FAQ

Früher galt die E-Mail wie eine offene Postkarte. Ist das auch heute noch der Fall ? Die Mails werden doch verschlüsselt !

Für den Fall, dass Sie in den Kontoeinstellungen Ihres Mailprogramms die Portnummern für die Verschlüsselung/Entschlüsselung eingetragen haben, erfolgt der Transport (Sender ->Provider1 ->Provider2 ->Empfänger) in verschlüsselter Form. Bei den Providern und beim Empfänger liegen die Mails wieder im Klartext vor.
Also nur während des Transports kann die Mail zwar abgefangen aber nicht gelesen werden. Die Problemstelle liegt dann weniger beim Provider (Hacking unwahrscheinlich aber nicht unmöglich) als beim Empfänger.
Sie wissen nicht, wer die E-Mail abruft! (Gleiches galt übrigens auch für Fax-Geräte.)

Natürlich werden in einer Dienst-Mail personenbezogene Daten ausgetauscht. Z.B. Wer, wann und wo an einer Prüfung oder einer anderen Veranstaltung teilzunehmen hat.
Aber darum geht es gar nicht. Die entscheidende Frage ist immer: Kann den Betroffenen ein Schaden entstehen, wenn die Informationen von unbefugten gelesen werden? Immer, wenn diese Frage nicht eindeutig verneint werden kann, müssen entsprechende Maßnahmen erfolgen, dass die Informationen nicht von unbefugten gelesen werden können! --> Entweder verschlossener Brief (ggf. mit Einschreiben) oder Mail mit verschlüsseltem Inhalt.

Unabhängig von anderen Möglichkeiten sei hier auf das Packprogramm 7-Zip verwiesen. Mit ihm ist es möglich, einzelne Dateien oder auch ganze Ordner nicht nur zu komprimieren sondern auch mit unterschiedlichsten Verfahren sicher zu verschlüsseln. Diese verschlüsselte Datei können Sie dann in den Anhang der Mail legen.
iOS-Nutzer können kompatibel zur Windows-Welt mit iZip arbeiten.
Das Schlüsselwort sollten Sie aber auf einem anderen Weg mit dem Empfänger austauschen!

Datenschutzrechtlich relevant sind nur Inhalte, die personenbezogene Daten der Schülerinnen und Schüler enthalten. Derartige dienstliche Kommunikation über E-Mail kommt daher aus datenschutzrechtlicher Sicht nur über dienstliche E-Mail-Adressen in Betracht, die von der Schulleitung bzw. dem Schulträger bereitgestellt wurden.

Voraussetzung dafür ist allerdings, dass die Eltern bzw. die einwilligungsfähigen Schülerinnen und Schüler mit der E-Mail-Kommunikation einverstanden sind; denn die Angabe ihrer privaten E-Mail-Adresse ist nach der VO DV I freiwillig und jederzeit widerrufbar. In der Schulpraxis kann das Einverständnis auch konkludent erfolgen, indem Eltern sich z.B. mit Anfragen selber per E-Mail an die Schule wenden.

Unter der gleichen Voraussetzung können z.B. über LOGINEO NRW oder andere dienstlich zur Verfügung gestellte Systeme auch von Privatgeräten E-Mails mit personenbezogenen Daten versendet werden, wenn in dem System eine dienstliche E-Mail-Adresse zur Verfügung gestellt wird. Die Verarbeitung der Daten auf Privatgeräten unterliegt allerdings den dafür üblichen Bedingungen (Genehmigung) und ist auch bei der E-Mail-Kommunikation auf die in Anlage 3 zur VO DV I aufgelisteten Daten beschränkt.    
Soweit Lehrkräfte ihre privaten E-Mail-Konten mit Schülerinnen und Schülern oder Eltern kommunizieren, ist dies ihre persönliche Entscheidung, die einvernehmlich mit Eltern bzw. Schülerinnen und Schülern zu erfolgen hat. Diese Kommunikation fällt nicht in die datenschutzrechtliche Verantwortung der Schulleitung.

In welchen Fällen ist eine Einwilligung zur Datenverarbeitung erforderlich und was muss diese enthalten?

