20. Februar 2020

FAQ DSGVO der Landesschulbehörde

News

Diese Liste enthält Fragen und kurze Antworten rund um das Thema Datenschutz. Bei weiteren Fragen oder für ergänzende Ausführungen wenden Sie sich bitte an die zuständigen Dezernenten für Datenschutz in den jeweiligen Regionalabteilungen.
Stand: 01.10.2019

Abkürzungen:

NDSG – Niedersächsisches Datenschutzgesetz

NSchG – Niedersächsisches Schulgesetz

DSGVO – Datenschutzgrundverordnung

I. Allgemeines:

1. Welche Vorschriften sind anzuwenden NDSG oder DSGVO?

Seit dem 25.05.2018 ist für Schulen als öffentliche Stellen die DSGVO
unmittelbar anzuwenden. Ergänzt werden die Regelungen der DSGVO durch
das am 16.05.2018 verabschiedete neue NDSG. Relevant sind für Schulen
lediglich die Teile 1 und 3. Als bereichsspezifisches Recht findet das Niedersächsische Schulgesetz  – hier insbesondere § 31 NSchG – Anwendung.

2. Müssen öffentliche Schulen eine/n Datenschutzbeauftragte/n bestellen?

Ja, dieses Erfordernis ergibt sich aus Artikel 37 Abs. 1 a) DSGVO.

Beachten Sie, dass die Kontaktdaten des/r Datenschutzbeauftragten
veröffentlicht werden müssen und eine Mitteilung an die
Landesbeauftragte für den Datenschutz Niedersachsen erfolgen muss, Art.
37 Abs. 7 DSGVO. Die Landesbeauftragte für den Datenschutz bietet
hierfür einen Online-Service an. Das Meldeportal ist unter folgender
Adresse erreichbar: nds.dsb-meldung.de

Sofern vorhanden, kann die Veröffentlichung auf der schuleigenen
Homepage mittels Nutzung einer Funktionsadresse wie z.B.
Datenschutz@musterschule.de erfolgen.

3. Bestehen Haftungsrisiken für den Datenschutzbeauftragten?

Für einen schulischen Datenschutzbeauftragten gelten die Grundsätze
des innerbetrieblichen Schadensausgleichs. D.h. bei einer zu vertretenen
Pflichtverletzung haftet er/sie grds. nur bei Vorsatz (Absicht) oder
grober Fahrlässigkeit (Verletzung der im Verkehr erforderlichen Sorgfalt
in besonders schwerem Maße, d.h. naheliegenste
Überlegungen wurden nicht angestellt und es wurde nicht beachtet, was im
gegebenen Fall jedem eingeleuchtet hätte).

4. Wer trägt die Verantwortung für die Verarbeitung von personenbezogenen Daten in der Schule?

Der Schulleiter ist für die Einhaltung der Vorschriften bezüglich der
Verarbeitung personenbezogener Daten in der Schule verantwortlich (vgl.
§ 43 Abs. 2 Satz 2 NSchG).

5. Besteht ein Haftungsrisiko für den Verantwortlichen?

Es gelten die Ausführungen zu Frage 3.

6. Was sind personenbezogene Daten?

Das sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf
eine identifizierte oder identifizierbare natürliche Person (sogenannte
„betroffene Person“) beziehen. (Beispiel: Name, Geburtsdatum,
Konfession, Schulnoten, IP-Adresse). Daten gelten solange als
personenbezogene Daten, wie ein Rückschluss auf eine Person möglich ist.

7. Welche personenbezogenen Daten verarbeitet eine Schule?

Die Schule verarbeitet personenbezogene Daten von Schülerinnen und
Schülern, Lehrkräften (sowie anderen Beschäftigten in der Schule) und
Erziehungsberechtigten.

8. Was sind besondere Kategorien personenbezogener Daten?

Besondere Kategorien personenbezogener Daten werden auch als sensible
Daten bezeichnet. Dabei handelt es sich um Daten,  aus denen die
rassische und ethnische Herkunft, politische Meinungen, re­ligiöse oder
weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
hervorgeht, sowie genetische oder biometrische Daten zur eindeutigen
Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten
zum Sexualleben oder der se­xuellen Orientierung einer natürlichen
Person (vgl. Art. 9 Abs. 1 DSGVO).

