Zurück zur Übersicht
01.11.2024

Sicherheitscoach patzt bei Datensicherheit

Datenschutz bei der Übermittlung von Schülerdaten an private Anbieter

Die Frage der Weitergabe von Schülerdaten an private Anbieter betrifft den Datenschutz unmittelbar und erfordert eine rechtssichere Grundlage. Ein aktueller Fall eines Coaches für Sicherheitsberatung, der für eine Schulveranstaltung die Klassenliste der teilnehmenden Schüler per unverschlüsselter E-Mail anforderte, zeigt die Problematik. Die Weitergabe von Schülerdaten ist im Kontext der DSGVO heikel und erfordert eine klare Rechtsgrundlage.

Problemstellung: Unzulässige Datenanforderung

Der Coach für Sicherheitsberatung verwies die Schule darauf, dass die Klassenliste gemäß seinen Allgemeinen Geschäftsbedingungen (AGB) übermittelt werden müsse. Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) stellte jedoch klar, dass AGB keine gültige Rechtsgrundlage für die Übermittlung personenbezogener Daten darstellen. Ohne eine rechtlich belastbare Grundlage, wie z. B. eine Einwilligung, dürfen Schulen diese Daten nicht an private Anbieter weitergeben.

Rechtliche Anforderungen und Maßnahmen

  1. Einwilligung als Rechtsgrundlage
    In Fällen, in denen Schülerdaten an Dritte übermittelt werden, kann die Einwilligung der Eltern als Rechtsgrundlage dienen. Die DSGVO fordert eine ausdrückliche und informierte Zustimmung, die spezifisch und freiwillig sein muss. Hierzu sollte die Schule eine schriftliche Einwilligungserklärung der Eltern einholen, die klar beschreibt, welche Daten übermittelt werden und zu welchem Zweck.
  2. Mustereinwilligungserklärungen
    Schulen sollten standardisierte Einwilligungsformulare entwickeln, die alle erforderlichen Informationen enthalten, wie etwa:

    • den Zweck der Datenweitergabe,
    • den Empfänger und die Art der geplanten Verarbeitung,
    • Hinweise auf die Möglichkeit, die Einwilligung jederzeit zu widerrufen.
  3. Sicherer E-Mail-Versand
    Der Versand personenbezogener Daten per unverschlüsselter E-Mail verstößt gegen die Sicherheitsanforderungen der DSGVO (Art. 32). Schulen sollten hier auf verschlüsselte Kommunikationsmethoden umsteigen, um die Datensicherheit zu gewährleisten.
  4. Erfüllung der Informationspflichten gemäß Art. 13 und 14 DSGVO
    Die DSGVO verlangt, dass die betroffenen Personen (in diesem Fall die Schüler bzw. deren Eltern) über die Verarbeitung ihrer Daten informiert werden. Die Schulen müssen hierbei sicherstellen, dass alle Informationspflichten – z. B. Zweck der Verarbeitung und Dauer der Speicherung – in einfacher Sprache erfüllt werden.

Umsetzung dieser Maßnahmen in der Praxis

  • Musterformulare: Schulen sollten vorab abgestimmte Formulare zur Verfügung haben, die alle datenschutzrechtlichen Anforderungen der Einwilligung erfüllen.
  • Schulung und Sensibilisierung: Lehrkräfte und Mitarbeiter, die für die Datenverarbeitung verantwortlich sind, sollten im sicheren Umgang mit personenbezogenen Daten geschult werden.
  • Regelmäßige Überprüfungen: Schulen sollten ihre Datenschutzmaßnahmen regelmäßig überprüfen und gegebenenfalls anpassen. Ein jährliches Audit kann helfen, eventuelle Schwachstellen zu erkennen.

Rechtliche Konsequenzen bei Verstößen

Fehlende Sicherheitsvorkehrungen bei der Übermittlung von Schülerdaten oder das Versäumnis, eine gültige Einwilligung einzuholen, können zu Verstößen gegen die DSGVO führen. Dies hat nicht nur potenzielle Bußgelder zur Folge, sondern kann auch das Vertrauensverhältnis zwischen Eltern, Schüler und Schulen beeinträchtigen.

Fazit

Die Einhaltung der datenschutzrechtlichen Vorgaben beim Umgang mit Schülerdaten ist eine unabdingbare Verantwortung für Schulen. Eine datenschutzkonforme Praxis schützt nicht nur die Privatsphäre der Schüler, sondern bewahrt auch die Institution vor rechtlichen Konsequenzen und stärkt das Vertrauen der Eltern.

Quelle: LfDI Rheinland-Pfalz

Fragen Sie sich, ob Sie als schulische Einrichtung bei Datenschutz und Datensicherheit richtig aufgestellt sind?

Unverbindlich mit einem Datenschutzbeauftragten sprechen.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks