Ist die DSGVO nun auch in Kindergärten und Schulen ein Thema?

Die Datenschutzgrundverordnung verunsichert nicht nur Unternehmen – auch Kindertagesstätten und Schulen sind seitdem besorgt. Wieso Bilder zensiert und Zeugnisse von Hand geschrieben werden müssen und ob das wirklich so bleibt.

Was geschieht mit Fotos, Noten und den Schul-Webseiten? Schreckensmeldungen von handgeschriebenen Zeugnissen und durchweg zensierten Kindergartenfotos haben die Öffentlichkeit in den letzten Wochen beschäftigt. Aber was ist wirklich zwingende Gesetzeslage mit der DSGVO und welche Pflichten treffen Schule, Kindergarten & Co.? Wir wissen Bescheid und erklären es Ihnen!

Schulen gelten als Verantwortliche im Sinne der DSGVO

Jede Einrichtung, die Daten verarbeitet, gilt im Sinne des Art. 4 DSGVO als Verantwortliche. Das gilt für Schulen, Lehranstalten, Hochschulen und Kindergärten gleichermaßen. Dennoch ermöglicht die DSGVO über eine Öffnungsklausel, dass das bereichsspezifische Datenschutzrecht für den Schulbereich auf Länderebene weiterhin geregelt werden kann. Entsprechend wurden nahezu alle Landesschulgesetze bereits geändert. Dennoch müssen die datenschutzrechtlichen Grundsätze der DSGVO neuerdings von den Schulen nachweisbar umgesetzt werden.

In Bildungsstätten wird eine Vielzahl personenbezogener Daten erhoben

Ursache der Verunsicherung in Bildungsstätten ist vor allem der klarere Hinweis der DSGVO, dass die Erhebung und Verarbeitung von personenbezogenen Daten grundsätzlich nicht erlaubt ist – es sei denn, es gibt eine rechtliche Grundlage dafür. Gedeckt davon sind mit Sicherheit alle Aufnahmemodalitäten.

Aber was ist mit den bisherigen Schul-Webseiten, die vielleicht sogar in Eigeninitiative von Elternbeiräten oder Schulprojektgruppen entstanden sind? Was ist mit Zeugnisnoten, Evaluationsbögen, Lehrerbefragungen oder Internetpublikationen der Schule? Bereits an einer Datenschutzerklärung für die Schul-Webseite schienen viele Verantwortliche zu scheitern.

Die Gewerkschaften und Landesdatenschutzbeauftragten arbeiten deshalb tatkräftig daran, die DSGVO in den Schulen publik zu machen und praktische Hilfestellungen zu geben. Dennoch ist vielen Bereichen unklar, wie die datenschutzrechtlichen Vorgaben überhaupt umgesetzt werden können.

Problem: einen Datenschutzbeauftragten bestellen

Eine große Herausforderung ist, dass die Schulen durch ihren Status als Verantwortliche nun einen eigenen Datenschutzbeauftragten (DSB) stellen müssen, Art. 39 DSGVO. Jede verantwortliche Stelle, die mehr als zehn Beschäftigte hat, die regelmäßig mit der Verarbeitung personenbezogener Daten zu tun hat (und das haben Lehrer), ist verpflichtet, einen DSB zu bestellen.

Die Auswahl des DSB muss im Zweifel vor den Landesdatenschutzbehörden gerechtfertigt werden, daher sollte das niemals ein Job sein, der „nur auf dem Papier“ besteht. Fachkundiger Rat, vielleicht sogar eine TÜV-Zertifizierung des Kollegen, der die Aufgabe übernimmt, ist ein Muss.

Sichern Sie sich unbedingt auch über regelmäßige Auffrischungen ab und verfolgen Sie die einschlägige Rechtsprechung! Möglich ist ebenfalls, dass diese Aufgabe mittels eines Benannten im Schulamt wahrgenommen wird, der bei jeder datenrelevanten Frage frühzeitig mit eingebunden werden muss.

Übrigens: Der Datenschutzbeauftragte haftet natürlich nicht selbst, muss aber in der Datenschutzerklärung benannt werden!

Ist Zensur jetzt die Lösung?

Eine weitere wichtige Änderung mit Inkrafttreten der DSGVO ist, dass der Datenschutzbeauftragte ein Verzeichnis anlegen muss, in dem alle datenverarbeitenden Prozesse festgehalten werden. Welche Daten erhebt Ihre Einrichtung, wie lange werden sie gespeichert, und welche Sicherheitsvorkehrungen haben Sie? Dieses Verzeichnis dient dem Nachweis, dass Sie Ihren Pflichten als verantwortliche Stelle nachkommen. Das bedeutet auch, dass Zeugnisse oder Daten von Schülern bei Erziehern auf den Privatcomputern nur erlaubt sind, wenn diese dem hohen Datenschutzanspruch genügen.

Hilfe dazu gibt es beim zuständigen Kultusministerium oder bei der Gewerkschaft. Um geschwärzte Bilder zu vermeiden oder gar alle Zeugnisse von Hand schreiben zu müssen, hilft nur eins: Einwilligungen der Schüler und Eltern einholen und für Verschlüsselungen auf allen Geräten sorgen, die Daten verarbeiten. Insbesondere für den Internetauftritt der Schule ist eine Einwilligung unerlässlich und sollte unbedingt (auch nachträglich) eingeholt werden.

Unser Tipp: Verzichten Sie auf cloudbasierte Systeme, diese sind häufig nicht DSGVO-konform. Stattdessen eignet sich ein verschlüsselter USB-Stick, mit dem Sie die Daten auch auf dem eigenen PC ansehen können, ohne sie dort gespeichert zu haben.

Eltern machen Rechte ihrer Kinder geltend

Personenbezogene Daten sind besonders schützenswert, denn sie garantieren das Recht auf informationelle Selbstbestimmung. Wer weiß, welche sensiblen Daten gespeichert werden, der kann auch dafür sorgen, dass sie gelöscht werden und nicht in falsche Hände geraten. Als Eltern und Erziehungsberechtigten sollten Ihnen die Daten Ihrer Kinder am Herzen liegen – denn für sie wurde die DSGVO verabschiedet!

Machen Sie sich mit Ihren Rechten vertraut und fragen Sie bei zuständigen Stellen nach, ob und welche Daten verarbeitet werden. Nutzen Sie unseren Ratgeber, um die Rechte Ihrer Kinder geltend zu machen, und prüfen Sie die Einwilligungen im Hinblick auf die aktuelle Rechtslage der DSGVO.