9. Was versteht man unter Datenverarbeitung?

Nach Art. 4 Nr. 2 DSGVO ist Datenverarbeitung das Erheben, das
Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung
oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die
Offenlegung, den Abgleich oder die Verknüpfung, die Einschränkung, das
Löschen oder die Vernichtung.

10. Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?

Eine Verarbeitung von personenbezogenen Daten ist nur zulässig, wenn
eine Rechtsvorschrift (z.B. § 31 NSchG)  dies erlaubt oder die
Betroffenen eingewilligt haben (Artikel 6 Absatz 1 a) und e) und Artikel
9 DSGVO).

11. Was ist bei einer Einwilligung zu beachten?

Art. 7 und 8 DSGVO enthalten Bedingungen für die Einwilligung. Sie
muss informiert erfolgen, d.h. dem Betroffenen muss bekannt sein zu
welchem Zweck sie erteilt wird und wozu die Daten genutzt werden. Des
Weiteren muss ein  Hinweis auf die Widerrufsmöglichkeit für die Zukunft
enthalten sein und die Einwilligung muss freiwillig erfolgen. Der
Betroffene soll keine Nachteile befürchten müssen, wenn er nicht
einwilligt. Um die Freiwilligkeit zu gewährleisten, können dem
Betroffenen Alternativen angeboten werden.

Ein Muster für eine Einwilligung finden Sie auf der Internetseite https://www.landesschulbehoerde-niedersachsen.de

• Themen
• Schulorganisation
• Datenschutz an Schulen
• Muster-Datenschutz

12. Muss eine Einwilligung schriftlich erteilt werden?

Der Verantwortliche muss nachweisen, dass die betroffene Person in
die Verarbeitung eingewilligt hat (Art. 7 Abs. 1 DSGVO). Dazu bietet
sich die Schriftform an.

13. Gelten bereits erteilte Einwilligungen nach dem 25.05.2018 fort?

Ja, wenn die erteilten Einwilligungen den Bedingungen der DSGVO
entsprechen. Ansonsten müssten die Einwilligung erneut eingeholt werden.

14. Wie oft muss eine Einwilligung eingeholt werden?

Empfehlenswert ist es, eine Einwilligung zu Beginn jedes neuen Schuljahres abzufragen.

15. Was ist das Verzeichnis von Verarbeitungstätigkeiten?

Das ist eine Aufstellung, in welcher alle Vorgänge und Prozesse, bei
denen in der Schule personenbezogene Daten verarbeitet werden, erfasst
werden.

16. Was muss in dieses Verzeichnis aufgenommen werden?

Es muss für jede Verarbeitungstätigkeit ein Verzeichnis nach Maßgabe
des Art. 30 DSGVO angefertigt werden. Als Verarbeitungstätigkeit wird
allgemein ein Geschäftsprozess auf geeignetem Abstraktionsniveau
verstanden. Die Summe der Einzelbeiträge ergibt das Verzeichnis von
Verarbeitungstätigkeiten.

Befüllte Muster finden Sie hier:

https://www.landesschulbehoerde-niedersachsen.de

• Themen
• Schulorganisation
• Datenschutz an Schulen
• Umsetzung der DSGVO durch Schulen
• Verzeichnis von Verarbeitungstätigkeiten

17. In welcher Form muss dieses Verzeichnis geführt werden?

Es ist schriftlich zu führen. Es kann auch elektronisch geführt werden (vgl. Art. 30 DSGVO).

18. Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) dient der Bewertung
von Risiken, die (insbesondere bei der Einführung neuer Technologien)
durch die Verarbeitung personenbezogener Daten entstehen und zu einer
Rechtsverletzung der Betroffenen führen können.

19. Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Die Datenschutz-Folgenabschätzung ist durchzuführen, wenn die Form
der Verarbeitung, insbesondere bei der Verwendung neuer Technologien,
aufgrund der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst
sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz
personenbezogener Daten sichergestellt und die Einhaltung der Verordnung
nachgewiesen werden kann (Art. 35 Abs. 1, 7 DSGVO sowie ErwGr. 84, 90).

