Datenschutz an Schulen: Entwicklungen und Empfehlungen

Schulbehörden und öffentliche Schulen in den einzelnen Bundesländern verarbeiten täglich zahlreiche personenbezogene und teils sehr sensible Daten. Neben den grundlegenden Anforderungen der DSGVO haben neue Gerichtsurteile, Stellungnahmen von Datenschutzbehörden und technologische Entwicklungen zu weiteren Anpassungen geführt. Das gilt für den Einsatz von Messenger-Apps über Cloud-Dienste bis hin zu KI-gestützten Lernsystemen. Der nachfolgende Beitrag bietet einen aktuellen Überblick über zentrale Datenschutzanforderungen im Schulbereich.

Rechtsquellen und Verantwortlichkeiten

Schulen sind immer schon ein Sammelsurium von personenbezogenen Daten gewesen. Hier werden Daten von Schülern, Lehrkräften und anderen Beschäftigten und natürlich von den Erziehungsberechtigten verarbeitet. Zu diesen Daten gehören Namen, Adressen, Wohnverhältnisse und natürlich Leistungsdaten wie z. B. Zeugnisnoten. Hinzu kommen im Regelfall auch deutlich sensiblere Daten wie Angaben zum Gesundheitszustand eines Schülers oder dessen Religionszugehörigkeit.

Die DSGVO gilt bekanntlich unmittelbar in allen EU-Mitgliedstaaten. Daher unterliegen auch Schulen und andere Bildungseinrichtungen der DSGVO. Sie wird durch nationale Gesetze, wie die Landesdatenschutzgesetze und Schulgesetze der Bundesländer, ergänzt. Schulen sind Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO und somit verpflichtet, die Einhaltung der Datenschutzvorschriften nachzuweisen. Zwar dürften viele interne Vorgaben – also beispielsweise welche Softwares oder Tools in den Schulen eingesetzt werden – oftmals von den jeweiligen Landesschulbehörden kommen, allerdings obliegt die faktische Umsetzung stets jeder Schule selbst, da diese als eigenständige juristische Person handeln. Insofern ist diese Konstellation durchaus mit einem Konzern mit mehreren Gesellschaften vergleichbar.

Welche Regelungen müssen Schulen beachten?

Personenbezogene Daten dürfen grundsätzlich dann verarbeitet werden, sofern die Verarbeitung für die Wahrnehmung der schulischen Aufgaben notwendig ist. Für die Erfassung von schulischen Leistungen oder für schulinterne Prozesse dürfte dies in aller Regel problemlos der Fall sein. Eine Datenverarbeitung, die über die Erfüllung solcher Aufgaben hinaus geht, setzt in der Regel eine Einwilligung der Eltern bzw. der einwilligungsfähigen Schüler selbst voraus. Im Folgenden führen wir eine Übersicht der Punkte auf, die Schulen in jedem Fall beachten sollten.

Datenschutzbeauftragter

Jede Schule muss einen Datenschutzbeauftragten benennen. In einigen Bundesländern (wie Hessen) ist dies verpflichtend, während in anderen Bundesländern zentrale Datenschutzbeauftragte für mehrere Schulen zuständig sind. Es ist zu empfehlen, die Kontaktdaten des Datenschutzbeauftragten auf der Website der Schule zu veröffentlichen. Zudem sind Schulen – genau wie Unternehmen – verpflichtet, den Datenschutzbeauftragten die für ihre Aufgaben notwendigen Ressourcen und Fortbildungen zur Verfügung zu stellen.

Verzeichnis der Verarbeitungstätigkeiten

Die Verarbeitung personenbezogener Daten muss stets dokumentiert werden. Das sogenannte Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO bildet dabei das Herzstück der Datenschutz-Dokumentation. Schulen müssen darin alle Vorgänge und Prozesse eintragen, bei denen in der Schule personenbezogene Daten verarbeitet werden. Dabei sind der Zweck der Datenverarbeitung und die Kategorien der verarbeiteten personenbezogenen Daten zu definieren. Die verschiedenen Aufsichtsbehörden bieten auf ihren Webseiten Muster an, als Beispiel sei auf die Seite des Bayrischen Landesamtes für Datenschutzaufsicht verwiesen. Eine hilfreiche Übersicht zu typischen Verfahren in der Schule bietet das Zentrum für Schulqualität und Lehrerbildung Baden-Württemberg. Da das Verzeichnis regelmäßig aktualisiert werden muss, ist ein gewisser zeitlicher Aufwand notwendig. Die interne Verantwortung für das Führen des Verzeichnisses liegt bei der Schulleitung. Es ist aber natürlich möglich, Aufgaben zu delegieren bzw. den Datenschutzbeauftragten faktisch einzubeziehen.