Immer dann, wenn eine bestimmte Verarbeitung von Schüler- oder Lehrerdaten nicht durch eine konkrete Rechtsgrundlage gestattet ist, ist eine Einwilligung der Betroffenen erforderlich. Für den Schulbereich bestimmen §§ 120 bis 122 SchulG i.V. mit der VO-DV I und VO-DV II, welche Datenverarbeitungen zulässig sind.       

Bei minderjährigen Schülerinnen und Schülern ist in der Regel die Einwilligung der Eltern erforderlich, es sei denn, sie können aufgrund ihres Alters und Reife in der konkreten Angelegenheit selbst Bedeutung und Tragweite der Einwilligung sowie ihrer rechtlichen Folgen beurteilen und danach entscheiden (vgl. § 120 Abs. 2 Satz 5 SchulG).        

Die Bedingungen für die vorherige Einwilligung in eine Datenverarbeitung ergeben sich aus Art. 4 Nr. 11 und Art. 7 DSGVO:    

• Die Einwilligung muss durch eine eindeutige Handlung der betroffenen Person erfolgen, mit der freiwillig und unmissverständlich erklärt wird, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Dies erfordert zwingend, dass die einwilligende Person zuvor über die beabsichtigte Datenverarbeitung ausreichend informiert wird, d.h. mindestens sind anzugeben: Verantwortliche Person, relevante Daten, Art/Prozess der Verarbeitung, Zweck, Speicherung, Löschung.

• Der betroffenen Person dürfen keine Nachteile entstehen, wenn sie die Einwilligung verweigert. Im schulischen Bereich sind wegen des Ungleichgewichts der Beteiligten (Schulverhältnis; Schulpflicht; Leistungsbewertungen) grundsätzlich hohe Anforderungen an die Freiwilligkeit der Entscheidung zu stellen. Nach Erwägungsgrund 42 DS-GVO sollte nur dann davon ausgegangen werden, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, sich frei von sozialem Druck oder Zwang für oder gegen die in Rede stehende Verarbeitung ihrer personenbezogenen Daten zu entscheiden.
   
• Die Erklärung kann schriftlich, mündlich oder elektronisch erfolgen. Die Erteilung der Einwilligung unterliegt grundsätzlich keinem Schriftformerfordernis. Etwas anderes gilt, wenn eine speziellere Rechtsvorschrift ein Schriftformerfordernis vorsieht. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit bedeuten noch keine Einwilligung.
   
• Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO). Die betroffene Person muss vor Abgabe der Einwilligung auf diese Möglichkeit des Widerrufs hingewiesen werden. Der Widerruf muss auf ebenso einfache Weise ermöglicht werden wie das Erteilen der Einwilligung.

• Dass eine wirksame Einwilligung für die Datenverarbeitung vorliegt, muss die bzw. der Verantwortliche nachweisen können. Deshalb ist die Schriftform zu empfehlen.

Generell ist zu bedenken: In den VO-DV I und VO-DV II ist spezifisch für den Schulbereich dezidiert geregelt, welche Datenverarbeitungen in Schule, Schulaufsicht etc. zulässig sind – eben ohne dass es hierfür auf eine Einwilligung der Betroffenen ankommt.

Für die grundlegenden schulischen Hauptaufgaben des Lehrens und Lernens sind Einwilligung daher nicht erforderlich. Die Erfüllung des Erziehungs- und Bildungsauftrags kann nicht von freiwilligen und jederzeit widerruflichen Einwilligungserklärungen abhängen.

Existiert ein Genehmigungsvordruck für datenschutzrechtliche Einwilligungen, z.B. zum Erstellen von Fotos in der Schule?

Da Anlässe und Verarbeitungszwecke in der Regel individuell sind, ist es nicht zweckmäßig, einen allgemeingültigen Vordruck für Einwilligungen zu entwickeln.

Erklär-Filme Datenschutz

Erklärvideos für einen sicheren digitalen Schulalltag

Neben den vielen Möglichkeiten, digitale Medien in die Schule zu bringen, steht für LehrerInnen oft die Frage im Raum, wie sicher die eingesetzte IT oder die gewählten Kommunikationswege sind. Dabei können LehrerInnen, die sich sicher im digitalen Schulalltag bewegen, ihr Wissen an KollegInnen weitergeben sowie den sicherheitsbewussten Umgang mit Geräten, Apps und Daten auch ihren SchülerInnen vorleben. Das BSI möchte sie dabei mit verständlichen Empfehlungen und Hilfestellungen unterstützen.