Die Datenschutzaufsichtsbehörde hat hierzu unter https://lfd.niedersachsen.de 

• Datenschutzreform
• DS-GVO
• Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

eine sogenannte Blacklist veröffentlicht.

Durchgeführt werden muss eine Datenschutz-Folgenabschätzung
beispielsweise bei der Einführung eines elektronischen Klassenbuches.

20. Was ist eine Auftragsverarbeitung?

Eine datenverarbeitende öffentliche Stelle (hier: Schule) beauftragt
eine andere öffentliche oder private Stelle personenbezogene Daten für
sie weisungsgebunden zu verarbeiten (vgl. Art. 28 DSGVO). 

Liegt Auftragsverarbeitung vor, so ist für die Übermittlung der
personenbezogenen Daten von der Schule an den Auftragsverarbeiter keine
Rechtsgrundlage erforderlich, denn durch die Weisungsgebundenheit bleibt
die Schule die datenverarbeitende Stelle. Der Auftragsverarbeiter wird
nur als „verlängerter Arm“ der Schule tätig.

Ein Bespiel für Auftragsverarbeitung ist die Nutzung von IServ.

Hat der Auftragsverabreiter einen eigenen Ermessensspielraum bei der Datenverabreitung, liegt keine Auftragsverarbeitung vor.

21. Was muss in einem Auftragsverarbeitungsvertrag festlegt werden?

Gemäß Artikel 28 Abs. 9 DSGVO bedarf es der schriftlichen Festlegung
des Auftrages, der Weisungen zu technischen und organisatorischen
Maßnahmen und zur Zulassung von Unterauftragsverhältnissen. Es müssen
Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der
personenbezogenen Daten und Kategorien betroffener Personen sowie Rechte
und Pflichten des Verantwortlichen festgelegt sein. Ein Muster finden
Sie hier:

https://www.landesschulbehoerde-niedersachsen.de

• Themen
• Schulorganisation
• Datenschutz an Schulen
• Umsetzung der DSGVO durch Schulen
• Datenverarbeitung im Auftrag

22. Wann muss die Schule den Personalrat einschalten?

Bei der Einführung neuer Technologien zur Datenverarbeitung ist auch
der Personalrat gem. dem Niedersächsischen Personalvertretungsgesetz zu
beteiligen (§ 67 Abs. 1 Nr. 2 NPersVG).

Der Personalrat der Schule muss der Bestellung der/des Datenschutzbeauftragten zustimmen (vgl. § 67 Abs. 1 Nr. 9 NPersVG).

23. Müssen Schulen mit Geltung der DSGVO mit Abmahnungen rechnen?

Nein, Verstöße gegen datenschutzrechtliche Vorschriften können nur
dann kostenpflichtig abgemahnt werden, wenn die Parteien als
Wettbewerber am Markt teilnehmen.

24. Müssen Schulen bei Datenschutzverstößen mit der Verhängung eines Bußgeldes rechnen?

Aus § 20 Absatz 5 NDSG ergibt sich, dass der
Datenschutzaufsichtsbehörde die Befugnis Bußgelder zu verhängen nur
zusteht, soweit diese als Unternehmen am Wettbewerb teilnehmen. Das ist
bei den Schulen nicht der Fall. Insoweit ist für Schulen weiterhin nicht
mit der Verhängung eines Bußgeldes zu rechnen.

25. Gilt etwas anderes, wenn die Schule eine Schülerfirma betreibt?

Nein. Eine Schülerfirma verfolgt in erster Linie pädagogische und
keine wirtschaftlichen Ziele. Um unzulässige Wettbewerbsverzerrungen zu
vermeiden, darf sie grundsätzlich nicht mit anderen
Wirtschaftsunternehmen in Konkurrenz treten. Bereits bei der Gründung
unterliegt eine Schülerfirma weder den gesetzlichen Anforderungen die an
einen Wirtschaftsbetrieb gestellt werden, noch muss sie dem Kostendruck
standhalten, der durch den globalisierten Markt erzeugt wird.

