Datenschutz in der Schule Eine Handreichung für Personalräte und Lehrkrä e aller Schularten

Berufler in der GEW-Südbaden Datenschutz in der Schule Eine Handreichung für Personalräte und Lehrkrä e aller Schularten Diese Handreichung ist für alle bes mmt, die für den Datenschutz als GEW- Personalratsmitglieder Verantwortung tragen, und für alle GEW-Lehrkrä e, die eigenverantwortlich mit dem Thema Datenschutz umgehen wollen. Da im schulischen Alltag o die Zeit fehlt, sich durch eine Fortbildung die notwendige Sachkenntnis für personalrätliche Entscheidungen und rich ges datenschutzmäßiges Verhalten im Schulalltag zu verschaffen, soll diese Broschüre als schnelles Nachschlagewerk und als Hinweisgeber für die Ver efung des Themas Datenschutz in der Schule dienen. Deshalb sind nach Möglichkeit alle Themen und Hinweise mit Internetadressen versehen, die es im Einzelfall ermöglichen, sich ohne größeren Aufwand genauer und umfangreicher zu informieren. Warum Datenschutz? "Wer nichts zu verbergen hat, hat auch nichts zu befürchten" NSA http://www.heise.de/tp/artikel/42/42165/ Die Überwachungsgesellscha, in welche wir abdri en Der Hintergrund Wir werden alle überwacht, nichts ändert sich und vielen ist dies egal. Deshalb eine kleine Wegleitung in S chworten: Ist uns wirklich bewusst, was alles überwacht wird? Nein Welche Daten werden gesammelt? Krankendaten, Kommunika onsdaten, Verkehrsdaten, Einkaufsverhalten, Zahlungsverkehr, Lesegewohnheiten (EBooks und Bibliothek), Fernsehkonsum, Wunschlisten in Amazon, Vereinszugehörigkeiten, Bordellbesuche, Parteizugehörigkeit, poli sche Gesinnung, religiöse Zugehörigkeit, Ausbildung, Webaccounts, Twi er, Facebook, Weshalb ist die Überwachung gefährlich? A. Wenn Daten anfallen, dann werden sie gesammelt einfach weil man es kann B. Wenn an verschiedenen Orten Daten anfallen, dann können diese zusammengeführt werden C. Wenn Daten gesammelt zur Verfügung stehen, dann werden sie untersucht D. Werden genügend Daten zusammengeführt und untersucht, dann lassen sich Muster erkennen E. Wenn Muster erkannt werden, dann wird daraus ein Schluss gezogen F. Wenn der Schluss erst gezogen ist, dann erhält er den Status einer Wahrheit G. Wenn man die Wahrheit kennt, dann hat dies Konsequenzen H. Wenn Daten unvollständig sind, dann können sie irreführend oder falsch sein; daher wird die Konsequenz auch falsch sein I. Wenn Ihre Daten im Netz sind, dann können sie nicht korrigiert werden. 1/44

J. Die betroffene Person ist im Nachteil gegenüber dem Datensammler, weil sie ihre eigenen Spuren nicht gleichermaßen zurückverfolgen kann und die eigenen Daten ihr daher unbekannt sind. K. Die einzelnen Aspekte führen nicht über logische Schlüsse linear zu einem Befund, sondern haben nur via Gewichtung Einfluss. Das Resultat ist daher nicht auf einzelne Punkte zurückzuführen. L. Unbekannt ist die Ursache auch für den Datensammler, weil nichts Konkretes vorliegt, sondern bei der Auswertung einfach genügend Daten zu genügend Punkten geführt haben. Sie sind einfach verdäch g aufgrund der Gesamtheit der Daten, nicht aufgrund eines Ereignisses. M. Unbekannt bedeutet nicht geheim. Ein Geheimnis kann man aufdecken, Unbekanntes nicht. N. Diese Umstände lassen gesunden Menschenverstand nicht zu. O. Beim Typus Türsteher handelt es sich nicht um eine intellektuelle Kapazität. Zusammenhänge zu erläutern ist sinnfrei. P. Daten lassen sich missbrauchen. Passt jemandem meine Nase nicht lässt sich aus genügend Daten immer etwas konstruieren. Q. Auf die Daten haben zu viele Personen Zugriff. Jeder Zollbeamte kann heutzutage jede Menge Datenbanken danach abfragen, ob mein Name darin vorkommt. Jedoch erfährt er nicht, ob ich als Zeuge, Helfer, Täter oder Opfer aufgeführt bin. R. Wenn man gar einen Allerweltsnamen hat, kann man selbst dann mit einem Posi vtreffer rechnen, wenn man persönlich nicht aufgeführt sind. Weshalb wird überwacht? 1. Das wissen wir noch nicht konkret, aber wir werden es erfahren, wenn die Auswertungen Folgen haben. 2. Folgen wird es haben, wenn wir zum Feind werden. 3. Zum Feind wird man schneller als einem lieb ist. Es ist heutzutage nicht unüblich, jeglichen, auch legi men Widerstand, gleich zum Terror zu erklären. 4. Die Datenschnüffelei wird also dazu führen, dass sich die Leute nicht mehr mit ihrem Staat iden fizieren und diesen als etwas Fremdes wahrnehmen. Aber die Kinderschänder Genau, der immer wieder bemühte Milliardenmarkt... Das Argument wird immer dann bemüht, wenn man eine Diskussion mangels belastbarer Argumente abwürgen will, weil - gegen die Bekämpfung der Kinderpornografie kann man ja nicht sein. Wie lässt sich das Ganze erklären? h p://andreashurni.ch/blog/?m=201402 Für uns Lehrkrä e ist zu schlussfolgern: Wir haben uns an das Datenschutzgesetz zu halten aus gesetzlichen und aus inhaltlichen Gründen! 2/44

