Sicherheitscoach patzt bei Datensicherheit
Datenschutz bei der Übermittlung von Schülerdaten an private Anbieter
Die Frage der Weitergabe von Schülerdaten an private Anbieter betrifft den Datenschutz unmittelbar und erfordert eine rechtssichere Grundlage. Ein aktueller Fall eines Coaches für Sicherheitsberatung, der für eine Schulveranstaltung die Klassenliste der teilnehmenden Schüler per unverschlüsselter E-Mail anforderte, zeigt die Problematik. Die Weitergabe von Schülerdaten ist im Kontext der DSGVO heikel und erfordert eine klare Rechtsgrundlage.
Problemstellung: Unzulässige Datenanforderung
Der Coach für Sicherheitsberatung verwies die Schule darauf, dass die Klassenliste gemäß seinen Allgemeinen Geschäftsbedingungen (AGB) übermittelt werden müsse. Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) stellte jedoch klar, dass AGB keine gültige Rechtsgrundlage für die Übermittlung personenbezogener Daten darstellen. Ohne eine rechtlich belastbare Grundlage, wie z. B. eine Einwilligung, dürfen Schulen diese Daten nicht an private Anbieter weitergeben.
Rechtliche Anforderungen und Maßnahmen
- Einwilligung als Rechtsgrundlage
In Fällen, in denen Schülerdaten an Dritte übermittelt werden, kann die Einwilligung der Eltern als Rechtsgrundlage dienen. Die DSGVO fordert eine ausdrückliche und informierte Zustimmung, die spezifisch und freiwillig sein muss. Hierzu sollte die Schule eine schriftliche Einwilligungserklärung der Eltern einholen, die klar beschreibt, welche Daten übermittelt werden und zu welchem Zweck. - Mustereinwilligungserklärungen
Schulen sollten standardisierte Einwilligungsformulare entwickeln, die alle erforderlichen Informationen enthalten, wie etwa:- den Zweck der Datenweitergabe,
- den Empfänger und die Art der geplanten Verarbeitung,
- Hinweise auf die Möglichkeit, die Einwilligung jederzeit zu widerrufen.
- Sicherer E-Mail-Versand
Der Versand personenbezogener Daten per unverschlüsselter E-Mail verstößt gegen die Sicherheitsanforderungen der DSGVO (Art. 32). Schulen sollten hier auf verschlüsselte Kommunikationsmethoden umsteigen, um die Datensicherheit zu gewährleisten. - Erfüllung der Informationspflichten gemäß Art. 13 und 14 DSGVO
Die DSGVO verlangt, dass die betroffenen Personen (in diesem Fall die Schüler bzw. deren Eltern) über die Verarbeitung ihrer Daten informiert werden. Die Schulen müssen hierbei sicherstellen, dass alle Informationspflichten – z. B. Zweck der Verarbeitung und Dauer der Speicherung – in einfacher Sprache erfüllt werden.
Umsetzung dieser Maßnahmen in der Praxis
- Musterformulare: Schulen sollten vorab abgestimmte Formulare zur Verfügung haben, die alle datenschutzrechtlichen Anforderungen der Einwilligung erfüllen.
- Schulung und Sensibilisierung: Lehrkräfte und Mitarbeiter, die für die Datenverarbeitung verantwortlich sind, sollten im sicheren Umgang mit personenbezogenen Daten geschult werden.
- Regelmäßige Überprüfungen: Schulen sollten ihre Datenschutzmaßnahmen regelmäßig überprüfen und gegebenenfalls anpassen. Ein jährliches Audit kann helfen, eventuelle Schwachstellen zu erkennen.
Rechtliche Konsequenzen bei Verstößen
Fehlende Sicherheitsvorkehrungen bei der Übermittlung von Schülerdaten oder das Versäumnis, eine gültige Einwilligung einzuholen, können zu Verstößen gegen die DSGVO führen. Dies hat nicht nur potenzielle Bußgelder zur Folge, sondern kann auch das Vertrauensverhältnis zwischen Eltern, Schüler und Schulen beeinträchtigen.
Fazit
Die Einhaltung der datenschutzrechtlichen Vorgaben beim Umgang mit Schülerdaten ist eine unabdingbare Verantwortung für Schulen. Eine datenschutzkonforme Praxis schützt nicht nur die Privatsphäre der Schüler, sondern bewahrt auch die Institution vor rechtlichen Konsequenzen und stärkt das Vertrauen der Eltern.
Quelle: LfDI Rheinland-Pfalz
Fragen Sie sich, ob Sie als schulische Einrichtung bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks