FAQ für Eltern rund um den Datenschutz in Bildungseinrichtungen

Nach Art. 12 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß den Art. 13, Art. 14 und Art. 15 – 22 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Diese Informationen sind dem Betroffenen spätestens zum Zeitpunkt der Erhebung mitzuteilen.
Bei Verwendung von Papier-Formularen z.B. Aufnahmebogen für Schüler, müssen die genannten Informationen direkt im Formular enthalten, beigefügt oder als Link zum Abruf benennt sein.

Diese beinhalten u.a.:
• Kontaktdaten des Verantwortlichen & Datenschutzbeauftragten
• Zweck & Rechtsgrundlage der Datenerhebung einschließlich Nennung des berechtigten Interesses
• Empfänger oder Empfängerkategorien der personenbezogenen Daten
• Absicht, bei Übermittlung an ein Drittland oder eine internationale Organisation inklusive geeignete Garantien gemäß Art. 46 DSGVO
• Nennung der Rechte des Betroffenen
• Automatisierte Entscheidungsfindung einschließlich Profiling
• Ggf. Verpflichtung der Bereitstellung und Folgen der Nichtbereitstellung personenbezogener Daten
• Ggf. Quellen der personenbezogenen Daten, falls diese nicht beim Betroffenen erhoben wurden.

Auch für Schulen und andere Bildungseinrichtungen besteht eine Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen an die Datenschutzaufsichtsbehörde.

Die Veröffentlichung von Fotos von Schülerinnen und Schülern ist nur zulässig, wenn eine informierte, freiwillige Einwilligung von den Schülerinnen und Schülern bzw. von deren Eltern vorliegt. Die Einwilligung muss hierbei auf informierte Art und Weise für einen konkreten Zweck eingeholt werden, eine Pauschaleinwilligung für „Alles“ ist nicht rechtens.

Die Umsetzung der Datenschutzgrundsätze muss für Verarbeitungstätigkeiten dokumentiert werden. Dies geschieht über das sogenannte Verarbeitungsverzeichnis nach Art. 30 DSGVO, welches das alte Verfahrensverzeichnis ersetzt. Bildungseinrichtungen müssen darin alle Vorgänge und Prozesse eintragen, bei denen personenbezogene Daten verarbeitet werden sowie unter anderem der Zweck der Verarbeitung, die Kategorie der Betroffenen und die Kategorie der personenbezogenen Daten. Zur Überprüfung der Rechtmäßigkeit der Verarbeitung bietet es sich an, das Verzeichnis um weitere Angaben, wie die Rechtsgrundlage der Verarbeitung, Datenempfänger oder eventuell hinzugezogene Auftragsverarbeiter (je Prozess) mit aufzunehmen. Das Verzeichnis muss fortlaufend aktualisiert werden. Die Verantwortung für das Führen des Verzeichnisses liegt bei dem Verantwortlichen, z.B. dem Schulleiter, welcher einzelne Aufgaben auch delegieren kann.

Hat eine Verarbeitung von personenbezogenen Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten des Betroffenen zur Folge, ist vorab schriftlich eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durchzuführen. Dies ist vor allem beim Einsatz neuer Technologien, wie Smart-Technology, Big Data, Tracking und Sicherheits- und Überwachungstechniken der Fall. Schulen müssen also bei der Einführung einer Videoüberwachung eine Datenschutz-Folgenabschätzung durchführen. Wird aufgrund dieser erkannt, dass die geplante Datenverarbeitung ohne entsprechende „Gegenmaßnahmen“ ein hohes Risiko zur Folge hätte, muss vor Beginn der Verarbeitung die Datenschutz-Aufsichtsbehörde konsultiert werden.

Auch in Bildungseinrichtungen ist der Einsatz von WhatsApp oder die Kommunikation über Social Media Kanäle, z.B. durch Lehrkräfte bei der Kommunikation mit Schülern abzuraten. Unter keinen Umständen sollten über solche Dienste etwa schulbezogene, personenbezogene Daten ausgetauscht werden. Für Verantwortliche empfiehlt es sich hier dringend, entsprechende Richtlinien über den Einsatz solcher Dienste einzuführen.

Zu den technischen und organisatorischen Maßnahmen zählen u.a.:
• Zugriffskontrolle
• das regelmäßige Erstellen von Backups
• Pseudonymisierung
• Verschlüsselung von personenbezogenen Daten
• datenschutzfreundliche Voreinstellungen gem. Art. 25 DSGVO
• Datenminimierung

Auch wenn Schulen i.d.R. nicht von wettbewerbsrechtlichen Abmahnungen betroffen sind, müssen Sie Ihre Website gemäß den geltenden Bestimmungen nach DSGVO, TDDDG und DDG anpassen