Sie erhalten Informa onen zu folgenden Themen: A. Um was geht es beim Datenschutz? B. Welche Rolle spielen die Schulleitungen beim Datenschutz? C. Welche Rolle spielen die Personalräte beim Datenschutz? D. Datenschutzbeau ragte/r an Schulen E. Themen des Datenschutzes an Schulen F. Nützliche Adressen zum Thema Datenschutz G. Datenschutz und darüber hinaus H. Impressum Im Gegensatz zu den üblichen Fortbildungsausschreibungen Urheberrecht und Datenschutz in der Schule wird nichts von den Themen Urheberrecht, Digitalisate, Passwortsicherheit etc. aufgegriffen, da diese Themen nicht zum Datenschutz in obigem Sinne gehören. Als Einführung in das Thema eignet sich der Ar kel Neue Regelungen für den Umgang mit personenbezogenen Daten in B&W, 1 2/2014, S. 42/43 (nur für Mitglieder abru ar) h p://www.gew-bw.de/publika onen/publika onen/list/reset/0/? tx_aapublica ons_publica ons[%40widget_0] [currentpage]=6&chash=90000f7b2f2c5ec05c63e617c0f9821f Im Übrigen wird auf die entsprechenden Kapitel im GEW-Jahrbuch 2015 verwiesen: - Datenschutz (Dienstvereinbarung Personaldaten) S. 252 - Datenschutz (LDSG) S. 253 - Datenschutz (Schulen) S. 254 - Jahrbuchservice Januar 2015: Datenschutz (Schulen) S. 254 - Datenschutz (Schulnetzwerke und Pla ormen) S. 268 www.spv-s.de/jahrbuch-update-service.html 3/44

A. Um was geht es beim Datenschutz? Die Regelungen des Datenschutzes dienen dem Schutz der Menschen und ihren Persönlichkeitsrechten und nicht dem Schutz der Daten. I. Automa sierte Datenverarbeitung Das Problem bei der automa sierten Datenverarbeitung besteht darin, dass Datenmengen über Einzelpersonen digital an den verschiedensten Stellen vorhanden sind und rela v leicht und zum Nachteil der Betroffenen zusammengeführt und ausgewertet werden können. Was möglich ist, zeigt folgendes Beispiel: Gesichtserkennung bei Facebook: Hamburgs Datenschützer macht Ernst www.heise.de/news cker/meldung/gesichtserkennung-bei-facebook-hamburgs- Datenschuetzer-macht-Ernst-1376696.html II. III. IV. Persönlichkeitsrechte Welche Aufgaben hat der Datenschutz? Der 1 Landesdatenschutzgesetz (LDSG ) Baden-Wür emberg in der Fassung vom 18.09.2000, zuletzt geändert durch das Gesetz vom 07.02.2011, legt fest: Aufgabe dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung seiner personenbezogenen Daten durch öffentliche Stellen in seinem Persönlichkeitsrecht beeinträch gt wird. h p://www.informa k.uni-ulm.de/datenschutz/download/ldsg2011.pdf Wann greifen datenschutzrechtliche Regelungen im schulischen Bereich? Datenschutzrechtliche Regelungen greifen immer dann, wenn personenbezogene Daten - das sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bes mmten oder bes mmbaren natürlichen Person - mit Hilfe von Programmen in automa sierten Dateien gespeichert, genutzt und somit verarbeitet werden. Die datenschutzrechtlichen Regelungen greifen sowohl für Daten von Lehrkrä en als auch für Daten von Schülerinnen und Schülern. Die Defini on der wich gsten Begriffe im Zusammenhang mit dem Datenschutz - Mitbes mmung, Einführung, Anwendung, wesentliche Änderung, personenbezogene Daten, Verarbeitung und Verfahren - erfolgt in 3 der Rahmendienstvereinbarung Elektronische Datenverarbeitung personenbezogener Daten durch die Schulen. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/ Dort findet sich auch eine Präsenta on zum Thema Grundlagen den Datenschutzrechts. h p://lehrerfortbildungbw.de/sueb/recht/ds_neu/lfs_grundlagen_des_datenschutzrechts_juni_2015.pdf Datenschutzrechtliche Regelungen Im Folgenden wird auf exis erende datenschutzrechtliche Regelungen, die für den Schulbereich relevant sind, verwiesen. 4/44

