FAQ

Die §§ 120 bis 122 Schulgesetz bilden die grundlegenden Bestimmungen für die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern, Eltern und Lehrerinnen und Lehrern im Schulbereich. Diese bereichsspezifischen Regelungen sind zum Teil strenger als das allgemeine Datenschutzgesetz NRW. Sie gelten unabhängig davon, ob die personenbezogenen Daten auf herkömmliche Weise in Listen, Karteien oder Akten erfasst oder elektronisch verarbeitet sind. Die Einzelheiten der Datenverarbeitung werden durch Rechtsverordnungen umfassend geregelt. Diese sichern eine landeseinheitliche und für alle Betroffenen transparente Behandlung ihrer personenbezogenen Daten. Die Schulleiterin oder der Schulleiter ist für den Schutz der Daten und die Einhaltung der datenschutzrechtlichen Bestimmungen in der Schule verantwortlich.

Empfehlungen des Bundesarchivs zur Anwendung der
verschiedenen PDF/A-Versionen

Bei einer dauerhaften Aufbewahrung von digitalen Unterlagen empfiehlt das Bundesarchiv, diese
zum einen im Ausgangsformat und zum anderen soweit notwendig als originalgetreue Repräsenta-
tion in Form eines PDF/A-Dokuments aufzubewahren, um diese dauerhaft lesbar zu halten.

PDF/A-Dokumente lassen sich auf unterschiedlichen Wegen erzeugen:
- aus gescannten Vorlagen
- über eine direkte Konvertierung der Ursprungsdaten
- über einen Export aus dem Programm, mit dem das Ursprungsdokument erstellt wurde
- über einen Zwischenschritt, der aus einer PDF-Datei schließlich PDF/A erzeugt
- über Druckausgabeformate z.B. unter der Verwendung von PDF24 Creator

Die rechtliche Grundlage für die Aufbewahrung der Schulunterlagen in NRW ist die Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern.

§ 9
Aufbewahrung, Aussonderung, Löschung und Vernichtung der Dateien und Akten

(1) Für personenbezogene Daten, die nach dieser Verordnung in Dateien gespeichert oder in Akten aufbewahrt werden, gelten folgende Fristen:

Die Aufbewahrungsfristen beginnen mit Ablauf des Kalenderjahres, in dem die Akten oder Dateien abgeschlossen worden sind, jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.

(2) Sind die Daten nach Absatz 1 in öffentlichen ADV-Anlagen oder auf Datenträgern gespeichert, gelten die Aufbewahrungsfristen entsprechend. Für auf privaten digitalen Geräten gespeicherte Daten (§ 2 Absatz 2) beträgt die Aufbewahrungsfrist ein Jahr. Sie beginnt abweichend von Absatz 1 mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler von der Lehrerin oder dem Lehrer nicht mehr unterrichtet wird.

(3) Akten und Dateien, deren Aufbewahrungsfristen abgelaufen sind, sind mit Ausnahme der Dateien nach § 2 Abs. 2 dem zuständigen Archiv zur Übernahme anzubieten. Akten und Dateien, die nicht durch ein Archiv übernommen werden, sind zu vernichten oder zu löschen.

(4) Bei Schließung einer Schule bestimmt die zuständige Schulaufsichtsbehörde in Absprache mit dem Schulträger und der übernehmenden Schulleitung eine andere Schule, der die Pflichten nach Absatz 1 bis 3 übertragen werden. Ihr sind zu diesen Zwecken die Daten von der auslaufenden Schule zu übermitteln. Die Pflicht zur Aufbewahrung schließt das Sicherstellen der Rechte der betroffenen Personen (z.B. Einsichtnahme, Auskunft, Berichtigung) ein.

(5) Zur Führung der nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:

1. Name, Vorname und

2. Jahr der Beendigung des Schulverhältnisses.

Schülerinnen und Schüler sind berechtigt, bei Bedarf Einsicht in die sie betreffenden Unterlagen zu nehmen und Auskunft über die sie betreffenden Daten zu erhalten (§ 120 Abs. 9 SchulG). Dies beinhaltet auch das Recht, Kopien zu erhalten. Nach Art. 15 Abs. 3 DSGVO ist eine Kopie unentgeltlich zur Verfügung zu stellen. Diese Vorgabe der höherrangigen DSGVO gilt unmittelbar.

https://bass.schul-welt.de/17585.htm

https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_6.pdf

Welche Lehrerdaten Schulen, Schulaufsichtsbehörden, Studienseminare und das Landesprüfungsamt für Zweite Staatsprüfungen für Lehrämter an Schulen zu welchen Zwecken verarbeiten dürfen, ist in der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO-DV II)  festgelegt. Die genauen Datenkataloge und Verarbeitungszwecke sind in den Anlagen zur Verordnung konkretisiert. Die Verordnung selbst regelt auch Fälle der Datenübermittlung und bestimmt die Aufbewahrungs- und Löschungsfristen für Dateien und Akten. Sie enthält Vorgaben zur Datensicherheit und regelt die Auskunfts- und Berichtungsansprüche sowie das Akteneinsichtsrecht der betroffenen Lehrerinnen und Lehrer.