Datenschutz-Folgenabschätzung

Bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Die Durchführung einer DSFA hat den Zweck, dass sich Verantwortliche über den Einsatz risikoreicher Verarbeitung Gedanken machen und mögliche Risiken für betroffene Personen bestmöglich minimieren. Dies betrifft insbesondere den Einsatz neuer Technologien, wie etwa Videoüberwachung oder KI-gestützte Systeme. Die DSFA muss dokumentiert und gegebenenfalls mit der zuständigen Aufsichtsbehörde abgestimmt werden. Im regulären Schulbetrieb, also einschließlich der Verarbeitung von Leistungsdaten oder klassischer Personaldaten, wird eine DSFA allerdings wohl nur selten notwendig sein.

Verhalten bei einer Datenschutz-Verletzung

Natürlich sind auch Schulen nicht vor Datenpannen und ähnlichen Vorfällen geschützt. Bei Datenschutzverletzungen sind Schulen verpflichtet, diese unverzüglich der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldung muss dabei innerhalb von 72 Stunden ab Kenntnis des Vorfalls erfolgen und alle relevanten Informationen zur Art der Verletzung, den betroffenen Personen und die ergriffenen Maßnahmen enthalten. Meldungen von Datenschutzverletzungen können in der Regel direkt über die Meldeformulare auf den Webseiten der Datenschutz-Aufsichtsbehörden abgegeben werden.

Technische und organisatorische Maßnahmen

Jede Schule muss geeignete technische und organisatorische Datenschutzmaßnahmen treffen, um die Sicherheit der von ihr verarbeiteten personenbezogen Daten zu gewährleisten. Dazu zählen beispielsweise Zugriffskontrolle, das regelmäßige Erstellen von Back-ups sowie Pseudonymisierung und Verschlüsselung von personenbezogenen Daten. In diesem Zusammenhang sei auch auf Art. 25 DSGVO hingewiesen, der die Grundsätze des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen regelt. Schulen müssen ihre IT-Systeme so gestalten, dass die oben angesprochenen Grundsätze des Datenschutzes wie etwa Datenminimierung wirksam umgesetzt werden.

Betroffenenrechte

Auch für Schulen gelten die Vorgaben der Art. 12 ff. DSGVO. Schließlich ist es das Hauptziel der DSGVO, die Rechte der betroffenen Personen zu stärken, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung. Aber auch die Erfüllung der Informationspflichten gemäß Art. 13 DSGVO ist hier relevant. Bei Verwendung von Formularen, beispielsweise zur Aufnahme von Schülern, müssen die erforderlichen Informationen direkt im Formular enthalten oder beigefügt sein. Entsprechende Informationen sollten zudem auf der Homepage der Schule veröffentlicht werden. Wichtig ist in diesem Zusammenhang, Datenschutzhinweise klar und verständlich zu formulieren, insbesondere, wenn diese sich nicht nur an die Eltern, sondern vor allem an die Schüler richten. Auch das Recht auf Auskunft gegenüber Betroffenen (Eltern, Schüler und Beschäftigte) gemäß Art. 15 DSGVO spielt in der Praxis eine große Rolle. Schulen müssen hierbei sicherstellen, dass sie Anfragen von Betroffenen innerhalb der gesetzlichen Fristen – zumeist innerhalb eines Monats – beantworten und die erforderlichen Informationen bereitstellen können.

Aktuelle Entwicklungen und Empfehlungen

Insbesondere die Corona-Zeit hat dafür gesorgt, dass auch in Schulen vermehrt digitale Angebote eingeführt worden sind. Lernplattformen, das digitale Klassenbuch oder Videokonferenzen gehören inzwischen zum Schulalltag dazu. Dadurch sind naürlich auch die datenschutzrechtlichen Herausforderungen gestiegen. Umso wichtiger ist es, dass die Datenschutz-Grundsätze nach Art. 5 Abs. 1 DSGVO stets eingehalten werden. Anbei haben wir eine Auswahl aktueller Entwicklungen zusammengestellt:

Nutzung digitaler Kommunikationstools

Die Nutzung von Kommunikationsplattformen ist auch für Schulen längst relevant geworden. Hier werden naturgemäß viele personenbezogene Daten verarbeitet. Im Fokus steht dabei vor allem die richtige Rechtsgrundlage. So wurde in Bayern die Einwilligungspflicht für die Nutzung digitaler Kommunikations- und Kollaborationswerkzeuge, die Teil der BayernCloud Schule sind, aufgehoben. Für andere Plattformen bleibt die Einwilligung weiterhin erforderlich. Diese Regelung soll Schulen dazu motivieren, datenschutzkonforme Werkzeuge zu nutzen und den Einsatz nicht geprüfter Plattformen zu reduzieren.