a. Bundesdatenschutzgesetz Das Bundesdatenschutzgesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch 1. öffentliche Stellen des Bundes, 2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist. h p://www.bfdi.bund.de/shareddocs/publika onen/infobroschueren/info1 _Maerz_2014.pdf? blob=publica onfile&v=4l b. Landesdatenschutzgesetz Baden-Wür emberg Das Landesdatenschutzgesetz dient dem gleichen Zweck wie das Bundesdatenschutzgesetz: Schutz vor der Beeinträch gung der Persönlichkeitsrechte durch Datenverarbeitung. h p://www.baden-wuer emberg.datenschutz.de/landesdatenschutzgesetzinhaltsverzeichnis/ h p://www.landesrecht-bw.de/jportal/? quelle=jlink&query=dsg+bw&psml=bsbawueprod.psml&max=true c. Landesbeau ragter für Datenschutz Baden-Wür emberg Welche Aufgaben hat der Landesbeau ragte? Wie nimmt man Kontakt zu ihm auf? Was hat er in den vergangenen Jahren getan? Neben Antworten auf diese Fragen finden sich auf der Seite des Landesbeau ragten jede Menge Merkblä er und Hinweise zu Themen des Datenschutzes. Wich ge Themen für Schulen, zu denen es Merkblä er und Hinweise gibt, sind: - Internet und Datenschutz - Digitale Dokumentenau ewahrung - Verfahrensverzeichnis Nebenbemerkung: Es gibt auf dieser Seite auch Merkblä er zu der hier nicht behandelten Frage, wie man Daten vor unbefugtem Zugriff sichern kann: - Hinweise zum Umgang mit Passwörtern - Datensicherheit beim Einsatz von PC und lokalen Netzwerken h p://www.baden-wuer emberg.datenschutz.de/person-des-beau ragten/ Im Tä gkeitsbericht des Landesbeau ragten für das Jahr 2013 finden sich u. a. die Kapitel 8.2 Datenschutz an Schulen und 8.3 Datenschutz als Unterrichtsthema. Der dort geäußerte Wunsch - Ich werde die Arbeit am Bildungsplan 2015 weiter konstruk v begleiten. Ein eigenständiges Fach Medienkompetenz halte ich für wünschenswert. Zumindest sollte der Datenschutz als Teil der Medienbildung verbindlich als Prüfungsstoff berücksich gt werden - ist in den neuen Bildungsplänen nicht umgesetzt worden. h p://www.baden-wuer emberg.datenschutz.de/ta gkeitsbericht/ 5/44

d. Einen Überblick über die Rechtsgrundlagen des Datenschutzes an Schulen des Landes Baden-Wür emberg gibt die Seite der Landesakademie für Fortbildung und Personalentwicklung h p://lehrerfortbildung-bw.de/sueb/recht/grund/ 6/44

e. VwV Datenschutz an öffentlichen Schulen Die Neufassung der Verwaltungsvorschri ist in KuU 1/2015 vom 12.01.2015, S. 15 32, veröffentlicht. Sie regelt alle Datenschutzfragen, die in der Schule au reten können und in der Verantwortung des Landes Baden-Wür emberg liegen. Diese VwV ist die bedeutsamste Datenschutzregelung für den Schulalltag. Sie umfasst den Umgang mit Lehrer- und Schülerdaten, die Nutzung privater Datenverarbeitungsgeräte durch Lehrkrä e, Einsichtnahme in schulische Prüfungsarbeiten u. a. GEW-Jahrbuch Update 2015/1 h p://www.spv-s.de/jahrbuch-update-service.html Landesfortbildungsserver Die Verwaltungsvorschri "Datenschutz an öffentlichen Schulen" mit Anhang und Material ist zu erreichen unter h p://lehrerfortbildung-bw.de/sueb/recht/grund/verwalt/ Die VwV Datenschutz an öffentlichen Schulen mit anklickbaren Sprungmarken (Inhaltsverzeichnis) erreicht man direkt über h p://www.landesrecht-bw.de/jportal/?quelle=jlink&query=vvbw-km- 20141205-SF&psml=bsbawueprod.psml&max=true Eine ausführliche Präsenta on zum Datenschutz an Schulen kann angefordert werden bei Georgia.Kolb@web.de Eine Präsenta on des KM zum Thema Verwaltungsvorschri Datenschutz an öffentlichen Schulen findet sich unter: h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/vwv_2015/vwv_ds_januar %202015.pdf Eine Synopse der wesentlichen Änderungen der bisherigen VwV findet sich unter h p://lehrerfortbildungbw.de/sueb/recht/ds_neu/vwv_2015/synopse_vwv2015_vergleich-2009.pdf In der Schulverwaltung Baden-Wür emberg (SchVw BW), 1/2015 ist unter dem Titel Schuldatenschutz in der Praxis ein hilfreicher Ar kel zur Umsetzung des Schuldatenschutzes (und des Urheberrechtes) erschienen. Dort heißt es unter anderem: Was ist nicht in der VwV geregelt? Die VwV enthält allerdings noch keine Regelungen zum Einsatz von Lern- und Kommunika onspla ormen sowie von Mobile Devices (Smartphones, Tablets usw.) an den Schulen, weil diese erst noch entwickelt werden müssen. Empfehlungen zur IT-Infrastruktur der Schulen sind ebenfalls nicht in der VwV enthalten, sondern im sogenannten Netzbrief des Kultusministeriums zu finden (siehe www.it.kultus-bw.de, Rubrik»IT-Datenschutz und Sicherheit«, 7/44