Welche Daten der Schülerinnen und Schüler sowie ihrer Eltern Schulen und Schulaufsichtsbehörden in Dateien oder Akten verarbeiten dürfen, ist in der Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I) festgelegt. Es handelt sich im Wesentlichen um Personaldaten wie Namen und Anschriften, bei Schülerinnen und Schülern auch um die Schullaufbahn- und Leistungsdaten, die in das Schülerstammblatt aufzunehmen sind. Die VO-DV I regelt unter anderem auch die Übermittlung von Daten an andere Stellen oder bei einem Schulwechsel und bestimmt die Fristen für die Aufbewahrung, Löschung und Vernichtung der Dateien und Akten. Beispielsweise müssen Zweitschriften von Abgangs- und Abschlusszeugnissen 50 Jahre aufbewahrt werden. Nur so können verlorengegangene Originale ersetzt werden. Die VO-DV I enthält Vorgaben zur Datensicherheit und regelt die Auskunfts- und Berichtigungsansprüche sowie das Akteneinsichtsrecht von Schülerinnen, Schülern und Eltern. Die Schule darf zeitlich unbefristet eine Schulchronik führen, in der u.a. die Namen und die letzte Anschrift der Schülerinnen und Schüler verzeichnet sind.

Die Rechtmäßigkeit der Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen ist an das Vorliegen der allgemeinen datenschutzrechtlichen Voraussetzungen, d.h. an die Einwilligung der Betroffenen, gekoppelt. Die Lehrkraft muss sicherstellen, dass Schülerinnen und Schülern, die einer Aufzeichnung nicht zustimmen, nachteilsfrei das erwartete Unterrichtsziel erreichen.

Erforderlich ist sowohl die Einwilligung der betroffenen Schülerinnen und Schüler
(§ 120 Abs. 6 SchulG) als auch die Einwilligung der Lehrkräfte (§ 121 Abs. 1 Sätze 3, 8 und 9 SchulG).

Näheres zu den Anforderungen an eine wirksame Einwilligung finden Sie oben unter "Erfordernis der Einwilligung zu bestimmten Datenverarbeitungen" in dieser FAQ-Liste.

Datenschutz an Schulen in NRW
Handreichung für Schulen

https://www.medienberatung.schulministerium.nrw.de/_Medienberatung-NRW/Publikationen/Datenschutz_Schulen_NRW_2019.pdf

https://www.ldi.nrw.de/datenschutz/medien-und-technik/websites-muster-fuer-datenschutzhinweise

Das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Auf diesen Seiten finden Sie offizielle Entschließungen, Orientierungshilfen und weitere Informationen zum Thema Datenschutz.

Was muss ich bei der Sicherung meiner Daten beachten?

Warum sollten wir unsere Daten regelmäßig sichern?

• Datenverlust durch falsche Bedienung.
• Datenverlust durch defekt der Festplatte (normaler Verschleiß, Überhitzung, Blitzschlag, starke Erschütterung).
• Datenverlust durch Diebstahl oder Verlieren des Geräts.

NAS-Systeme erfreuen sich in diesem Zusammenhang immer größerer Beliebtheit. In der Regel werden darin zwei Festplatten betrieben, die sich gegenseitig spiegeln (beide Platte haben den gleichen Inhalt). Geht eine Platte kaputt, Kann sie ohne Datenverlust (meist im laufenden Betrieb) durch eine neue ersetzt werden. Damit wird aber nur dem Datenverlust durch Verscleiß vorgrbeugt. Alle anderen Gefahren bleiben unberücksichtigt.

Die einfache und billige Alternative ist die externe Festplatte. Und bei den heutigen Speicherkapazitäten kann man auch auf eine Komprimierung der Dateien verzichten und 1:1-Kopien anfertigen. Diese Festplatte sollten Sie dann aber an anderer Stelle aufbewahen, sonst nimmt sie der Dieb auch gleich noch mit.

Für Programme, die auf externen Datenträgern (CD / DVD) vorliegen, müssen keine Datensicherungen vorgenommen werden.
Die anderen Daten, und das ist i.d.R. der weitaus größere Teil, sollten regelmäßig gesichert werden. In Abständen also, in denen der Verlust einiger weniger neu gespeicherter Daten zu verschmerzen ist.

Eine vollständige Kopie dauert meistens sehr lange (mehrere Stunden). Es ist sinnvoller nach einer ersten Sicherung immer nur solche Daten zu sichern, die nach dem letzten BackUp geändert worden oder hinzugekommen sind. Um dies zu realisieren benötigen Sie eine spezielle Sicherungssoftware.
Ich selbst habe seit Jahren mit Allway Sync beste Erfahrungen gemacht.

Auch die Datenorganisation hat einen Einfluss auf den Sicherungsaufwand. Am einfachsten ist es, wenn System und Programmdateien auf einer Festpatte liegen, die Arbeitsdaten auf einer zweiten (Partition).

LDI NRW – Digitaler Unterricht in Schulen

https://www.ldi.nrw.de/digitaler-unterricht-schulen-der-grundstein-ist-gelegt

Früher galt die E-Mail wie eine offene Postkarte. Ist das auch heute noch der Fall ? Die Mails werden doch verschlüsselt !