II. Während des Schulbetriebes:

1. Welche Daten von Schülerinnen und Schülern dürfen bei der Anmeldung erhoben werden?

Rechtsgrundlage ist § 31 NSchG. Erhoben werden dürfen die Daten, die
für die Wahrnehmung der Aufgabenerledigung erforderlich sind.
Erforderlich sind z.B. Name, Anschrift, Geburtsdatum, Geschlecht,
Geburtsort. Es können auch Angaben auf freiwilliger Basis gemacht werden
für z.B. Handynummer oder die Faxnummer. Diese Angaben müssen
entsprechend als freiwillige Angaben gekennzeichnet werden. Es dürfen
darüber hinaus keine sensiblen personenbezogenen Daten wie
beispielsweise die ethnische Herkunft erhoben werden.

2. Welche Speicher- und Löschfristen gelten für personenbezogene Daten in Schulen?

Nach § 17 Abs. 2 NDSG a. F. bzw. Artikel 17 DSGVO sind
personenbezogene Daten zu löschen oder an das zuständige Archiv
abzugeben, wenn ihre Kenntnis zur Aufgabenerfüllung nicht mehr
erforderlich ist; für personenbezogene Daten in Akten gilt dies ggf.
nach Maßgabe der für die Aufbewahrung der gesamten Akte geltenden
Vorschriften. Näheres regelt der Erlass „Aufbewahrung von Schriftgut in
öffentlichen Schulen: Löschung personenbezogener Daten nach § 17 Abs. 2
NDSG“

(RdErl. d. MK v. 2.1.2012 – 11-02201/1, 05410/1.2 (Nds.MBl. Nr.3/2012
S.81; SVBl. 3/2012 S.162) – VORIS 22560 – Im Einvernehmen mit der StK
und dem MI -)

Dieser Erlass findet bis zur abschließenden Ausarbeitung einer neuen Version weiterhin Anwendung.

3. Welche Daten dürfen in die Schülerakte aufgenommen werden?

Es dürfen diejenigen Daten erhoben und zur Akte genommen werden, die
für die Erfüllung der Aufgaben der Schule erforderlich sind (vgl. § 31
NschG).

4. Wer darf Einsicht in die Schülerakte nehmen?

Das Recht auf Einsicht in die Schülerakte haben die minderjährigen
Schülerinnen und Schüler und deren Erziehungsberechtigte. Volljährige
Schülerinnen und Schüler haben selbst das Recht, ihre Schülerakte
einzusehen. Die Person, welche die Schülerakte einsehen darf, kann eine
andere Person, z.B. einen Rechtsanwalt, zur Einsichtnahme
bevollmächtigten. Anderen Personen darf grundsätzlich keine Einsicht in
die Schülerakte gewährt werden (vgl. Artikel 15 DSGVO).

5. Welche Daten dürfen bei einem Schulwechsel weitergegeben werden?

Bei einem Schulwechsel wird nicht die vollständige Schülerakte an die
aufnehmende Schule übermittelt. Aus datenschutzrechtlicher Sicht dürfen
lediglich die in der Schülerakte enthaltenen personenbezogenen Daten,
welche für die aufnehmende Schule zur Erfüllung deren Aufgaben
erforderlich sind, übermittelt werden. Dies sind in erster Linie die
Schülerstammdaten und die Schullaufbahndaten. Nicht übermittelt werden
dürfen Dokumentationen über Erziehungsmittel und Ordnungsmaßnahmen. Die
übrigen Daten verbleiben in der Akte bei der abgebenden Schule und sind
gem. den Vorgaben des Runderlasses „Aufbewahrung von Schriftgut in
öffentlichen Schulen; Löschung personenbezogener Daten nach § 17 Abs. 2
NDSG“ RdErl. d. MK v. 2.1.2012 – 11-02201/1, 05410/1.2 (Nds.MBl.
Nr.3/2012 S.81; SVBl. 3/2012 S.162) – VORIS 22560 – aufzubewahren und
nach Ablauf der Aufbewahrungsfristen zu löschen.

6. Dürfen auch Großeltern und andere Verwandte Informationen über schulische Leistungen bekommen?

Entscheidend ist, wer erziehungsberechtigt ist, § 55 NSchG.
Besonderheiten ergeben sich bei volljährigen Schülerinnen und Schülern,
die das 21.Lebensjahr noch nicht vollendet haben, siehe hierzu § 55
Absatz 4 NSchG.

