Datenschutz für Bildungsträger

Anforderungen an den Datenschutz für Bildungszentren, Bildungseinrichtungen, Schulen, Hochschulen und Kindergärten

Das Bundesdatenschutzgesetz und die DSGVO gelten für öffentliche und nicht öffentliche Stellen. Jedoch sind die Anforderungen an die Verarbeitung personenbezogener Daten aufgrund von gesetzlichen Regelungen für Bildungsträger und Bildungseinrichtungen wie Schulen oder Hochschulen, nicht zuletzt auch abhängig von der Struktur der Datenverarbeitung, sehr unterschiedlich. Daher bringen wir unser Know-how rund um das Thema Datenschutz für Bildungsträger in Ihre Branche ein.

Worauf Schulen, Hochschulen und Kindergärten achten müssen

Zum Bildungssektor gehören neben Schulen, Hochschulen, Kindergärten und unterschiedlichen Einrichtungen von Erwachsenenbildungen sowie Berufsschulen, Fachschulen, Museen, Bibliotheken und andere, teilweise private, Einrichtungen. Da so viele unterschiedliche Akteure hinzugezählt werden, diese wiederum als Verein, Unternehmen oder staatliche Institutionen auftreten können, ist eine Bewertung des Datenschutzes besonders komplex und nicht allgemein für alle festlegbar.

Besonderheiten im Datenschutz für Bildungsträger

Jedoch gelten für alle diese Einrichtungen übergeordnet die DSGVO und das Bundesdatenschutzgesetz, welche vor allem im schulischen Bereich durch die Landesgesetze meist umfangreich und mit diversen Besonderheiten ergänzt werden.

Verantwortlicher in Bildungseinrichtungen

Der Verantwortliche für den Datenschutz für Bildungsträger nach Art. 5 Abs. 7 DSGVO ist dafür zuständig, dass die gesetzlichen Vorgaben im Datenschutz umgesetzt und eingehalten werden. In Schulen wird i.d.R. der Schulleiter als Verantwortlicher gesehen, in nicht öffentlichen Institutionen ist dies in der Regel der Geschäftsführer oder der Vorsitzende, ähnlich wie in Unternehmen oder Vereinen.

Lesen Sie mehr zu Informationen zum Datenschutz in anderen Branchen

Haben Sie an alles gedacht?

  • Einsatz privater IT von Lehrkräften
  • Umgang mit Speichermedien
  • Digitales Klassenbuch
  • eLearning und Videokonferenzen
  • Datenschutzrechtlich korrekte Einwilligungen von Schülern
  • Aufbewahrungspflichten
  • Einsatz von Social Media

Datenschutzbeauftragter

Die Benennungspflicht eines Datenschutzbeauftragten richtet sich im Bildungssektor auch nach der Art der Institution. Für staatliche Bildungseinrichtungen gelten die Regelungen nach § 5 BDSG, wo eine allgemeine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Für privatwirtschaftliche Einrichtungen gilt § 38 BDSG, wo ein Datenschutzbeauftragter notwendig ist, soweit in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Ist der Datenschutzbeauftragte mit Kontrollfunktionen ausgestattet, sollte er nicht in Situationen kommen, in denen er sich selber kontrollieren muss oder ein Interessenskonflikt besteht.

Die Aufgaben eines Datenschutzbeauftragten für z.B. eine Ersatzschule umfassen:

  • Analyse des Ist-Zustandes der Einhaltung datenschutzrechtlicher Verpflichtungen
  • Schulung der Geschäftsführung, der Mitarbeiter der Schulverwaltung und der Buchhaltung zu den relevanten Themen des europäischen und nationalen Datenschutzrechts.
  • Schulung der pädagogischen Mitarbeiter
  • Unterstützung bei der Einführung eines Datenschutzmanagement-Systems.
  • Fortlaufende Kommunikation mit der Schule

Wesentliche Regelungen für Bildungseinrichtungen

Betroffenenrechte

Nach Art. 12 DSGVO muss der Verantwortliche geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen gemäß den Art. 13, Art. 14 und Art. 15 – 22 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Diese Informationen sind dem Betroffenen spätestens zum Zeitpunkt der Erhebung mitzuteilen.

Diese beinhalten u.a.:

  • Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten
  • Nennung der berechtigten Interessen, sofern sich die Verarbeitung auf diese bezieht
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  • Dauer der Speicherung
  • Nennung der Rechte, welche der Betroffene gegenüber dem Verantwortlichen ausüben kann
  • Ob eine Verpflichtung zur Bereitstellung der personenbezogenen Daten besteht und welche Folgen eine Nichtbereitstellung hat
  • automatisierten Entscheidungsfindung einschließlich Profiling
  • geeignete Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung an ein Drittland
  • aus welcher Quelle ggf. die personenbezogenen Daten stammen, wenn diese nicht bei der betroffenen Person erhoben wurden

Bei Verwendung von Papier-Formularen z.B. Aufnahmebogen für Schüler, müssen die genannten Informationen direkt im Formular enthalten, beigefügt oder als Link zum Abruf benennt sein.