Für den Fall, dass Sie in den Kontoeinstellungen Ihres Mailprogramms die Portnummern für die Verschlüsselung/Entschlüsselung eingetragen haben, erfolgt der Transport (Sender ->Provider1 ->Provider2 ->Empfänger) in verschlüsselter Form. Bei den Providern und beim Empfänger liegen die Mails wieder im Klartext vor.
Also nur während des Transports kann die Mail zwar abgefangen aber nicht gelesen werden. Die Problemstelle liegt dann weniger beim Provider (Hacking unwahrscheinlich aber nicht unmöglich) als beim Empfänger.
Sie wissen nicht, wer die E-Mail abruft! (Gleiches galt übrigens auch für Fax-Geräte.)

Natürlich werden in einer Dienst-Mail personenbezogene Daten ausgetauscht. Z.B. Wer, wann und wo an einer Prüfung oder einer anderen Veranstaltung teilzunehmen hat.
Aber darum geht es gar nicht. Die entscheidende Frage ist immer: Kann den Betroffenen ein Schaden entstehen, wenn die Informationen von unbefugten gelesen werden? Immer, wenn diese Frage nicht eindeutig verneint werden kann, müssen entsprechende Maßnahmen erfolgen, dass die Informationen nicht von unbefugten gelesen werden können! --> Entweder verschlossener Brief (ggf. mit Einschreiben) oder Mail mit verschlüsseltem Inhalt.

Unabhängig von anderen Möglichkeiten sei hier auf das Packprogramm 7-Zip verwiesen. Mit ihm ist es möglich, einzelne Dateien oder auch ganze Ordner nicht nur zu komprimieren sondern auch mit unterschiedlichsten Verfahren sicher zu verschlüsseln. Diese verschlüsselte Datei können Sie dann in den Anhang der Mail legen.
iOS-Nutzer können kompatibel zur Windows-Welt mit iZip arbeiten.
Das Schlüsselwort sollten Sie aber auf einem anderen Weg mit dem Empfänger austauschen!

Datenschutzrechtlich relevant sind nur Inhalte, die personenbezogene Daten der Schülerinnen und Schüler enthalten. Derartige dienstliche Kommunikation über E-Mail kommt daher aus datenschutzrechtlicher Sicht nur über dienstliche E-Mail-Adressen in Betracht, die von der Schulleitung bzw. dem Schulträger bereitgestellt wurden.

Voraussetzung dafür ist allerdings, dass die Eltern bzw. die einwilligungsfähigen Schülerinnen und Schüler mit der E-Mail-Kommunikation einverstanden sind; denn die Angabe ihrer privaten E-Mail-Adresse ist nach der VO DV I freiwillig und jederzeit widerrufbar. In der Schulpraxis kann das Einverständnis auch konkludent erfolgen, indem Eltern sich z.B. mit Anfragen selber per E-Mail an die Schule wenden.

Unter der gleichen Voraussetzung können z.B. über LOGINEO NRW oder andere dienstlich zur Verfügung gestellte Systeme auch von Privatgeräten E-Mails mit personenbezogenen Daten versendet werden, wenn in dem System eine dienstliche E-Mail-Adresse zur Verfügung gestellt wird. Die Verarbeitung der Daten auf Privatgeräten unterliegt allerdings den dafür üblichen Bedingungen (Genehmigung) und ist auch bei der E-Mail-Kommunikation auf die in Anlage 3 zur VO DV I aufgelisteten Daten beschränkt.    
Soweit Lehrkräfte ihre privaten E-Mail-Konten mit Schülerinnen und Schülern oder Eltern kommunizieren, ist dies ihre persönliche Entscheidung, die einvernehmlich mit Eltern bzw. Schülerinnen und Schülern zu erfolgen hat. Diese Kommunikation fällt nicht in die datenschutzrechtliche Verantwortung der Schulleitung.

In welchen Fällen ist eine Einwilligung zur Datenverarbeitung erforderlich und was muss diese enthalten?

Immer dann, wenn eine bestimmte Verarbeitung von Schüler- oder Lehrerdaten nicht durch eine konkrete Rechtsgrundlage gestattet ist, ist eine Einwilligung der Betroffenen erforderlich. Für den Schulbereich bestimmen §§ 120 bis 122 SchulG i.V. mit der VO-DV I und VO-DV II, welche Datenverarbeitungen zulässig sind.       

Bei minderjährigen Schülerinnen und Schülern ist in der Regel die Einwilligung der Eltern erforderlich, es sei denn, sie können aufgrund ihres Alters und Reife in der konkreten Angelegenheit selbst Bedeutung und Tragweite der Einwilligung sowie ihrer rechtlichen Folgen beurteilen und danach entscheiden (vgl. § 120 Abs. 2 Satz 5 SchulG).        

Die Bedingungen für die vorherige Einwilligung in eine Datenverarbeitung ergeben sich aus Art. 4 Nr. 11 und Art. 7 DSGVO:    

• Die Einwilligung muss durch eine eindeutige Handlung der betroffenen Person erfolgen, mit der freiwillig und unmissverständlich erklärt wird, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Dies erfordert zwingend, dass die einwilligende Person zuvor über die beabsichtigte Datenverarbeitung ausreichend informiert wird, d.h. mindestens sind anzugeben: Verantwortliche Person, relevante Daten, Art/Prozess der Verarbeitung, Zweck, Speicherung, Löschung.