7. Welche personenbezogenen Daten (von Schülerinnen und Schülern) dürfen im Klassenbuch notiert werden?

Grds. sollen nur die unbedingt erforderlichen personenbezogenen Daten
wie die Namen und Geburtsdaten der Schülerinnen und Schüler, Vermerke
über versäumte Schulveranstaltungen, Namen und Anschriften der
Erziehungsberechtigten eingetragen werden. Nicht erforderlich und damit
nicht zulässig ist es dagegen, personenbezogene Daten der Schülerinnen
und Schüler über Zensuren, Erziehungsmittel und Ordnungsmaßnahmen,
Krankheiten und Behinderungen oder über Gutachten und Berichte zur
Aufnahme oder zum Übergang in Schulen im Klassenbuch zu dokumentieren.
Diese müssten gesondert dokumentiert werden.

8. Darf ein elektronisches Klassenbuch eingesetzt werden?

Ja, die Einführung ist nach § 31 Abs. 1 NSchG möglich.

9. Was muss bei der Einführung eines elektronischen Klassenbuches beachtet werden?

Erforderlich ist die Durchführung einer
Datenschutz-Folgenabschätzung, Art. 35 DSGVO. Darüber hinaus muss der
Einsatz des elektronischen Klassenbuches durch entsprechende
Dokumentation in das Verzeichnis von Verarbeitungstätigkeiten
aufgenommen werden, Art. 30 DSGVO.

Ggf. ist Vertrag zur Auftragsverarbeitung abzuschließen.

10. Darf eine Lehrkraft personenbezogene Daten auf deren privaten IT-Systemen verarbeiten?

Unter Beachtung der Vorgaben aus dem Erlass „Verarbeitung personenbezogener Daten auf privaten IT-Systemen von Lehrkräften“ vom 01.01.2020 ist dies möglich. Erforderlich ist ein Antrag auf Genehmigung durch die Schulleitung, die Abgabe einer Verpflichtungserklärung sowie die Einhaltung eines  bestimmten Datenrahmens.

11. Dürfen die mündlichen Noten oder Zeugnisnoten der
einzelnen Schülerinnen und Schüler im Klassenverband bzw. vor der
gesamten Klasse genannt oder besprochen werden?

In der Regel sollten die Noten vertraulich besprochen werden.

Eine Besprechung vor der Klasse kann zulässig sein, wenn dies aus
pädagogischen Gründen notwendig erscheint. Eine solche Besprechung darf
allerdings nicht dazu führen, dass sich Schülerinnen oder Schüler
gedemütigt fühlen.

12. Dürfen bei Klassenarbeiten Notenspiegel und die Durchschnittsnote der Klasse bekannt gegeben werden?

Ja, solche Bekanntgaben sind datenschutzrechtlich zulässig, sofern
keine Rückschlüsse auf einzelne Schülerinnen oder Schüler möglich sind.

13. Was ist bei der Anfertigung und Veröffentlichung von Fotos von Schülerinnen und Schülern zu beachten?

Es muss stets eine Einwilligung eingeholt werden.

14. Dürfen Gruppenfotos ohne Einwilligung erstellt und veröffentlicht werden?

Das Erfordernis der Einholung einer Einwilligung gilt auch für Gruppenfotos.

15. Dürfen die Namen der an der Schule tätigen Lehrkräfte auf der Homepage der Schule veröffentlicht werden?

Die Daten dürfen veröffentlicht werden, wenn die Einwilligung der
Betroffenen vorliegt oder wenn der Dienstverkehr dies erfordert (vgl. §
88 NBG). Letzteres ist der Fall bei Personen, deren Tätigkeit nach außen
wirkt wie z.B. Schulleiter, Fachbereichsleiter, Ansprechpartner für
Projekte usw.  

Ist die Veröffentlichung von einer  Rechtsgrundlage gedeckt (vgl. §
88 NBG), haben die Lehrkräfte das Recht, dieser Verarbeitung nach Art 21
DSGVO zu widersprechen. Erfolgt ein Widerspruch, hat die Schule die
geltend gemachten schutzwürdigen persönlichen Gründe der Lehrkraft gegen
das Interesse der Schule an der Veröffentlichung abzuwägen. Falls die
persönlichen Gründe der Lehrkraft überwiegen, dürfen die Daten der
Lehrkraft nicht im Internet veröffentlicht werden.