Website

Auch wenn Schulen i.d.R. nicht von wettbewerbsrechtlichen Abmahnungen betroffen sind, müssen Sie Ihre Website gemäß den geltenden Bestimmungen nach DSGVO, TTDSG und TMG anpassen.


Melde- und Benachrichtigungspflicht

Auch für Schulen und andere Bildungseinrichtungen besteht eine Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen an die Datenschutzaufsichtsbehörde.


Fotos von Schülern

Die Veröffentlichung von Fotos von Schülerinnen und Schülern ist nur zulässig, wenn eine informierte, freiwillige Einwilligung von den Schülerinnen und Schülern bzw. von deren Eltern vorliegt. Die Einwilligung muss hierbei auf informierte Art und Weise für einen konkreten Zweck eingeholt werden, eine Pauschaleinwilligung für „Alles“ ist nicht rechtens.

Technische und organisatorische Maßnahmen

Jede Bildungseinrichtung muss die Sicherheit der von ihr verarbeiteten personenbezogen Daten durch geeignete technische und organisatorische Maßnahmen gewährleisten. Dazu zählen u.a.:

  • Zugriffskontrolle
  • das regelmäßige Erstellen von Back-ups
  • Pseudonymisierung
  • Verschlüsselung von personenbezogenen Daten
  • datenschutzfreundliche Voreinstellungen gem. Art. 25 DSGVO
  • Datenminimierung

Verarbeitungsverzeichnis

Die Umsetzung der Datenschutzgrundsätze muss für Verarbeitungstätigkeiten dokumentiert werden. Dies geschieht über das sogenannte Verarbeitungsverzeichnis nach Art. 30 DSGVO, welches das alte Verfahrensverzeichnis ersetzt. Bildungseinrichtungen müssen darin alle Vorgänge und Prozesse eintragen, bei denen personenbezogene Daten verarbeitet werden sowie unter anderem der Zweck der Verarbeitung, die Kategorie der Betroffenen und die Kategorie der personenbezogenen Daten. Zur Überprüfung der Rechtmäßigkeit der Verarbeitung bietet es sich an, das Verzeichnis um weitere Angaben, wie die Rechtsgrundlage der Verarbeitung, Datenempfänger oder eventuell hinzugezogene Auftragsverarbeiter (je Prozess) mit aufzunehmen. Das Verzeichnis muss fortlaufend aktualisiert werden. Die Verantwortung für das Führen des Verzeichnisses liegt bei dem Verantwortlichen, z.B. dem Schulleiter, welcher einzelne Aufgaben auch delegieren kann.


Datenschutz-Folgenabschätzung

Hat eine Verarbeitung von personenbezogenen Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten des Betroffenen zur Folge, ist vorab schriftlich eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durchzuführen.

Dies ist vor allem beim Einsatz neuer Technologien, wie Smart-Technology, Big Data, Tracking und Sicherheits- und Überwachungstechniken der Fall. Schulen müssen also bei der Einführung einer Videoüberwachung eine Datenschutz-Folgenabschätzung durchführen. Wird aufgrund dieser erkannt, dass die geplante Datenverarbeitung ohne entsprechende „Gegenmaßnahmen“ ein hohes Risiko zur Folge hätte, muss sie vor Beginn der Verarbeitung die Datenschutz-Aufsichtsbehörde konsultieren.


WhatsApp, Facebook, Social Media und Co.

Auch in Bildungseinrichtungen ist der Einsatz von WhatsApp oder die Kommunikation über Social Media Kanäle, z.B. durch Lehrkräfte bei der Kommunikation mit Schülern abzuraten. Unter keinen Umständen sollten über solche Dienste etwa schulbezogene, personenbezogene Daten ausgetauscht werden. Für Verantwortliche empfiehlt es sich hier dringend, entsprechende Richtlinien über den Einsatz solcher Dienste einzuführen.


Nutzen Sie das PRODATIS Datenschutz Branchen Know-how

PRODATIS hilft Ihnen mit der branchenspezifischen Erfahrungen, Haftungsrisiken zu vermeiden und bietet Ihnen darüber hinaus kompetente Unterstützung bei der Planung und Umsetzung Ihrer IT-Projekte. Gern führen wir auch Mitarbeiterschulungen gezielt für Ihre Bildungseinrichtung durch, um Ihre Mitarbeiter zum Thema Datenschutz zu sensibilisieren und Sie bei der Erfüllung Ihrer gesetzlichen Pflichten zu unterstützen. So unterstützen wir Sie bei der Einhaltung der gesetzlichen Vorgaben zur Verarbeitung, Sicherung und Archivierung Ihrer Daten einschl. Dokumentationen.

Zurück zur Branchenübersicht