• Der betroffenen Person dürfen keine Nachteile entstehen, wenn sie die Einwilligung verweigert. Im schulischen Bereich sind wegen des Ungleichgewichts der Beteiligten (Schulverhältnis; Schulpflicht; Leistungsbewertungen) grundsätzlich hohe Anforderungen an die Freiwilligkeit der Entscheidung zu stellen. Nach Erwägungsgrund 42 DS-GVO sollte nur dann davon ausgegangen werden, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, sich frei von sozialem Druck oder Zwang für oder gegen die in Rede stehende Verarbeitung ihrer personenbezogenen Daten zu entscheiden.
   
• Die Erklärung kann schriftlich, mündlich oder elektronisch erfolgen. Die Erteilung der Einwilligung unterliegt grundsätzlich keinem Schriftformerfordernis. Etwas anderes gilt, wenn eine speziellere Rechtsvorschrift ein Schriftformerfordernis vorsieht. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit bedeuten noch keine Einwilligung.
   
• Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO). Die betroffene Person muss vor Abgabe der Einwilligung auf diese Möglichkeit des Widerrufs hingewiesen werden. Der Widerruf muss auf ebenso einfache Weise ermöglicht werden wie das Erteilen der Einwilligung.

• Dass eine wirksame Einwilligung für die Datenverarbeitung vorliegt, muss die bzw. der Verantwortliche nachweisen können. Deshalb ist die Schriftform zu empfehlen.

Generell ist zu bedenken: In den VO-DV I und VO-DV II ist spezifisch für den Schulbereich dezidiert geregelt, welche Datenverarbeitungen in Schule, Schulaufsicht etc. zulässig sind – eben ohne dass es hierfür auf eine Einwilligung der Betroffenen ankommt.

Für die grundlegenden schulischen Hauptaufgaben des Lehrens und Lernens sind Einwilligung daher nicht erforderlich. Die Erfüllung des Erziehungs- und Bildungsauftrags kann nicht von freiwilligen und jederzeit widerruflichen Einwilligungserklärungen abhängen.

Existiert ein Genehmigungsvordruck für datenschutzrechtliche Einwilligungen, z.B. zum Erstellen von Fotos in der Schule?

Da Anlässe und Verarbeitungszwecke in der Regel individuell sind, ist es nicht zweckmäßig, einen allgemeingültigen Vordruck für Einwilligungen zu entwickeln.

Erklär-Filme Datenschutz

Erklärvideos für einen sicheren digitalen Schulalltag

Neben den vielen Möglichkeiten, digitale Medien in die Schule zu bringen, steht für LehrerInnen oft die Frage im Raum, wie sicher die eingesetzte IT oder die gewählten Kommunikationswege sind. Dabei können LehrerInnen, die sich sicher im digitalen Schulalltag bewegen, ihr Wissen an KollegInnen weitergeben sowie den sicherheitsbewussten Umgang mit Geräten, Apps und Daten auch ihren SchülerInnen vorleben. Das BSI möchte sie dabei mit verständlichen Empfehlungen und Hilfestellungen unterstützen.

Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I)

Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer sowie des sonstigen Personals im Schulbereich (VO-DV II)

Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule

Datenschutz-Grundverordnung DSGVO 

Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)

Dürfen Lehrkräfte ihr Handy für die telefonische Kommunikation mit Eltern nutzen? 

Telefongespräche mit einzelnen Eltern von einem mobilen Telefon aus zu führen ist unproblematisch. Telefonnummern oder Namenslisten von Schülerinnen und Schülern und Eltern mit Kontaktdaten auf einem mobilen Handy zu speichern, bedarf dagegen der Einwilligung der Betroffenen, oder, sofern die Speicherung erforderlich ist, der Genehmigung der Schulleitung zur Nutzung dieses Gerätes für personenbezogene Schüler-/Elterndaten.

 Beim Betrieb einer Homepage sind u. a. die Vorgaben gem. § 5 Telemediengesetz (TMG, Impressumspflicht) sowie die Informationsrechte der Betroffenen zu beachten, die in der Datenschutzerklärung erfüllt werden. Bei Daten mit Personenbezug ist zu beachten, dass eine Veröffentlichung nur auf Grundlage einer Einwilligung erfolgen kann. Etwas anderes gilt nur, wenn entsprechende Veröffentlichungspflichten bestehen (z. B. Name der Datenverantwortlichen, Art. 13 Abs. 1 a) DSGVO; Geschäftsverteilungspläne/Organigramme mit Namen der Beschäftigten gem. § 12 IFG). (Weitere Informationen unter dem Reiter "Sonstige Fragen zum Datenschutzrecht an Schulen")

Datenschutzhinweise; Angaben zu Datenschutzbeauftragten                                 

Die oben genannte Informationspflicht gemäß Artikel 13 DSGVO besteht auch gegenüber Personen, die die Homepage von Schulen nutzen. Sofern auf der Homepage einer Schule Cookies, Besucherzähler, Fragebögen o.ä. eingerichtet sind und in der Schule somit Daten von Personen, die die Homepage besucht haben, verarbeitet werden, muss auch ein Hinweis erfolgen, ob und wie bei Zugriff auf das Homepageangebot personenbezogene Daten verarbeitet werden. Entsprechend der Zielsetzung der DSGVO, Transparenz im Umgang mit dem Daten zu erreichen, müssen Besucher der Webseite informiert werden, was im Hintergrund mit ihren Daten geschieht.           