16. Welche Daten von Lehrkräften dürfen auf der Homepage veröffentlicht werden?

Name, Funktion, Adresse der Schule, dienstliche Telefonnummer.

17. Dürfen Fotos von Lehrkräften ohne deren Zustimmung (auf der Homepage) veröffentlicht werden?

Nein, hierfür gibt es kein dienstliches Erfordernis. Hierfür bedarf es der Einwilligung der Lehrkräfte.

18. Dürfen Vertretungspläne auf der Homepage veröffentlicht werden?

Ja, allerdings ist dabei darauf zu achten, dass die Angabe von
personenbezogenen Daten vermieden wird, da diese grds. nicht
erforderlich sind. Gemeinhin reichen Angaben darüber, dass es einen
Unterrichtsausfall gibt oder dass ein anderes Fach unterrichtet wird,
aus. Unter keinen Umständen darf der Vertretungsgrund, wie z.B. Urlaub
oder Krankheit, angegeben werden. Diese Angaben sind vertraulich zu
behandeln (vgl. § 12 Abs. 1 NDSG – § 50 Satz 3 BeamtStG, §§ 88 ff. NBG).

19. Ist eine Videoüberwachung an einer öffentlichen Schule zulässig?

Während der Schulzeiten ist eine Videoüberwachung
öffentlich-zugänglicher Bereiche grundsätzlich ausgeschlossen, da sie
einen schwerwiegenden Eingriff in die Persönlichkeitsrechte der
Schülerinnen, Schüler, Lehrkräfte und weiterer an der Schule tätigen
Personen darstellt. Diese können sich der Überwachung nicht entziehen,
da sie verpflichtet sind die Schule aufzusuchen, bzw. sich in ihr
aufzuhalten. Ausgenommen sein kann im Einzelfall eine Überwachung der
Fahrradständer und des Parkplatzes, da die Möglichkeit der Nutzung
freiwillig ist und der Aufenthalt auf einen kurzen Zeitraum beschränkt
ist. Außerhalb der Schulzeiten sind Schulen grundsätzlich nicht dazu
bestimmt von einem unbestimmten Personenkreis betreten und genutzt zu
werden, sodass es sich nicht um einen öffentlich-zugänglichen Bereich
handelt. Anders verhält es sich, sofern die Räume oder Flächen  für die
Öffentlichkeit zur Verfügung gestellt werden, z.B. Nutzung der
Sporthalle durch Vereine, Nutzung der Aula für Konzerte, Nutzung der
Klassenräume für Volkshochschulkurse. Eine Videoüberwachung ist in
solchen Fällen nur zulässig, soweit sie zur Wahrnehmung einer im
öffentlichen Interesse liegenden Aufgabe erforderlich ist und keine
Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der von der
Videoüberwachung betroffenen Person überwiegen, § 14 Abs. 1 Satz 1 NDSG.

III. Personaldatenschutz in der Schule

1. Dürfen Personalnebenakten für die Lehrkräfte in den Schulen geführt werden?

Ja, dies ist zulässig, weil neben der Schule auch die
Niedersächsische Landesschulbehörde für Lehrkräfte zuständig ist. In der
Personalnebenakte dürfen sich nur solche Unterlagen befinden, deren
Kenntnis zur Aufgabenerledigung der Schule erforderlich sind.

2. Was ist bei der Aufbewahrung von Personalnebenakten in den Schulen zu beachten?

Personalnebenakten sind in den Schulen vertraulich zu behandeln. Sie
sind insbesondere vor Einsichtnahme durch unbefugte Personen zu
schützen. Daher sind die Aktenschränke, in denen sie gelagert werden bei
Abwesenheit des Bearbeiters zu verschließen. Unterlagen, die
Personaldaten enthalten, sind dem Aktenvernichter zuzuführen.

3. Wer darf Einsicht in Personal(neben)akten nehmen?

Einsicht nehmen darf in erster Linie der Bedienstete selbst. Außerdem
ist Bevollmächtigten der Bediensteten, z.B. Rechtsanwälten, Einsicht zu
gewähren. Soweit dienstliche Gründe nicht entgegenstehen, können bei
der Einsichtnahme Auszüge, Abschriften, Ablichtungen oder Ausdrucke
gefertigt werden.