»Netztechnik/Netzbrief«). h p://lehrerfortbildungbw.de/sueb/recht/ds_neu/vwv_2015/schvw_bw_eckert_saile.pdf f. Rahmendienstvereinbarung des KM Elektronische Datenverarbeitung personenbezogener Daten durch die Schulen Diese Rahmendienstvereinbarung ist in KuU 2005, S. 154 157 veröffentlicht worden und gilt für alle öffentlichen Schulen. Ziel dieser Dienstvereinbarung ist der Schutz der Persönlichkeitsrechte der Beschä igten bei der Verarbeitung ihrer personenbezogenen Daten durch elektronische Datenverarbeitung. h p://lehrerfortbildung-bw.de/sueb/recht/grund/persdat/index.htm g. Rahmendienstvereinbarung des KM Elektronische Datenverarbeitung personenbezogener Daten durch die Kultusverwaltung Die Rahmendienstvereinbarung ist in KuU. 2005, S. 154 157 veröffentlicht worden und gilt für alle Dienststellen der Kultusverwaltung. Ziel dieser Dienstvereinbarung ist der Schutz der Persönlichkeitsrechte aller vom Hauptpersonalrat vertretenen Beschä igten bei der Verarbeitung ihrer personenbezogenen Daten durch elektronische Datenverarbeitung. h p://lehrerfortbildung-bw.de/sueb/recht/grund/persdat/index.htm 8/44

h. Rahmendienstvereinbarung des KM Einsatz von Lern-, Informa ons- und Kommunika onspla ormen Ziel dieser Dienstvereinbarung ist der Schutz der Persönlichkeitsrechte der Beschä igten bei der Verarbeitung ihrer personenbezogenen Daten beim Einsatz von Lern-, Informa ons- und Kommunika onspla ormen. Die Dienstvereinbarung regelt u. a. den Einsatz von Lernpla ormen (z. B. Moodle, LoNet, BSCW etc,) für elektronisch unterstützte Bildungsmaßnahmen (E- Learning und Blended-Learning) der Beschä igten im Geschä sbereich des Kultusministeriums. Diese Vereinbarung fasst relevante, bereits bestehende Regelungen des Datenschutzes und des Dienst- bzw. Beamtenrechts in einem Werk zusammen. h p://lehrerfortbildung-bw.de/sueb/recht/grund/pla orm/ In He 10/2012 der Schulverwaltung Baden-Wür emberg findet sich auf Seite 202/203 eine ausführliche Darstellung der verschiedenen Aspekte dieser Rahmendienstvereinbarung und der Notwendigkeit einer Konkre sierung durch eine Dienstvereinbarung vor Ort. 9/44

i. Verfahrensverzeichnis Gemäß 11 Absatz 1 des Landesdatenschutzgesetzes ist jede öffentliche Stelle, also auch jede Schule, verpflichtet, ein Verzeichnis der automa sierten Verfahren zu führen, mit denen personenbezogene Daten verarbeitet werden (z. B. UNTIS). Dieses Verzeichnis wird Verfahrensverzeichnis" genannt. Im Verfahrensverzeichnis muss die Daten verarbeitende Stelle dokumen eren, welche personenbezogenen Daten sie mit Hilfe welcher automa sierter Verfahren auf welche Weise verarbeitet und welche Datenschutzmaßnahmen sie dabei getroffen hat. Informa onen zur Pflicht des Führens von Verfahrensverzeichnissen und Vorlage derselben beim Landesbeau ragten für Datenschutz ( 32 LDSG) gibt es auf der Seite der Landesakademie für Fortbildung und Personalentwicklung an Schulen. Was ein Verfahrensverzeichnis beinhalten muss, finden Sie als Link ebenfalls auf der angegebenen Seite. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/verfahren/ Hinweise des baden-wür embergischen Landesdatenschutzbeau ragten zum Problem der Verfahrensverzeichnisse (Stand 2006) finden sich unter h p://www.baden-wuer emberg.datenschutz.de/verfahrensverzeichnis/ In Anlage 4 zu 7 Verfahrensverzeichnis, Stand 2010 sind die Elemente eines Verfahrensverzeichnisses zu finden. h p://lehrerfortbildungbw.de/sueb/recht/form/ds/verfahren/verfahrensverzeichnis.pdf Im Infodienst Schulleitung (ein E-Mail-Newsle er des Kultusministeriums für alle Schulleitungen des Landes), Mai 2012, Nummer 200, S. 3, wurden Informa onen zum Verfahrensverzeichnis-Online-BW veröffentlicht. Schulen können sich mit ihrem Dienststellenschlüssel und einem zugesandten Passwort einloggen. Dort befinden sich Mustervorlagen für die wich gsten schulischen Fachanwendungen und eine Blankovorlage für spezifische Anforderungen. Auf der Basis dieser Vorlagen können Schulen Verfahrensverzeichnisse in VV-Online-BW erstellen, speichern, nach Bedarf ändern und ausdrucken. In zweitägigen Fortbildungsveranstaltungen für Datenschutzbeau ragte an Schulen wird die Erstellung eines Verfahrensverzeichnisses mit Hilfe der Pla orm VV-Online-BW ausführlich behandelt. Bei allen Fragen zum VV-Online-BW steht das Service Center Schulverwaltung (SCS) telefonisch und per E-Mail zur Verfügung: Service Center Schulverwaltung IZLBW. Krailenshaldenstraße 44, 70469 Stu gart Telefon: +49 711 89246-0; Fax: +49 711 89246-299; E-Mail: sc@schule.bwl.de Ein ausführliches Beispiel für ein Verfahrensverzeichnis (Verfahrensverzeichnis paedml) findet man auf den Seiten der Landesakademie für Fortbildung und Personalentwicklung an Schulen: h p://lehrerfortbildung-bw.de/netz/muster/verfahrensverzeichnis/ 10/44

