© Bild von garyzinc1221 auf Pixabay | Löchrig wie ein Schweizer Käse: Websites von Schulen
Datenschutz an Schulen: Teil 1

Die Website der Schule: Löchrig wie ein Schweizer Käse

Fast jeder Internetauftritt einer Schule verstößt gegen die DSGVO: Entweder fehlt die Einwilligung der Besucher zur Nutzung externer Werkzeuge oder die Website ist nicht SSL-Verschlüsselt oder das Formular ist nicht datenschutzkonform.

Ich wage eine kühne Behauptung: Annähernd jeder digitale Außenauftritt einer Schule ist abmahnfähig. Sei es wegen externer Werkzeuge, Verarbeitung durch Kontaktformulare, fehlender Information nach Artikel 13 DSGVO (Informationspflichten) oder … Fast überall kann sich ein Fehler eingeschlichen haben oder eine Lücke unerkannt geblieben sein.

Website einer Schule

Die uniforme Datenschutzerklärung der Schulträger oder des schulischen Datenschutzbeauftragten zu nutzen reicht nicht aus, um sich in Sicherheit zu wiegen. Denn die Internetseite ist die Visitenkarte Ihrer Schule und soll nicht zum Eldorado von Abmahnanwälten oder Elterninitiativen werden. Deswegen sollte der Datenschutz des digitalen Außenauftritt Ihrer Schule auch mit höchster Priorität angegangen werden. Sie glauben, Ihr schulischer Datenschutzbeauftragter hat das schon erledigt? Na, dann müssen Sie ja nicht weiterlesen …

Fangen wir mit externen Werkzeugen an, denn die sind seit Mai 2019 wieder in der Diskussion. Viele Internetseiten nutzen externe Werkzeuge, um  ihren Außenauftritt ansprechender zu gestalten oder den Zugriff darauf zu messen. Spätestens seit die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ veröffentlicht hat, sollten sich Leiter von Schulen in staatlicher oder privater Trägerschaft über die Nutzung externer Werkzeuge auf ihrer Internetseite Gedanken machen.

Externe Werkzeuge

Dazu müssen Sie als Schulleiter zunächst einmal wissen, welche externen Werkzeuge die Schülerinnen und Schüler der Computer AG der schulischen Internetsite "spendiert" haben. Um das herauszufinden, durchsuchen Sie den Quellcode der Website mit https://builtwith.com/. Dort geben Sie neben dem Button „Lookup“ die Domain Ihrer Internetseite an (z. B. waldschule-musterstadt.de). Im Ergebnis sollten die Einträge zu den externen Werkzeugen

  • Google (Analytics | Conversion Tracking | Tag Manager)
  • Facebook (Sharer | Pixel | Domain Insights)
  • Yahoo Pixel
  • Optimizely
  • Infoline

dort nur erscheinen, wenn Sie vorab von den Besuchern Ihrer Internetsite eine explizite Einwilligung zur Nutzung dieser externen Werkzeuge eingeholt haben. Die Einbindung eines Cookie-Banners (mit OK-Button) ist übrigens keine explizite Einwilligung!

Falls die Einträge

  • Google Calendar
  • Google Font API
  • Google Maps
  • FontsAwesome
  • |reCAPTCHA
  • YouTube
  • Twitter

dort erscheinen, empfehle ich Ihnen einen Blick in die Datenschutzerklärung der schulischen Internetseite. Sind die externen Werkzeuge dort aufgelistet und wird über deren Nutzung informiert? Wird ein „berechtigtes Interesse“ als Rechtsgrundlage aufgeführt? Wenn das der Fall ist, ist alles in Ordnung.

Falls nein, sprechen Sie bitte ihren schulischen Datenschutzbeauftragten an – die Kontaktdaten sollten Sie ebenfalls in der Datenschutzerklärung finden. Ihr Datenschutzbeauftragter kennt Möglichkeiten, die rechtlichen Risiken zu reduzieren oder ganz abzustellen. Möglich ist das durch

  • durch die interne Einbindung von Schriftarten auf dem eigenen Server
  • eine klare Beschreibung der externen Werkzeuge nach Art. 13 DSGVO oder
  • die tatsächliche Einholung von Einwilligungen nach Art. 7 DSGVO

 

Kontaktformular 

Kommen wir zu Kontaktformularen: Viele schulischen Internetseiten nutzen Kontaktformulare. Zur Verarbeitung personenbezogener Daten mit Hilfe von Kontaktformularen benötigen Sie eine Rechtsgrundlage. Bei einfachen Kontaktformularen kommt dafür ein berechtigtes Interesse oder eine Einwilligung in Frage, wie im folgenden Beispiel eines Sonderpädagogischen Förderzentrums:

 

In diesem Formular sind mehrere Punkte nicht DSGVO-konform:

  1. Das Feld „Adresse“ ist zur Beantwortung der Anfrage nicht erforderlich. Es sollte nicht als Pflichtfeld erscheinen, besser sogar ganz wegfallen.
  2. Die Zwecke der Verarbeitung passen nicht zu dem Zweck des Formulars: „Abrechnung“ ist bei einem einfachen Kontaktformular einer Schule eher ungewöhnlich.
  3. Die „Datenschutzerklärung“ erscheint nicht, wenn der Verweis betätigt wird.