Fotos nur mit Einwilligung – oder?

Ein Klassiker ist stets die Frage, ob und wann Fotos von Schülern angefertigt oder sogar veröffentlicht werden dürfen. Dieses Problem hat sich durch das Inkrafttreten der DSGVO noch einmal verschärft, da diese auf Grund der scheinbar härteren Regelungen auch ein Stück weit für Verunsicherung gesorgt hat. Dies hat sich beispielsweise in dem Fall einer katholischen Kindertagesstätte in Dormagen gezeigt, als eine übereifrige Mitarbeiterin der Kita in einem Erinnerungsbuch nahezu sämtliche Schülerfotos geschwärzt hatte.

Die Rechtslage ist in der Tat etwas schwammig. Neben dem Allheilmittel „Einwilligung“ kommt als Rechtsgrundlage auch das berechtigte Interesse bei der Anfertigung von Bildern, zum Beispiel Klassenfotos, in Betracht. Wann ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO vorliegt, ist immer am Einzelfall zu messen. Zu berücksichtigen ist auch, dass der Großteil der Schüler minderjährig ist und somit einem besonderen Schutz unterliegt. Das Anfertigen und Veröffentlichen von Schülerfotos für ein Jahrbuch oder einen Erinnerungsband dürfte im Regelfall auf das berechtigte Interesse gestützt werden können, da dies vom Erziehungsauftrag der Schule gedeckt ist. Anderenfalls bleibt nur die Einwilligung, welche dann ggf. von den Erziehungsberechtigten des betroffenen Schülers eingeholt werden muss.

Was ist mit der Nutzung von WhatsApp und Co.?

Die Nutzung populärer Messenger-Dienste wie WhatsApp oder Facebook Messenger ist aus datenschutzrechtlicher Sicht im schulischen Kontext nicht zulässig. Vor allem der Datenkrake Meta speichert und verarbeitet Kommunikationsdaten auf Servern außerhalb der EU und bietet keine ausreichende Kontrolle. Zwar hat sich das Thema EU-US-Datentransfer auf Grund des Data Privacy Framework weitgehend entschärft, das Hauptproblem der mangelnden Transparenz durch Meta besteht aber weiterhin. Daher sollten Schulen eher datenschutzkonformere Messenger wie Threema Education einsetzen oder gleich auf „offizielle“ Schul-Apps zurückgreifen. Viele Bundesländer stellen eigene geprüfte Apps bereit (z. B. DSGVO-Schulcloud Brandenburg, LOGINEO NRW, mebis Bayern).

Darüber hinaus ist zu empfehlen, interne Richtlinien zur Nutzung digitaler Kommunikation und zur Einhaltung des dienstlichen Kommunikationswegs einführen und die Lehrerinnen und Lehrer regelmäßig schulen.

Einsatz von KI-Systemen im Unterricht

Mit dem Aufkommen von KI-gestützten Systemen wie ChatGPT haben einige Bundesländer – darunter Nordrhein-Westfalen – Handreichungen zum Umgang mit solchen Technologien im Unterricht veröffentlicht. Dabei stehen neben den pädagogischen Möglichkeiten auch datenschutzrechtliche Aspekte im Fokus. Auch automatisierte Bewertungssoftware oder adaptive Lernsysteme müssen aus Sicht des Datenschutzes besonders sensibel behandelt werden. Je nach Umfang der Datenverarbeitung kann auch hier eine Datenschutz-Folgenabschätzung notwendig sein.

Datenschutz als Qualitätsmerkmal

Die DSGVO bleibt auch im Schulbereich ein dynamisches Regelwerk. Mit dem zunehmenden Einsatz digitaler Tools, cloudbasierter Anwendungen und KI-gestützter Systeme steigen die Anforderungen an datenschutzkonforme Prozesse und die Dokumentation. Schulen sollten technische Entwicklungen nicht scheuen – aber kritisch prüfen, sorgfältig einführen und dauerhaft begleiten. Datenschutz ist keine Innovationsbremse, sondern eine Qualitätsanforderung an moderne Bildung.