Ein Verfahrensverzeichnis für Moodle finden sich unter: h p://lehrerfortbildung-bw.de/sueb/recht/form/ds/verfahren/ Das Kultusministerium hat gemeinsam mit der Zentralen Projektgruppe Moodle an der Landesakademie Esslingen und BelWü (Baden-Wür emberg extended Lan) einen Mustervertrag für von BelWü angebotenen Basis- Internet-Dienste entwickelt, die eine Datenverarbeitung im Au rag nach 7 Landesdatenschutzgesetz (LDSG) beinhalten. BelWü, der Betreiber des badenwür embergischen Landeshochschulnetzes, bietet den Schulen nicht nur Basis-Internet-Dienste für die Lern-, Informa ons- und Kommunika onspla orm "Moodle" sowie "Homepage" (zum Einrichten von Schulhomepages) an, sondern auch "E-Mail" für den Einsatz im Unterricht. Hierbei können die Daten der Lehrkrä e und der Schülerinnen und Schüler (beispielsweise E-Mail-Accounts) auf den Servern des BelWü-Rechenzentrums schulspezifisch verwaltet und datenschutzkonform gespeichert werden. BelWü ist eine Einrichtung des Landes Baden-Wür emberg im Dienst von Wissenscha und Bildung. BelWü stellt den Schulen auch die für die Erstellung des Verfahrensverzeichnisses nach 11 LDSG programmspezifischen notwendigen Angaben zur Verfügung. Schulen, die bereits die Dienste von BelWü nutzen, erhalten automa sch den neuen Mustervertrag. aus: Infodienst Schulleitung, 2013/10 www.belwue.de/fileadmin/belwue/dokumente/dvia/vertrag-dv-im-au rag- Belwue.pdf j. Datenschutzrechtliche Hinweise des Kultusministeriums zum Evalua onsverfahren nach 114 SchG, September 2007 h p://www.km-bw.de/site/pbsbw2/get/documents/kultus.dachmandant/kultus/kultusportalbw/zzz_pdf/anlage%204%20merkbla %20Datenschutz.pdf Für den Fall, dass im Rahmen der so waregestützten QM-Dokumenta on personenbezogene Daten wie bspw. Namen, Geburtsdatum, Anschri en oder E-Mail Adressen gespeichert bzw. verwendet werden, ist es notwendig und wich g, die geltenden datenschutzrechtlichen Bes mmungen einzuhalten. Hierbei sind insbesondere das Gesetzt zum Schutz personenbezogener Daten (Landesdatenschutzgesetz Baden-Wür emberg) sowie die Verwaltungsvorschri Datenschutz an öffentlichen Schulen zu berücksich gen. Wird ein automa sches Verfahren angewendet, mit dem personenbezogene Daten verarbeitet werden, so ist gemäß 11 des Landesdatenschutzgesetzes Baden-Wür emberg ein Verfahrensverzeichnis hierzu anzulegen. h p://www.lsbw.de/projekte/beruflschulen/projektg/qmdokumenta on/h0926_qm_dok umenta on_stand_20130617.pdf/view?searchterm=verfahrensverzeichnis 11/44

k. Zutri skontrolle, Orien erungshilfen und Checklisten Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automa siert verarbeiten, sind gesetzlich verpflichtet, geeignete Maßnahmen zu treffen, um Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Satz 1 Nr. 1 der Anlage zu 9 Satz 1 des Bundesdatenschutzgesetzes). Art und Umfang der notwendigen Sicherungsmaßnahmen richten sich dabei nach der Sensibilität der gespeicherten Daten. Aus der Broschüre Zutri skontrolle des Landesbeau ragten für den Datenschutz Niedersachsen. h p://www.lfd.niedersachsen.de/download/60708/orien erungshilfe_zutri skontrolle_lfd_niedersachsen_.pdf B.Welche Rolle spielen die Schulleitungen beim Datenschutz? I. Einhaltung des Datenschutzes Die Verantwortung für die Sicherstellung der Einhaltung datenschutzrechtlicher Erfordernisse liegt bei der Schulleitung. Diese kann sich auch durch die Bestellung eines Datenschutzbeau ragten dieser Verantwortung nicht entledigen. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/dbs_schule/1_grund.html II. Sofern die Schule keinen behördlichen Datenschutzbeau ragten bestellt hat, ist sie nach 32 LDSG verpflichtet, das Verfahrensverzeichnis dem Landesbeauftragten für den Datenschutz vorzulegen. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/verfahren/ oder im Intranet unter h p://intranet.kv.bwl.net Vorabkontrolle Nach 12 LDSG ist eine sog. Vorabkontrolle vor dem Einsatz von datenverarbeitenden Programmen durchzuführen, wenn für den Einsatz oder die wesentliche Änderung eines automa sierten Verfahrens zur Verarbeitung personenbezogener Dateien mit besonderen Gefahren für die Persönlichkeitsrechte gerechnet werden kann. h p://www.baden-wuer emberg.datenschutz.de/? s=vorabkontrolle+landesdatenschutzgesetz 12/44

