Die DSGVO in Bildungseinrichtungen – kann es tatsächlich sein, dass Bilder zensiert und Zeugnisse wieder von Hand geschrieben werden müssen?

Nicht nur Unternehmen verunsicherte die Einführung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 – sowohl Schulen als auch Kindertagesstätten sorgen sich seitdem um einen rechtssicheren Datenschutz.

Klassenfotos, Notenspiegel und Schul-webseiten – was geschieht, wenn hier eine Abmahnung kommt? Die Öffentlichkeit fragt sich, ob Zeugnisse wieder per Hand geschrieben werden und ob entstandene Fotos von Schulen oder Kindergärten nun zensiert werden müssen. Doch was sieht die Gesetzeslage mit der Einführung der DSGVO vor und welche Pflichten treffen Kindergärten, Schulen & Co? Wir wissen Bescheid und erklären es Ihnen!

Der/die Verantwortliche(n) im Sinne der DSGVO

Im Sinne des Art. 4 DSGVO ist jede Einrichtung, die Daten verarbeitet, dazu verpflichtet, einen Verantwortlichen festzulegen. Das gilt für Kindergärten und Kitas gleichermaßen wie für Schulen, Hochschulen und Lehranstalten. Eine Öffnungsklausel in der DSGVO ermöglicht es allerdings, das spezifische Datenschutzrecht für den Schulbereich weiterhin auf Länderebene zu regeln. Dafür wurden bereits fast alle Landeschulgesetze dementsprechend angepasst. Dennoch müssen die datenschutzrechtlichen Grundsätze der DSGVO neuerdings von den Schulen nachweisbar umgesetzt werden.

Eine Vielzahl personenbezogener Daten wird besonders in Bildungsstätten erhoben

Ohne eine rechtliche Grundlage sei es laut DSGVO nicht erlaubt, personenbezogene Daten zu erheben – diese Tatsache schürt geradezu die Verunsicherungen, die diesbezüglich in Bildungsstätten entstehen. Alle Aufnahmemodalitäten sind hiervon sicherlich gedeckt. Doch was geschieht mit den Schulwebseiten? Oft wurden diese mit der Initiative von Elternbeiräten oder im Zusammenhang mit Projektgruppen entworfen. Was passiert mit Zeugnisnoten, Evaluationsbögen, Lehrerbefragungen oder Internetpublikationen der Schule – dürfen diese Daten veröffentlicht werden? Bereits an einer Datenschutzerklärung für die Schulwebseite schienen viele Verantwortliche zu scheitern. Die Gewerkschaften und Landesdatenschutzbeauftragten arbeiten deshalb tatkräftig daran, die DSGVO in den Schulen publik zu machen und praktische Hilfestellungen zu geben. Dennoch ist es in vielen Bereichen unklar, wie die datenschutzrechtlichen Vorgaben überhaupt umgesetzt werden können.

Ein Datenschutzbeauftragter ist Pflicht

Bildungsstätten wie Schulen haben nunmehr den Status als Verantwortliche und müssen laut Art. 39 DSGVO einen eigenen Datenschutzbeauftragten zur Verfügung stellen. Denn wie in der DSGVO unschwer zu erkennen ist, muss jede verantwortliche Stelle, die mehr als zehn Beschäftigte hat, welche regelmäßig mit der Verarbeitung personenbezogener Daten zu tun haben (und das haben Lehrer), einen solchen bestellen. Im Zweifel muss sich der ausgewählte Datenschutzbeauftragte vor den Landesdatenschutzbehörden verantworten, was voraussetzt, dass derjenige nicht „nur auf dem Papier“ verantwortlich ist, sondern seinen Job gewissenhaft erfüllt. Sowohl fachkundiger Rat als auch eine TÜV-Zertifizierung des Kollegen, der die Aufgabe übernimmt, können Ihnen viele Abmahnfallen ersparen. Sichern Sie sich unbedingt auch über regelmäßige Änderungen ab und verfolgen Sie die einschlägige Rechtsprechung! Möglich ist ebenfalls, dass diese Aufgabe von einem Benannten im Schulamt wahrgenommen wird, der bei jeder datenrelevanten Frage frühzeitig mit eingebunden werden muss.

Übrigens: Der Datenschutzbeauftragte ist zwar der genannte Verantwortliche, doch im Zweifel einer Schadensersatzforderung haftet dieser natürlich nicht selbst.

Ist ein Datenmissbrauch durch Zensur zu verhindern?

Die DSGVO sieht nunmehr ein Verzeichnis vor, in dem alle datenrelevanten Prozesse festgehalten werden müssen – dies ist unter anderem Aufgabe des Datenschutzbeauftragten. Welche Daten werden in Ihrer Einrichtung erhoben, wie lange speichern Sie personenbezogene Daten und welche Sicherheitsvorkehrungen haben Sie getroffen? Das erstellte Verzeichnis dient nicht nur der Kontrolle der Datenprozesse, sondern es weist außerdem nach, dass Sie Ihren Pflichten als verantwortliche Stelle nachkommen. Zeugnisse oder Daten von Kindern sind auf den Privatcomputern von Lehrern oder Erziehern nur dann erlaubt, wenn diese den hohen Datenschutzansprüchen genügen. Hilfe dazu gibt es beim zuständigen Kultusministerium oder bei der Gewerkschaft. Um geschwärzte Bilder zu vermeiden oder gar alle Zeugnisse von Hand schreiben zu müssen, hilft nur eins: Einwilligungen der Schüler und Eltern einholen und für Verschlüsselungen auf allen Geräten sorgen, die Daten verarbeiten. Insbesondere für den Internetauftritt der Schule ist eine Einwilligung unerlässlich und sollte unbedingt (auch nachträglich) erhoben werden.

Unser Tipp: Cloud-Systeme sind in der Regel nicht DSGVO-konform. Stattdessen eignen sich verschlüsselte USB-Sticks. Mit diesen können Sie die Daten auch auf Ihrem eigenen PC ansehen, ohne sie dort gespeichert zu haben.

Eltern und der Umgang mit den Rechten ihrer Kinder

Wegen des Rechts auf informationelle Selbstbestimmung gilt es vor allem personenbezogene Daten besonders zu schützen. Um sensible Daten davor zu bewahren, in falsche Hände zu gelangen, sollten diese bei entsprechenden Umständen löschbar sein. Die Daten Ihrer Kinder sollten Ihnen als Eltern und Erziehungsberechtigte am Herzen liegen, denn unter anderem für sie wurde die DSGVO verabschiedet. Informieren Sie sich über Ihre Rechte und die Ihrer Kinder und fragen Sie bei zuständigen Stellen nach, ob und welche Daten verarbeitet werden. Nutzen Sie unseren Ratgeber, um die Rechte Ihrer Kinder geltend zu machen, und prüfen Sie die Einwilligungen im Hinblick auf die aktuelle Rechtslage der DSGVO.