4. Wer darf Zugang zu Personalakten haben?

Zugang zur Personalakte und Personalnebenakte dürfen nur Bedienstete
haben, die von der zuständigen Stelle mit der Bearbeitung von
Personalangelegenheiten beauftragt sind. In den Schulen sind dies neben
der Schulleitung lediglich Verwaltungsmitarbeiterinnen und -mitarbeiter.

5. Dürfen Krankmeldungen, Listen über Minus- oder Plusstunden im Lehrerzimmer ausgehängt werden?

Nein, solche Angaben sind unzulässig, da sie für die Kollegen nicht erforderlich sind.

Insbesondere Angaben über Krankheiten sind vertraulich zu behandeln
(vgl. § 12 Abs. 1 NDSG – § 50 Satz 3 BeamtStG, §§ 88 ff. NBG).

IV. Weitergabe von Daten außerhalb der Schule

1. Darf die Schule Adresslisten von Schulklassen an Dritte weitergeben?

Nein, nur wenn eine Einwilligung der Betroffenen vorliegt.

2. Darf die Schule Eltern private Adressdaten von Lehrkräften zur Verfügung stellen?

Nein, es handelt sich dabei um sog. Personalaktendaten. Diese dürfen
nur mit Einwilligung rausgegeben werden (vgl. § 12 Abs. 1 NDSG, § 92
Abs. 3 NBG). Eine Kontaktaufnahme ist über das Schulsekretariat möglich.

3. Dürfen Namenslisten und Fotos an Zeitungen gegeben werden?

Nein, nur wenn eine Einwilligung aller Betroffenen vorliegt.

4. Dürfen personenbezogene Daten der Schülerinnen und Schüler
und ihrer Erziehungsberechtigten an Gesundheitsämter übermittelt
werden?

Grundsätzlich ist dies zulässig, wenn eine Rechtsgrundlage hierfür
vorliegt. Für die Schuleingangsuntersuchung ergibt sich dies aus § 31
Abs. 2 S. 1 Nr. 1 NSchG.

5. Dürfen Schulen und ihre Fördervereine zusammenarbeiten, indem sie personenbezogene Daten austauschen?

Eine gesetzliche Ermächtigung ist hierfür nicht vorgesehen. Sollen
Erziehungsberechtigte also z.B. als Fördermitglied gewonnen und dafür
die Daten der Erziehungsberechtigten an den Förderverein übermittelt
werden, ist diese Datenweitergabe nur mit einer Einwilligung zulässig.

Hinweis: Die jeweiligen Fördervereine müssen
sich in eigener Zuständigkeit um die Einhaltung der
datenschutzrechtlichen Vorgaben (für Vereine) bemühen. Dafür ist nicht
die Schule zuständig.

Auf der Internetseite der Landesbeauftragten für Datenschutz finden Vereine Informationen zum Datenschutz (Themen > Vereine).

V. Socialmedia

1. Dürfen Lehrkräfte Facebook zur Kommunikation mit Schülern nutzen?

Es ist davon abzuraten, Facebook zur Kommunikation mit Schülern zu
nutzen. Aus den Nutzungsbedingungen von Facebook ergibt sich, dass
personenbezogene Daten der Schüler auf Servern von Facebook verarbeitet
werden, auf welche die Schule keinen Zugriff hat. Zum besteht das
Risiko, dass bei der Kommunikation dienstliche und private Belange
vermischt werden. Eine enge private Verbindung zwischen Lehrkräften und
Schülern ist nicht angezeigt.

2. Dürfen Messenger, wie z.B. WhatsApp, für die Kommunikation mit Schülern oder Eltern eingesetzt werden?

Die Nutzung von WhatsApp für die schulische Kommunikation zwischen
Lehrkräften und Schülerinnen und Schülern ist datenschutzrechtlich
unzulässig. Lehrkräfte dürfen sich insoweit auch nicht an
WhatsApp-Gruppen von Schülerinnen und Schülern und Eltern beteiligen.

Es wird empfohlen die Kommunikation mit Schülerinnen und Schülern und Eltern über eine schulische E-Mail-Adresse abzuwickeln.