 

SSL-Verschlüsselung

Häufig sieht man auch Kontaktformulare ohne SSL-Verschlüsselung, also die Übertragung von personenbezogenen Daten im Klartext über das Internet. Diese Praxis ist bereits mehrfach abgemahnt worden.

Sogar viele der Schulen, die am Landesbildungsserver Baden-Württemberg angeschlossen sind, sind erstaunlicherweise noch nicht auf SSL umgestellt.

Die Einbindung eines SSL-Zertifikats ist eine der rechtlichen Voraussetzung (Art. 32 Abs. 1 DSGVO: Maßnahme nach Stand der Technik), um ein Kontaktformular weiterhin auf Ihrer Internetseite betreiben zu dürfen. SSL-Zertifikate erhalten Sie für kleines Geld (ca. 50 Euro pro Jahr) von Ihrem Internet-Provider. Es geht auch billiger bzw. kostenlos über eine kostenlose Zertifizierungsinstanz – da bleibt nur die Frage, wer Ihnen das Zertifikat einbindet.

Nachdem nun die Formular-Daten vom Nutzer zum Server sicher übertragen sind, kommt der nächste Punkt: Wie kommen die Formulardaten vom Server zu Ihnen, z. B. in den Posteingang des Schulsekretariats? Per E-Mail? Unverschlüsselt? Dazu passt folgendes Zitat des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit:

„Die Versendung von unverschlüsselten E-Mails, die personenbezogene Daten enthalten, insbesondere für Angehörige von Berufsgruppen, die auch einer strafrechtlich sanktionierten Schweigepflicht nach § 203 StGB (Anmerkung: Amtsträger) unterliegen, ist (…) nicht nur bedenklich, sondern stellt auch ein ungeeignetes Kommunikationsmittel dar.“

Beachten Sie also bitte, dass die Formulardaten auch vom Server zu Ihnen verschlüsselt übertragen werden. Auch hier ist die richtige Lösung individuell zu prüfen, da die Lösung auf Ihre schulischen Prozesse und das implementierte Formular passen muss.

Auf einen Blick: Tücken von Kontaktformularen

Zusammenfassend sollten Sie bei Kontaktformularen folgende „Sollbruchstellen“ vermeiden:

  • Nutzen Sie SSL für Ihre gesamte schulische Internetseite und alle angeschlossenen Angebote wie interne Bereiche, Lernplattformen, Servicebereiche etc.
  • Achten Sie auf Ende-zu-Ende-Verschlüsselung, auch vom Server zum Posteingang des Schulsekretariats.
  • Erheben Sie nur die Daten in Kontaktformularen, die Sie für den Zweck der Verarbeitung benötigen. Klassenbezeichnung, Adresse und die Anrede sind meist nicht nötig.
  • Nutzen Sie die richtige Rechtsgrundlage der Verarbeitung und informieren Sie die Internetnutzer angemessen.
  • Für Newsletter gibt es eigene Vorgaben (z. B. Double-Opt-In). Informieren Sie sich im Vorfeld darüber.

Informationspflichten gemäß DSGVO

Kommen wir zum letzten Punkt, den Informationspflichten nach Art. 13 DSGVO.

Am Ende müssen Sie die oben genannten Punkte in einer Information nach Art. 13 DSGVO zusammenfassen und diese auf jeder einzelnen Seite Ihre Internetauftritts mit einem direkten Verweis bereitstellen. Veröffentlichen Sie die sogenannte Datenschutzerklärung auf einer separaten Seite und nutzen Sie für das Impressum eine eigene Seite. Die Datenschutzerklärung sollten Sie von Ihrem Datenschutzbeauftragten erstellen und freigeben lassen.

Darüber hinaus müssen Sie diesen Informationspflichten auch in Bezug auf die von Ihnen genutzten Social-Media-Kanäle nachkommen, z. B. Facebook-Fanpages, Twitter, Instragram etc. Hier sind sowohl Ergänzungen in Ihrer Datenschutzerklärung als auch bei den Social-Media-Kanälen selbst notwendig. Dies im Detail hier auszuführen, würde diesen Blogartikel sprengen. Darüber hinaus ändert sich hier die Rechtslage auch ständig, weswegen eine permanente Beschäftigung mit dem Thema unabdingbar ist, um rechtliche Risiken zu reduzieren.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen

© Ingo Goblirsch | www.aixconcept.de

Annähernd jeder digitale Außenauftritt einer Schule ist abmahnfähig.