Zudem ist nach Artikel 37 Absatz 7 DSGVO verpflichtend, die Kontaktdaten des bzw. der zuständigen schulischen Datenschutzbeauftragten zu veröffentlichen. Dazu eignet sich ebenfalls ein Hinweis auf der Homepage der Schule. Die Angabe der dienstlichen E-Mail-Adresse und der Telefonnummer ist ausreichend.

Auswahl und Einsatz digitaler Klassenbücher

Leitfaden: Schule datenschutzkonform aufstellen

Datenschutz Dokumentation

Grundsätzlich gibt es keine rechtliche Regelung, die Schulen sowie Lehrkräften die Verwendung von modernen Kommunikationsmedien wie WhatsApp ausdrücklich verbietet. Die Zulässigkeit der Datenverarbeitung und -speicherung ist vielmehr umfassend durch Gesetz, Verordnungen und Erlasse geregelt. Die Schulleitung steht in der Verantwortung für die Beachtung der Datenschutzbestimmungen. Nach diesen Vorgaben muss bei der dienstlichen Kommunikation an öffentlichen Schulen gewährleistet sein, dass der gewählte Kommunikationskanal die datenschutzrechtlichen Voraussetzungen erfüllt. Sofern personenbezogene Schülerdaten übermittelt werden, erfüllt WhatsApp diese datenschutzrechtlichen Voraussetzungen nicht. Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogene Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen. Den Schulen stehen bei Fragen die Medienberaterinnen und -berater vor Ort sowie die schulischen Datenschutzbeauftragten in den Schulamtsbezirken zur Seite.

Handreichung für Verantwortliche zum Abschluss einer Auftragsverarbeitungsvereinbarung mit Microsoft für den Einsatz von „Microsoft 365“

Was bedeutet der neue Datenschutz (die DSGVO) für Office 365?

Office 365 ist eine Sammlung von Werkzeugen zur Erstellung von Dateien. Für den Datenschutz relevant sind nur die personenbezogenen Daten, die in diesen Dateien gespeichert werden. Alle anderen Dateien bleiben vom Datenschutzrecht unberührt.
Das MSB hat für den Schulischen Bereich sowie für den Bereich der Ausbildung in den ZfsL die Speicherung personenbezogener Daten in einer Cloud untersagt (s Genehmigung für die Verarbeitung von personenbezogenen Daten, Teil B, Nr. 4). Damit ist z.B. die gemeinsame Bearbeitung eines AOSF-Gutachtens über OneDrive nicht möglich.

Zusammenfassung der Bewertung der aktuellen Vereinbarung zur
Auftragsverarbeitung

https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

Artikel aus https://www.heise.de

Frankreich verbietet kostenloses Microsoft 365 und Google Workspace an Schulen​.

https://www.heise.de/news/Frankreich-verbietet-kostenloses-Microsoft-365-und-Google-Workspace-an-Schulen-7347596.html

Von der Datenschutzkonferenz keine Entwarnung für MS365

https://news.datenschutz-schule.info/2022/11/25/von-der-datenschutzkonferenz-keine-entwarnung-fuer-ms365/

Dürfen Schulnoten vor der gesamten Klasse bekanntgegeben werden?

Grundsätzlich ist dies nicht zulässig: Die Bekanntgabe der Noten kann ebenso unter vier Au-
gen stattfinden; zur Orientierung der Schülerinnen und Schüler genügt ein Notenspiegel
(zahlenmäßiger Überblick über die Notenverteilung ohne Namensnennung). Aus pädagogi-
schen Gründen sind Ausnahmen nur in Einzelfällen denkbar, etwa bei einer besonderen Ver-
besserung einer Schülerin oder eines Schülers im Sinne einer Vorbildwirkung. Auch das Ein-
holen einer Einwilligung führt nicht zur Zulässigkeit des Verlesens der Noten im Unterricht.

Wie in der Vergangenheit auch, sind bei der Verarbeitung analoger Daten im häuslichen Umfeld die Vorgaben zum Datenschutz und der Datensicherheit zu beachten. Insbesondere muss sichergestellt sein, dass Dokumente mit Schülerdaten nicht unberechtigten Personen zugänglich sind. Wenn dies gewährleistet ist, steht auch der traditionellen Führung von Notenlisten auf Papier nichts im Wege.

siehe unter M: MS 365

Grundsätzlich gibt es keine rechtliche Regelung, die Schulen sowie Lehrkräften die Verwendung von modernen Kommunikationsmedien wie WhatsApp ausdrücklich verbietet. Die Zulässigkeit der Datenverarbeitung und -speicherung ist vielmehr umfassend durch Gesetz, Verordnungen und Erlasse geregelt. Die Schulleitung steht in der Verantwortung für die Beachtung der Datenschutzbestimmungen. Nach diesen Vorgaben muss bei der dienstlichen Kommunikation an öffentlichen Schulen gewährleistet sein, dass der gewählte Kommunikationskanal die datenschutzrechtlichen Voraussetzungen erfüllt. Sofern personenbezogene Schülerdaten übermittelt werden, erfüllt WhatsApp diese datenschutzrechtlichen Voraussetzungen nicht. Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogene Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen. Den Schulen stehen bei Fragen die Medienberaterinnen und -berater vor Ort sowie die schulischen Datenschutzbeauftragten in den Schulamtsbezirken zur Seite.