VI. Homepage

1.  Was ist grundsätzlich bei einer Schulhomepage zu beachten?

Die Homepage muss ein Impressum (§ 5 TMG) und eine
Datenschutzerklärung zur Erfüllung der Informationspflichten gemäß Art.
13 DSGVO enthalten (s. auch das Merkblatt der LfD Niedersachsen mit dem
Titel „Informationen für Betreiber von Webseiten zur Anpassung an die
Vorgaben der Datenschutz-Grundverordnung ab dem 25.05.2018“). Bei der
Einstellung von Fotos von Schülerinnen und Schülern und/oder Lehrerinnen
und Lehrern ist die vorherige Einholung einer Einwilligung
erforderlich. Bei der Veröffentlichung fremden Inhalts ist eine
Beachtung urheberrechtlicher Regelungen zwingend erforderlich.

2. Was sind Cookies?

Cookies sind kleine Textdateien, die auf Veranlassung des Anbieters
einer Internetseite durch den Browser des Nutzers auf dessen Rechner
gespeichert werden und eine Individualisierung des Nutzers ermöglichen.

3. Wozu dienen Cookies?

Cookies dienen dazu, Informationen auf dem Rechner des Nutzes zu
speichern und dem Server des Anbieters der Internetseite, die
Möglichkeit zu geben, bei Bedarf auf diese Informationen zuzugreifen.
Diese Informationsübermittlung kann zur Verbesserung der Nutzbarkeit der
Internetseite, aber auch zur der Auswertung der Nutzung der
Internetseite durch den Besucher dienen.

4. Was ist Google Analytics?

Google Analytics ist ein von dem Unternehmen Google Inc. angebotenes
sog. Tracking Tool, das Betreiber von Internetseiten in ihre Webseite
implementieren können, um die Dienstleistung in Anspruch zu nehmen.
„Tracking“ meint Nachverfolgung des individuellen Verhaltens des Nutzers
der Internetseite, das z.B. durch Cookies technisch umgesetzt und
ermöglicht wird. Die Cookies werden von Google gesetzt und verwendet, 
um das Nutzungsverhalten einer Internetseite zu analysieren und das
Analyseergebnis dem Betreiber der Internetseite zur Verfügung zu
stellen.

5. Wann kann Google Analytics datenschutzkonform eingesetzt werden?

Wenn vor seinem Einsatz eine wirksame Einwilligung der Nutzer und die
Zertifizierung von Google nach dem EU-US Privacy Shield vorliegen.
Dabei ist darauf zu achten, dass die für den Einsatz notwendigen Cookies
erst und nur dann gesetzt werden, nachdem die Einwilligung tatsächlich
abgegeben worden ist. Ferner ist zu gewährleisten, dass die Nutzung der
Internetseite auch möglich ist, ohne dass Cookies von Google Analytics
gesetzt werden.

6. Was sind Google Fonts und wie sind sie aus datenschutzrechtlicher Sicht zu beurteilen?

Google Fonts sind Schriftarten, die Google Betreibern von
Internetseiten zur Verfügung stellt, um die Internetseite für den Nutzer
ansprechender zu gestalten. Der Abruf dieser Schriftarten kann sowohl
von dem Server des Betreibers der Internetseite als auch von  einem
Server von Google erfolgen. Im ersten Fall wird die IP-Adresse des
Nutzers nur an den Betreiber der Internetseite übertragen. Im zweiten
Fall. erfolgt eine Übermittlung der IP-Adresse des Nutzers an Google.
Aus datenschutzrechtlicher Sicht ist die Variante zu wählen, bei der
keine Übertragung personenbezogener Daten der Nutzer der Internetseite
an Google erfolgt.

7. Wie haben Schulen damit umzugehen?

Wenn die Einwilligung technisch nicht den Vorgaben entsprechend
umgesetzt werden kann, sollte grundsätzlich auf den Einsatz von Cookies,
die einwilligungsbedürftig sind, verzichtet werden.

Für die technische Umsetzung der Einwilligung müsste auf die Schulträger verwiesen werden.

Quelle: NIBIS Portal Datenschutz FAQ DSGVO der Landesschulbehörde