehrdienstnummer einschließlich der entstehenden Kosten und die Möglichkeit eines Basistarifs))
6. Angaben zur zuständigen Aufsichtsbehörde (Schulamt bzw. Rechtsträger)
7. Soweit vorhanden, die Umsatzsteueridentifikationsnummer

ACHTUNG Diensteanbieter nach § 5 Ziff. 1 TMG ist nicht die Schule selbst, sondern in der Regel der Schulträger. Man sollte daher bei kommunalen Schulträgern den Namen des Bürgermeisters und die Adresse des Rathauses angeben. Bei Schulen in Trägerschaft eines Kreises, z.B. bei einem Berufskolleg würde man den Landrat und den Sitz der Kreisverwaltung angeben. Eine Schule mit kirchlichem Träger gibt das Bistum als Diensteanbieter an.

Anbieter journalistisch-redaktionell gestalteter Angebote müssen darüber hinaus einen Verantwortlichen mit Namen und Anschrift benennen (§ 55 RStV). Kennzeichnend für journalistische Angebote sind z. B. die Ausrichtung an Fakten, ein gewisses Maß an Aktualität und eine gewisse Selektivität und Strukturierung, die Ergebnis eines Auswahlprozesses ist. Erfüllt nur ein Teil (etwa eine Rubrik der Website – z.B. eine Schulzeitung) die Anforderungen des § 55 RStV, gilt die erweiterte Impressumspflicht für das gesamte Telemedium. Es ist also ratsam, bei allen Internetauftritten von Schulen eine verantwortliche Person im Sinne des Presserechts zu benennen.

III.          Datenschutzerklärung

Aus einer Datenschutzerklärung muss  der Art, Umfang und Zweck der Datenerhebung, -nutzung und -verarbeitung ersichtlich sein. Dies umfasst beispielsweise auch die Angabe von Datenübermittlungen, insbesondere an Drittländer. Gegebenenfalls sind Aussagen über anonymisierte oder pseudonymisierte Verarbeitung, Widerrufsmöglichkeiten, Verfahrensweisen mit Betroffenenrechten, Speicherungen von Cookies u.a. zu treffen.

Die Datenschutzerklärung muss in allgemein verständlicher Form verfasst und für den Nutzer jederzeit abrufbar sein. Sie muss von jeder Seite leicht zugänglich sein und kann gegebenenfalls durch den Link „Datenschutz“, „Datenschutzerklärung“ oder „Datenschutzinformation“ aufgerufen werden können. Grundsätzlich nicht ausreichend wären daher Bezeichnungen wie „weitere Informationen“ bzw. eine Eingliederung auf der gleichen Seite wie das Impressum.

Spätestens im Zug der DS-GVO haben sich auch die Anforderungen an die Transparenz der Datenverarbeitung erheblich verschärft. Mithin sind zwingend die Vorgaben nach Art. 13 DS-GVO zu beachten.

Gemäß Art. 13 DS-GVO muss die Schule als Verantwortliche den betroffenen Personen, die die Homepage nutzen, zum Zeitpunkt der Erhebung Folgendes mitteilen:

1. Namen und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines
   Vertreters
2. Kontaktdaten des Datenschutzbeauftragten
3. Verarbeitungszwecke sowie Rechtsgrundlage für die Verarbeitung
4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und gegebenenfalls die Absicht der Schule, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission (im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 EU oder Art. 49 Abs. 1 Nr. 2 ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.) [sofern die Homepage durch einen Dienstleister betrieben wird, zählt dieser auch als Empfänger und muss hier benannt werden].
5. Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer
6. Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
7. Bestehen eines Rechts, eine Einwilligung jederzeit zu widerrufen, wenn die Verarbeitung auf der er-teilten Einwilligung der betroffenen Person beruht, ohne dass dabei die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
8. Bestehen eines Beschwerderechts bei einer Datenschutz-Aufsichtsbehörde

Welche Informationen konkret bereitgestellt werden müssen, hängt vom (funktionalen) Umfang der Homepage und der Datenverarbeitung (Blogs, Onlinekontaktmaske, Einbindung von sozialen Medien) ab. Daneben finden möglicherweise statistische Auswertungen über die Nutzung der Homepage statt. In all diesen Fällen werden in der Regel personenbezogene Daten der betroffenen Personen verarbeitet. Sammeln Websites hingegen nur aggregierte Daten über ihre Besucher, z. B. für Statistiken über Seitenabrufe (z.B. session cookies), oder nur anonymisierte Daten in Form von auf Domain-Ebene reduzierten IP-Adressen, stellt dies keine Verarbeitung personenbezogener Daten dar.

IV.        Veröffentlichung von personenbezogen Daten von Schülern und Lehrern auf der Home Page

Personenbezogene Daten im Internet können ohne jede Zweckbindung weltweit abgerufen, gespeichert, dupliziert und verändert werden, ohne dass die Betroffenen hierauf noch Einfluss nehmen könnten.

Im Hinblick darauf bedarf es sofern personenbezogen Daten verarbeitet werden, grundsätzlich des Vorliegens entsprechender Einwilligungserklärungen der Betroffenen.

Ausnahmen hiervon erfassen in der Regel nur die Benennung des Schulleiters, deren Vertretung sowie die Bekanntgabe von Daten von anderen Schulgremien (Eltern- bzw. Schülervertretung) im Rahmen der schulorganisatorischen Aufgaben (nicht hierunter fällt aber eine Veröffentlichung eines mit dem Namen der Lehrer versehenen Vertretungsplanes im nicht passwortgeschützten Bereich).

Wird von den Beteiligten darüberhinausgehend eine Veröffentlichung personenbezogener Daten (insbesondere Lichtbilder zum Beispiel von Veranstaltungen) gewünscht, bzw. soll dieser Teil der Präsentation der Schule im Internet sein, muss die Schule von den volljährigen Schülerinnen und Schüler bzw. bei Minderjährigen von deren Eltern sowie den Lehrern die schriftliche Einwilligung einholen.

Zu beachten ist, dass eine Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist und eine Einwilligung jederzeit widerruflich ist. Insoweit ist es notwendig konkrete und nicht nur abstrahierte Einwilligungserklärungen zu verwenden (unter Benennung der zu verarbeitenden Daten, des Verarbeitungszweckes, der Weitergabe an Dritte und Ausführungen zu den Betroffenenrechten wie Auskunft, Berichtigung und Löschung).

V.          Weitere Informationen

Weitere Informationen zur Datenverarbeitung in der Schule finden Sie auch unter

• https://www.datarea.de/datenschutz-in-schulen/ (Allgemeine Informationen)
• https://www.datarea.de/webtracking/ (Was ist Webtracking)
• https://www.datarea.de/dsk-positionspapier-tracking-mechanismen-erfordern-vorherige-einwilligung/ (Einwilligung bei Webtracking)
• https://www.datarea.de/datenschutzrechtliche-besonderheiten-bei-newslettern/ (Newsletter)
• https://www.datarea.de/eugh-entscheidung-zu-facebook-fanpages-hat-weitreichende-folgen/ (Nutzung von Facebook)
• https://www.landesschulbehoerde-niedersachsen.de/themen/schulorganisation/datenschutz/muster/2018-05-25-muster-datenschutzerklaerung-schulhomepage.docx/view (Mustererklärung)
• https://datenschutz-schule.info/wp-content/uploads/2018/05/Checkliste-Schulhomepage.pdf (Checkliste aus technischer Sicht)