III. Informa onspflichten der Schulleitung gegenüber dem ÖPR Der Paragraph 71 (1) des LPVG verlangt: Die Personalvertretung ist zur Durchführung ihrer Aufgaben rechtzei g und umfassend zu unterrichten. Ihr sind die hierfür erforderlichen Unterlagen vorzulegen. Dies bezieht sich auf sämtliche Mitbes mmung-, Anhörungs- und Informa onstatbestände - somit auch auf die im 75 (4) 1b, 10-14, 16 und 81 (1) 1, 4 und 5 LPVG genannten Tatbestände, hier besonders 75 (4) 13. h p://www.landesrecht-bw.de/jportal/portal/t/m1h/page/bsbawueprod.psml? doc.hl=1&doc.id=jlr- PersVGBWV25P71&documentnumber=98&numberofresults=152&showdoccase= 1&doc.part=S&paramfromHL=true#focuspoint 13/44

C. Welche Rolle spielen die Personalvertretungen beim Datenschutz? I. Allgemeine Aufgaben Die Mitbes mmung des Personalrates bei der Einführung von neuen automa sierten Verfahren bezieht sich im Wesentlichen auf die Einhaltung der datenschutzrechtlichen Vorschri en zum Schutz der Beschä igten. II. III. Konkrete Beteiligung: eingeschränkte Mitbes mmung Landespersonalvertretungsgesetz und Rahmendienstvereinbarung Im 3 der Rahmendienstvereinbarung Elektronische Datenverarbeitung personenbezogener Daten durch die Schulen werden die in 75 (4) 10-14, 16 LPVG au auchenden Begriffe Mitbes mmung, Einführung, Anwendung, wesentliche Änderung und weitere Begriffe aus dem LDSG definiert: (1) Der Mitbes mmung (Zus mmung) unterliegt neben der Einführung und Anwendung von technischen Einrichtungen zur Verhaltens- und Leistungskontrolle 75 (4) 11 LPVG) vor allem die Einführung, Anwendung oder wesentliche Änderung oder wesentliche Erweiterung technischer Einrichtungen und Verfahren der automa sierten Verarbeitung personenbezogener Daten. (2) Der Begriff der Einführung beschreibt die erstmalige Einführung (Anschaffung) bzw. den ersten Einsatz eines Verfahrens. (3) Unter Anwendung ist die allgemeine Handhabung der technischen Einrichtung, die Festlegung des Verwendungszwecks und die inhaltliche Gestaltung der Programme und des Katalogs der zu speichernden Daten (Datenkatalog) zu verstehen. (4) Eine wesentliche Änderung ist immer dann anzunehmen, wenn das bisher eingesetzte Verfahren durch ein anderes Verfahren mit einem geänderten Programm ersetzt wird bzw. wenn sich die im Verfahren verwendeten personenbezogenen Merkmale ändern. (5) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bes mmten oder bes mmbaren natürlichen Person vgl. 3 Abs. 1 Landesdatenschutzgesetz LDSG h p://lehrerfortbildungbw.de/sueb/recht/grund/persdat/kuu_2005_0154_0157_p.pdf Datenschutz und Mitbes mmung Eine viersei ge Informa on Datenschutz und Mitbes mmung Hilfreiche Fragen kann von GEW-Mitgliedern bei Georgia Kolb; GEW-Bezirk Nordbaden angefordert werden: Georgia.Kolb@web.de 14/44

IV. VwV Datenschutz an öffentlichen Schulen, III. 4 Gemäß 75 (4) 13 LPVG unterliegen die Einführung, Anwendung, wesentliche Änderung oder wesentliche Erweiterung technischer Einrichtungen und Verfahren, die der automa sierten Verarbeitung personenbezogener Daten der Beschä igten dienen, der Mitbes mmung. Die Zus mmung des örtlichen Personalrats zu solchen Maßnahmen, die seitens der Schule vorgenommen werden, muss vor deren Umsetzung eingeholt werden. Soweit es sich um Maßnahmen des Schulträgers handelt, zum Beispiel die Einführung einer elektronischen Schließanlage an Schulen, ist nicht der örtliche Personalrat der Lehrer, sondern der beim Schulträger gebildete Personalrat zu beteiligen. h p://www.landesrecht-bw.de/jportal/?quelle=jlink&query=vvbw-km- 20141205-SF&psml=bsbawueprod.psml&max=true#ivz25 vgl. auch E XV V. Evalua on/fragebögen Da der Personalrat nach 75 (4) 11 LPVG ein Mitbes mmungsrecht bei Einführung und Anwendung technischer Einrichtungen hat, die dazu bes mmt sind, das Verhalten und die Leistung der Beschä igten zu überwachen, hat er somit auch für den Bereich der EDV-gestützten Auswertung personenbezogener Daten wie Fragebögen etc. innerhalb einer Evalua onsmaßnahme ein Mitbes mmungsrecht. h p://www.landesrecht-bw.de/jportal/? quelle=jlink&query=persvg+bw&psml=bsbawueprod.psml&max=true&aiz=true#j lr-persvgbwv25p71-jlr-persvgbwv20p71-jlr-persvgbwv21p71-jlr- PersVGBWV22P71-jlr-PersVGBWV23P71-jlr-PersVGBWV24P71 VI. Eine achtsei ge Broschüre Datenschutzrechtliche Hinweise des Kultusministeriums zum Evalua onsverfahren nach 114 SchG von 2007 erläutert Grundsätzliches zur Erhebung personenbezogener Daten. h p://www.kultusportal-bw.de/site/pbsbw/get/documents/kultus.dachmandant/kultus/kultusportalbw/zzz_pdf/anlage%204%20merkbla %20Datenschutz.pdf Elektronisches Klassenbuch Der ÖPR steht nach 75 (4) LPVG in der Mitbes mmung durch folgende Bezugspunkte: - zur Überwachung der Beschä igten geeignet - Gestaltung der Arbeitsplätze - automa sierte Verarbeitung personenbezogener Daten - Erleichterung des Arbeitsablaufs - Ausweitung der Kommunika onsnetze 15/44