Nach § 2 Abs. 2 Satz 1 VO DV I ist nur zugelassen, dass Lehrkräften eine Genehmigung erteilt werden kann, personenbezogene Schülerdaten auf ihren privaten ADV-Anlagen zu verarbeiten. Nach der Definition im Schulgesetz fällt das pädagogische und sozialpädagogische Personal nach § 58 SchulG nicht unter den Begriff der Lehrkräfte. Eine solche Genehmigung kann diesem Personenkreis nach geltender Rechtslage somit nicht erteilt werden.
Auch für sonstiges Hilfspersonal (z. B. Integrationshelfer, externes Personal für die Ganztagbetreuung) fehlt eine gesetzliche Grundlage zur Verarbeitung der Schülerdaten auf Privatgeräten. Dazu wäre eine Einwilligung im Einzelfall im Rahmen des jeweiligen Vertragsverhältnisses erforderlich.

Eine Genehmigung ist für die Nutzung eines privaten Endgerätes einzuholen, sobald Daten mit Personenbezug auf diesem verarbeitet werden sollen (vgl. § 2 Abs. 2 Satz 1 VO DV I bzw. § 2 Abs. 4 VO DV II). Dieses gilt auch, wenn z. B. Webanwendungen mit personenbezogenen Daten nur aufgerufen werden; auch das reine Betrachten bzw. Lesen von Daten auf dem Bildschirm fällt bereits unter den Begriff der Datenverarbeitung.

Genehmigung
für die Verarbeitung von personenbezogenen Daten
aus der Schule
durch Lehrkräfte
zu dienstlichen Zwecken

Die Aufbewahrungsfrist für die auf privaten Endgeräten von Lehrkräften gespeicherten Daten beträgt ein Jahr. Sie beginnt mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler nicht mehr von der Lehrkraft unterrichtet wird (§ 9 Abs. 2 S. 2 u.3 VO DV I). Darunter fallen auch ggf. erstellte Backups. Sollten Daten über diese Frist hinaus gespeichert werden, so sind diese auf schulische Anlagen zu übertragen.

Ich habe mir einen neuen PC angeschafft. Was muss ich bei der Entsorgung des alten Rechners beachtnen?

Das Datenschutzproblem liegt in der Festplatte. Dort sind Ihre sensiblen Daten gespeichert.
Im Umgang mit dieser Festplatte gibt es mehrere Möglichkeiten:

• Wenn der alte PC entsorgt werden soll, können Sie die Festplatte ausbauen und als Datensicherung aufbewahren.
  Mit einem Leergehäuse können Sie daraus auch eine externe Festplatte mit USB-Anschluss machen.
  
  
• Wollen Sie sich auch von der Festplatte trennen, sollten Sie diese mechanisch unbrauchbar machen:
  • öffnen und die Plattenoberflächen zerkratzen
  • in einen Schraubstock spannen und zusammendrücken
  • mit der Bohrmaschine durchlöchern
  • mit dem Hammer bearbeiten.

• Wollen Sie den PC oder nur die Festplatte in andere Hände weitergeben, sollten Sie die Daten von der Festplatte entfernen.
  Ein einfaches Löschen oder eine Formatierung reicht nicht. Die Daten bleiben physisch erhalten, nur das "Inhaltsverzeichnis" wird so gelöscht. Die gespeicherten Daten sind nach wie vor vorhanden und können durch entsprechende Programme wiederhergestellt werden.
  Um die Daten wirklich zu löschen müssen die Daten auf der Festplatte überschrieben werden. Dies erledigen effektiv sogenannte Schredder-Programme.
  Das mehrfache Formatieren der Festplatte wird von Experten nicht als sicher angesehen.

Wenn mein PC defekt ist, was muss ich bei der Reparatur durch einen Techniker bezüglich der gespeicherten Daten beachten?

Ein defekter PC ist immer ein Ärgernis, die Vergabe des Reparaturauftrags eine Vertrauenssache.
Man ist auf der sicheren Seite, wenn alle sensiblen Daten, nicht nur die dienstlichen sondern auch die privaten, in verschlüsselten Ordnern liegen.
Andernfalls muss man wirklich darauf vertrauen, dass der Techniker nicht der Versuchung unterliegt und diese Daten ausspäht.
Seriöse Firmen klären darüber auf, in welchen Schritten eine Reparatur vorsich geht und welche Dateien auf der Festplatte davon betroffen sind. In der Regel sind das nur Dateien des Betriebssystems Treiberdateien oder Dateien der Anwendungsprogramme. Arbeitsdateien sind i.d.R. nicht betroffen.

