© AixConcept | www.aixconcept.de
Interview „Datenschutz an Schulen“

Der Datenschutzbeauftragte Ingo Goblirsch zum Datenschutz an Schulen

einfachdigitallernen.de hat den externen betrieblichen Datenschutzbeauftragten und Berater für Datenschutz und Informationssicherheit Ingo Goblirsch LL.M. über den Stand des Datenschutzes an Schulen und den sich daraus ergebenden Handlungsbedarf interviewt.

Schulen müssen die Anforderungen des Datenschutzes besonders ernst nehmen: Die Eltern der Schülerinnen und Schüler vertrauen darauf, dass die Daten ihrer Kinder sicher sind. In der Praxis ist dies oft nicht der Fall: Schulen veröffentlichen Fotos vom letzten Schwimmwettbewerb ihrem Facebook-Auftritt, erheben Gesundheitsdaten ohne Einwilligung der Eltern oder ihr Internetauftritt ist abmahnfähig, weil er den Datenschutzbestimmungen nicht entspricht.

einfachdigitallernen.de hat den externen betrieblichen Datenschutzbeauftragten und Berater für Datenschutz und Informationssicherheit Ingo Goblirsch LL.M. über den Stand des Datenschutzes an Schulen und den sich daraus ergebenden Handlungsbedarf interviewt.

 

Wieso ist es wichtig, das Thema Datenschutz an Schulen in den Fokus zu rücken?

Ingo Goblirsch: Schulen verarbeiten die Daten besonders schutzwürdiger Personen, nämlich ihrer Schülerinnen und Schüler, die zumeist noch minderjährig sind. Dabei sind die Schülerinnen und Schüler ebenso wie die Eltern in einem Abhängigkeitsverhältnis. Auch die Mitglieder des Kollegiums sind als Beamte von ihrem Dienstherrn abhängig, daher sind ihre Daten im selben Maß schützenswert.

Laut DSGVO besteht bei diesen Personengruppen ein besonders hoher Grad an Schutzwürdigkeit.

 

Wer ist für die Umsetzung der Datenschutzvorgaben an Schulen verantwortlich: der Schulträger, die Schule, die Aufsichtsbehörde oder der Datenschutzbeauftragte?

Ingo Goblirsch: Verantwortlich für die Datenverarbeitung ist die Schule in Person der Schulleitung, da diese „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der benannte Datenschutzbeauftragte unterstützt die Schulleitung bei der Umsetzung der datenschutzrechtlichen Vorgaben, zum Beispiel durch Beratung oder Schulung. 

Wichtig ist, dass die Schulleitung nicht nur zuständig für die Einhaltung der Vorgaben zum  Datenschutz ist, sondern sie muss die Einhaltung auch jederzeit nachweisen können.

Wie steht es aus Ihrer Sicht denn um die Einhaltung des Datenschutzes an den Schulen?

Ingo Goblirsch: Diese Frage kann ich aus zwei Perspektiven beantworten: Als Vater zweier schulpflichtiger Kinder erlebe ich durchaus, dass sich die Schulleitung bemüht, datenschutzkonform zu handeln. So wurden passgenaue Einwilligungen im Vorfeld eingeholt oder die Eltern wurden über die Verarbeitung der Daten informiert.

Wesentlich mehr Luft nach oben sehe ich in meiner täglichen Praxis als Berater für Datenschutz und Informationssicherheit an anderen Schulen: Es gibt Webseiten mit Artikeln und Fotos zu Schwimmwettbewerben an der Schule, ohne Einwilligung der Eltern. Ebenfalls ohne Rechtsgrundlage erfassen Lehrkräfte per App Gesundheitsdaten und Fotos von Schülerinnen und Schülern. Instant Messaging oder unsichere eMail werden für die Kommunikation personenbezogener Daten zwischen Lehrerinnen und Eltern genutzt. Das Schulsekretariat nutzt offene Mailverteiler oder ist das Einfallstor für Verschlüsselungstrojaner. USB-Sticks mit sensiblen Daten wie den Anmeldedaten der Erstklässler werden verloren. Ganz fehl am Platz ist oft die uniforme, unpassende Datenschutzerklärung für den Internetauftritt der Schule, die vom behördlichen Datenschutzbeauftragten aufgesetzt wurde …

Die meisten Defizite können durch Information und Unterstützung behoben werden. Einige sind aber so gravierend, dass sofort Gegenmaßnahmen ergriffen werden müssen, um die rechtlichen Risiken für die Schulleitung aus dem Weg zu räumen.

 

Nach Ihrer Erfahrung: Welches sind die dringendsten Herausforderungen für den Datenschutz an Schulen?

Ingo Goblirsch: Schulen sollten schrittweise und risiko-orientiert vorgehen. Wenn sie direkt alles auf einmal umsetzen wollen, scheitert das Vorhaben meist. Beginnen würde ich mit einer Bestandsaufnahme der Verarbeitungstätigkeiten, dem sogenannten „Verzeichnis von Verarbeitungstätigkeiten“.

Auf Basis dieses Verzeichnisses kann die Schulleitung entscheiden, wo die Risiken für die Rechte der Betroffenen am größten sind. Dies können zum Beispiel Kommunikationsverfahren zwischen Eltern, Lehrern und der Schule sein oder Anmeldeverfahren für Neuanmeldungen, die Cloud-Speicherung von Schüler- und Lehrerdaten oder die Verarbeitung von Gesundheitsdaten für Schulausflüge usw.

Als erstes müssen nun diese Verarbeitungen datenschutzkonform gestaltet werden. Dafür werden die Rechtsgrundlage der Verarbeitung geklärt, die Informationspflichten erfüllt und technisch-organisatorische Maßnahmen etabliert.

Alle diese Punkte werde ich in meiner Blog-Reihe auf einfachdigitallernen.de ausführlich behandeln. Dabei beginne ich mit dem praktischen Beispiel des Internetauftritts von Schulen. Es folgen Beiträge zum Verzeichnis von Verarbeitungstätigkeiten und der Festlegung des Risikos für die Betroffenen, danach zu den Rechtsgrundlagen der Verarbeitung, den Informationspflichten usw.

 

Wieso nutzen Sie das Online-Magazin einfachdigitallernen.de von AixConcept für diese Artikelreihe?

Als externer betrieblicher Datenschutzbeauftragter und Berater für Datenschutz und Informationssicherheit arbeite ich für diverse Unternehmen, auch für AixConcept. Aus diesem Kontakt heraus entstand die Idee einer herstellerunabhängigen Blogreihe zum Thema „Datenschutz an Schulen“.

 

Anmerkung der Redaktion:

Die Blogreihe „Datenschutz an Schulen“ wird in den nächsten Wochen in lockerer Folge an dieser Stelle veröffentlicht. Abonnieren Sie die Blogreihe , um immer als erste(r) auf dem Laufenden zu sein!

© Ingo Goblirsch

Schulen sollten schrittweise und risiko-orientiert vorgehen.

Ingo Goblirsch, Datenschutzbeauftragter