VII. Die Einführung und der Betrieb von Kommunika onspla ormen in Schulen, die in einem Intranet oder im Internet personenbezogene Daten von Lehrerinnen und Lehrern verarbeiten, stellen eine Maßnahme im Sinne des 79 Abs. 3 Nr. 14 Landespersonalvertretungsgesetz (LPVG) dar. Somit unterliegt ihre Einführung, Anwendung, wesentliche Änderung oder wesentliche Erweiterung der Mitbes mmung. Die Zus mmung des örtlichen Personalrats zu solchen Maßnahmen, die seitens der Schule bzw. des Schulträgers vorgenommen werden, muss vor deren Umsetzung eingeholt werden. Der zuständige Personalrat ist von Anfang an in die Entwicklung mit eingebunden. h p://lehrerfortbildung-bw.de/moodle-info/schule/schulorga/rahmen/ VIII. Elektronische Tafeln Whiteboards Hierbei hat der Personalrat Mitbes mmungsrechte, die sich vor allem um die Frage drehen: Welche personenbezogenen Daten sind notwendig, wo und wie lange werden diese Daten gespeichert, wer hat Zugriff auf sie und wann werden sie gelöscht? Durch welche Maßnahmen lassen sich diese Daten reduzieren oder gar vermeiden? Darüber hinaus ist die Rahmendienstvereinbarung Elektronische Datenverarbeitung personenbezogener Daten durch die Schulen zu beachten, die im 7 Verhaltens- und Leistungskontrollen klar legt: Eine Verhaltensund/oder Leistungskontrolle der Beschä igten mi els automa sierter Verarbeitung personenbezogener Daten findet nicht sta. IX. Mitbes mmung bei der Bestellung des/der behördlichen Datenschutzbeau ragten Das Mitbes mmungsrecht des 75 (4) 1 b LPVG erstreckt sich auch auf die nach 10 LDSG vorzunehmende op onale Bestellung und Abberufung des behördlichen Datenschutzbeau ragten. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/dbs_schule/6_mit_pers.html In Analogie dazu ist ein Urteil des Hessischen Verwaltungsgerichtshofes zu sehen: Das Mitbes mmungsrecht des 74 Abs. 1 Nr. 3 HPVG (hessisches Personalvertretungsgesetz) erstreckt sich auch auf die nach 5 Abs. 1 S. 1 HDSG vorzunehmende Bestellung des Vertreters bzw. der Vertreterin des bzw. der behördlichen Datenschutzbeau ragten. Ausführungen zu diesen Urteil findet man in: PersV 4_2014, S. 146/147 X. Lehrerdaten für die Personalratsarbeit Der Personalrat hat Anspruch auf Lehrerdaten wie Namen, Fächer, Stundenzahl etc. E&W, 2015/4, S. 42 h p://www.gew.de/eundw/publika onen/list/reset/0/ h ps://openjur.de/u/707864.html 16/44

XI. Kontrolle eines Personalrats Auch der Personalrat einer Dienststelle ist Teil der meiner Kontrolle nach 28 LDSG unterliegenden öffentlichen Stelle und hat wegen der hohen Vertraulichkeit der von ihm verarbeiteten Daten besondere datenschutzrechtliche Sorgfalt walten zu lassen. Aufgrund der Eingabe eines Beschä igten einer Stadt hat meine Dienststelle den Personalrat dieser Stadtverwaltung einer Kontrolle unterzogen. Besonders zu erwähnen ist, dass das Ergebnis der Kontrolle ausschließlich dem Personalrat mitgeteilt wurde, weil er seine Aufgaben im Verhältnis zu seiner Dienststelle unabhängig und eigenverantwortlich wahrnimmt. h p://www.sta s k-bw.de/opal/ergebnis.asp?wp=14&drsnr=6131 17/44

D.Datenschutzbeau ragte/r an Schulen I. Kann oder muss es einen Datenschutzbeau ragten an jeder Schule geben? Mit der Novellierung des Landesdatenschutzgesetzes 2000 anlässlich der Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde mit der oder dem behördlichen Datenschutzbeau ragten eine weitere ins tu onelle Instanz in 10 Landesdatenschutzgesetz (LDSG) eingeführt. Im Gegensatz zu der Mehrheit der Bundesländer hat sich Baden-Wür emberg nicht für eine verpflichtende Bestellung einer/eines behördlichen Datenschutzbeau ragten (bdsb) ausgesprochen, sondern eine Bestellung in 10 Abs. 1 LDSG op onal vorgesehen. Das heißt, zur Bestellung einer/eines bdsb besteht keine gesetzliche Verpflichtung; die Bestellung einer/eines bdsb ist nur eine Kannbes mmung. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/dbs_schule/ II. LDSG 10 Behördlicher Datenschutzbeau ragter (1) Öffentliche Stellen können einen behördlichen Datenschutzbeau ragten bestellen. Die Bestellung bedarf der Schri form. h p://www.baden-wuer emberg.datenschutz.de/landesdatenschutzgesetzabschni -1/ Ein eigener Datenschutzbeau ragter für eine Schule ist möglich; es steht jeder öffentlichen Schule frei, aus der Mi e des Lehrerkollegiums einen behördlichen Datenschutzbeau ragten zu bestellen. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/dbs_schule/1_grund.html Zur Bestellung der/des Datenschutzbeau ragten gibt es eine Mustervorlage auf dem Landesfortbildungsserver. Dort findet sich auch das der/dem Datenschutzbeau ragten bei seiner Ernennung auszuhändigende Merkbla. http://lehrerfortbildungbw.de/sueb/recht/form/dv/bestell.html Welche Qualifizierung benö gen Datenschutzbeau ragte? Diese Frage beantwortet das LDSG 10 folgendermaßen: (2) Bestellt werden darf nur, wer die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt ausgesetzt wird. Die öffentliche Stelle kann einen Bediensteten ihrer Aufsichtsbehörde mit deren Zus mmung zum Beau ragten für den Datenschutz bestellen. h p://www.baden-wuer emberg.datenschutz.de/landesdatenschutzgesetzabschni -1/ 18/44