Sollte jedoch die Festplatte defekt sein, ist es gut, wenn man auf eine Datensicherung zurückgreifen kann! Ansonsten sind die Arbeitsdaten, Familienfotos und Kindervideos verloren oder deren Rettung wird sehr kostspielig.

Wer erstellt die Dokumentation des Sicherheitskonzeptes? Wie muss eine solche Dokumentation aussehen?
Wer überprüft diese?

Das Sicherheitskonzept ist ein Katalog, der aufführt, wo sich überall personenbezogene Daten befinden und der Maßnahmen dokumentiert, mit denen die gespeicherten personenbezogenen Daten gegen Missbrauch und Verlust geschützt werden sollen.

Verantwortlich für dessen Erstellung ist die Leitung der jeweils verantwortlichen Stelle (Schulleiter/in ZfsL-Leiter/in).
Zusammen mit den Verzeichnissen der Verarbeitungsverfahren werden diese in den jeweiligen Stellen aufbewahrt und den Kontrollgremien (Dienstaufsicht, Behördlicher Datenschuztbeauftragter) auf Verlangen ausgehändigt.

mehr>>

Telefongespräche mit einzelnen Eltern von einem mobilen Telefon aus zu führen ist unproblematisch. Telefonnummern oder Namenslisten von Schülerinnen und Schülern sowie deren Eltern auf einem Smartphone zu speichern bedarf jedoch der Genehmigung der Schulleitung zur Nutzung des Endgerätes für die Verarbeitung personenbezogener Schüler-/Elterndaten.

Die Rechtmäßigkeit der Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen ist an das Vorliegen der allgemeinen datenschutzrechtlichen Voraussetzungen, d.h. an die Einwilligung der Betroffenen, gekoppelt. Die Lehrkraft muss sicherstellen, dass Schülerinnen und Schülern, die einer Aufzeichnung nicht zustimmen, nachteilsfrei das erwartete Unterrichtsziel erreichen.

Erforderlich ist sowohl die Einwilligung der betroffenen Schülerinnen und Schüler
(§ 120 Abs. 6 SchulG) als auch die Einwilligung der Lehrkräfte (§ 121 Abs. 1 Sätze 3, 8 und 9 SchulG).

Näheres zu den Anforderungen an eine wirksame Einwilligung finden Sie oben unter "Erfordernis der Einwilligung zu bestimmten Datenverarbeitungen" in dieser FAQ-Liste.

https://www.medienberatung.schulministerium.nrw.de/_Medienberatung-NRW/Publikationen/Datenschutz_Schulen_NRW_2019.pdf

Zum aktuellen Zeitpunkt können die folgenden Empfehlungen gegeben werden:

• Symmetrische Verschlüsselungsverfahren:
  AES-128, AES-192, AES-256
• Asymmetrische Verschlüsselungsverfahren:
  ECIES-250, min. DLIES-2000, min. RSA 2000, curve25519, cuve448

Programme die. das umsetzen sind beispielsweise 7-Zip, VeraCrypt oder Gpg4win.

 Empfehlungen finden sich auf den Seiten des Bundesamt für Informationssicherheit (BSI)

Verschwiegenheitserklärung Muster

Verzeichnis der Verarbeitungstätigkeiten - Teil II - Referenz

Verzeichnis der Verarbeitungstätigkeiten - Teil I - Schule

Verzeichnis von Verarbeitungstätigkeiten  Logineo

Unter https://www.schulministerium.nrw/fragen-und-antworten-zum-datenschutz  findet sich folgende Aussage:

"Videoüberwachungen von öffentlich zugänglichen Räumen, zu denen auch Schulgebäude und Schulhöfe zählen, sind nur innerhalb der engen datenschutzrechtlichen Grenzen des § 20 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) zulässig:
SGV § 20 Videoüberwachung | RECHT.NRW.DE
https://dsgvo-gesetz.de/art-13-dsgvo
In Wahrnehmung des Hausrechts könnte eine Videoüberwachung in Betracht kommen, wenn sie erforderlich ist, um Personen, die sich im öffentlich zugänglichen Bereich des Schulgebäudes oder auf dem Schulgelände aufhalten, vor Gefahren für Leib und Leben zu schützen oder um erhebliche Eigentumsbeeinträchtigungen, insbesondere nach Ende des regulären Unterrichtbetriebs, zu verhindern.Ob eine Videoüberwachung im Einzelfall erforderlich ist, muss jeder Schulträger in eigener Zuständigkeit im Dialog mit der Schule vor Ort entscheiden. Dabei ist stets die gesetzliche Regelung des § 20 DSG NRW zu beachten, wonach eine umfassende Interessenabwägung im Sinne einer Verhältnismäßigkeitsprüfung erfolgen muss. Zudem ist gemäß § 20 Abs. 2 DSG NRW auf die Videobeobachtung deutlich hinzuweisen und es sind die in dieser Vorschrift genannten Informationspflichten zu erfüllen."   

Sind für Apple-Geräte (MAC-OS, iOS) Virenschutzprogramme notwendig?

Durch die geschlossene Architektur der Betriebssysteme von Apple und den Bezug von Programmen ausschließlich über den App Store sind Apple-Geräte vor Viren relativ sicher. Auch die, im Vergleich zu Microsoft und Android, geringe Verbreitung macht Apple-Geräte als Angriffsziele uninteressant.
Ein Virenbefall ist unwahrscheinlich aber nicht unmöglich. Mails, Dropbox und andere Dateiaustauschwege bieten dafür reichlich Gelegenheit.

Obwohl Apple einen erstaunlichen Schutz gegen gängige Sicherheitsbedrohungen bietet, können sich fest entschlossene Cyberkriminelle dennoch einen Weg in Apple-Geräte bahnen.

Hier sind einige Top-Tipps, um die Sicherheit Ihres Macs zu erhöhen:

• Vermeiden Sie das Öffnen von Spam-E-Mails und Anhängen.
• Laden Sie keine fragwürdigen Dateien herunter.
• Erstellen Sie regelmäßige System-Backups (Time Machine).
• Installieren Sie die neuesten Betriebssystem- (OS) und Anwendungs-Updates.
• Verwalten Sie Ihre Daten gewissenhaft.

Wie sie sich schützen können:

MAC-OS

iOS

Darf ich mit Schülern und Eltern über WhatsApp oder Facebook Kommunizieren?

Die Medienberatung NRW schreibt dazu in ihrer Bröschüre "Social Media und Schule":

Unsere SV nutzt mitunter Instagramm und Facebook.  Darf die SV diese Portale nutzen?  Sind Auftragsverarbeitungsverträge nötig?

Das Wesen sozialer Netzwerke ist die Verbreitung personenbezogener Daten. Wenn Schüler privat diese Medien nutzen, liegen die Folgen in ihrer eigenen Verantwortung (bzw. in der Verantwortung der Erziehungsberechtigten).
Wenn dieselben Schüler dies als SV-Mitglied machen, liegt dies in der Verantwortung der Schulleitung, in deren Auftrag die SV ja als Mitbestimmungsorgan handelt. Egal, was in den Facebookeinträgen steht, verantwortlich ist die Schulleitung. Insbesondere trifft das auf Instagram zu. In wieweit sind die urheber- und datenschutzrechtlichen Regelungen bei der Veröffentlichung eines Bildes berücksichtigt worden? Verantwortlich und haftbar ist die Schulleitung.

Es ist also sehr gut zu überdenken, in welchem Umfang und unter welchen Bedingungen die SV diese Medien nutzen sollte.

Es ist Lehrkräften derzeit davon abzuraten, zur Kommunikation mit Schülerinnen und Schülern die Dienste von WhatsApp, Facebook und Instagram zu nutzen.

Keinesfalls dürfen schulbezogene, personenbezogene Daten über diese Dienste ausgetauscht werden.

Es empfiehlt sich für Schulen, Social Media Richtlinien zu erstellen, die von allen Beschäftigten anzuwenden sind. Dazu können auch Alternativen zu WhatsApp zählen.
Für die Schulen sind eine ganze Reihe von Messengern entwickelt worden. Zu empfehlen sind hier folgende Alternativen:

• Schul.cloud        (in der Grund Version kostenfrei, einmalige Registrierung der Bildungseinrichtung notwendig)
• Threema           (aus der Schweiz, kostenpflichtig, anonym nutzbar)
• Signal               (kostenfreier Open Source Messenger aus den USA, non Profit Organisation, mit Empfehlung von Edward Snowden)

siehe auch >>

In der VO-DV I, §2, Abs.2 ist von einem "angemessenen technischen Zugangsschutz" die Rede.
Gibt es eine Definition von "angemessen" ?

Das Bundesverfassungsgericht definiert:
Das Handeln ist angemessen, wenn bei einer Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht und der Dringlichkeit der ihn rechtfertigenden Gründe die Grenze der Zumutbarkeit gewahrt bleibt. (Quelle: BVerfGE 83, 1, 19.)

Im Kontext des "angemessenen technischen Zugangsschutzes" bedeutet dies:
Der Zugangsschutz ist angemessen, wenn es der Person möglich und zumutbar ist entsprechende technische Handlungen auszuführen.
Im Speziellen sind hier gemeint:

•     Das verschließen von Räumen bei Abwesenheit.
•     Die Freischaltung eines PC-Benutzerkontos durch ein Passwort (oder andere Sicherheitsabfragen).
•     Die Aktivierung eines Time-Out`s nach x Minuten Inaktivität.
•     Die Nutzung einer Firewall.
•     Die Nutzung eines Virenschutzprogramms.
•     Die Nutzung eines Verschlüsselungsprogramms.

Ich möchte von meinen Lehramtsanwärten die privaten Telefonnummern, E-Mail-Adressen u.s.w. speichern.
Darf ich das, wenn ich von den betroffenen Personen die Einwilligung dafür habe?

Diese Frage beantwortet Artikel 7 der Datenschutz-Grundverordnung.

Aber, die Anforderung der Freiwilligkeit steht der Umstand der Abhängigkeit gegenüber.
Ist die Zustimmung noch freiwillig, wenn der Betroffene bei Ablehnung Nachteile für sich (z.B. in der Beurteilung seiner Arbeit) befürchtet. Dabei ist es unerheblich, ob die Befürchtung berechtigt oder unberechtigt ist. Im Streitfall könnte dies der Punkt sein, an dem Sie unterliegen.