III. Welche Rolle hat die/der Datenschutzbeau ragte einer Schule? Die Rolle des Datenschutzbeau ragten wird im LDSG 10 eindeu g definiert: (3) Der behördliche Datenschutzbeau ragte ist bei der Erfüllung seiner Aufgaben der Behördenleitung unmi elbar zu unterstellen. Er ist bei der Erfüllung seiner Aufgaben weisungsfrei und darf deswegen nicht benachteiligt werden (4) Der behördliche Datenschutzbeau ragte hat die Aufgabe, die öffentliche Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschri en über den Datenschutz zu unterstützen. Zu seinen Aufgaben gehört es insbesondere, 1. auf die Einhaltung der Datenschutzvorschri en bei der Planung, Einführung und Anwendung von Verfahren, mit denen personenbezogene Daten automa siert verarbeitet werden, hinzuwirken, 2. die bei der Verarbeitung personenbezogener Daten tä gen Personen durch geeignete Maßnahmen mit den Bes mmungen dieses Gesetzes sowie den sons gen Vorschri en über den Datenschutz und den besonderen Erfordernissen des Datenschutzes in ihrem Tä gkeitsbereich vertraut zu machen sowie 3. das Verfahrensverzeichnis ( 11) zu führen. Der behördliche Datenschutzbeau ragte ist vor dem Einsatz oder der wesentlichen Änderung eines automa sierten Verfahrens rechtzei g zu unterrichten. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/dbs_schule/2_aufg.html Sofern die verantwortliche Stelle einen behördlichen Datenschutzbeau ragten i.s. von 10 LDSG bestellt hat, gehört es zu dessen Aufgaben, das Verfahrensverzeichnis zu führen ( 10 Abs. 4 Nr. 3 LDSG). Andernfalls muss die verantwortliche Stelle im Rahmen ihrer Geschä sverteilung festlegen, welcher Bedienstete für die Führung des Verfahrensverzeichnisses verantwortlich ist. In jedem Falle muss die verantwortliche Stelle durch organisatorische Regelungen sicherstellen, dass der für die Führung des Verfahrensverzeichnisses Verantwortliche von allen automa sierten Verfahren erfährt Eine gute und durchaus mit dem Landesrecht in Einklang stehende Aufgabenbeschreibung des behördlichen Datenschutzbeau ragten auf Bundesebene Stand April 2015 mit dem Titel Mindestanforderungen an die Organisa on und Aufgabenbeschreibung der behördlichen Datenschutzbeau ragten in der Bundesverwaltung findet sich auf den Seiten der Bundesdatenschutzbeau ragten unter h p://www.bfdi.bund.de/de/infothek/pressemi eilungen/2015/14_mindestanfo rderungbehoerdlichedsbeau ragte.html?nn=5217154 10 Abs. 4 Satz 1 LDSG beschreibt generell die Aufgabe des bdsb, die Behörde im Bereich des Datenschutzes zu unterstützen und zu beraten. Dadurch wird klargestellt, dass die Verantwortlichkeiten sowohl bei der Schulleitung als auch bei den Lehrkrä en und sons gen Mitarbeitern in der Schule in ihrem jeweiligen Aufgabenbereich bestehen bleiben, diese also für die übertragenen Aufgaben - auch hinsichtlich der Anwendung des Datenschutzes - verantwortlich sind. Für den 19/44

Schulbereich bedeutet dies konkret, dass die Gesamtverantwortung, also auch für die Erstellung des Verfahrensverzeichnisses, bei der Schulleitung liegt, die selbstverständlich Aufgaben delegieren kann. Gemäß 10 Abs. 4 Satz 2 Nr. 3 LDSG führt der bdsb das Verfahrensverzeichnis der Schule. Im Gegensatz zum BDSG ist dort nicht geregelt, wer das Verfahrensverzeichnis erstellt, so dass diese Aufgabe von der Schulleitung auf die jeweiligen Verfahrensverantwortlichen oder den bdsb delegiert werden kann. Aber auch wenn die Schulleitung den bdsb mit der Erstellung des Verfahrensverzeichnisses beau ragt, heißt dies nicht, dass er diese Aufgabe allein bewäl gen kann, weil er hierfür auf die Angaben der jeweiligen Verfahrensverantwortlichen angewiesen sein wird. Der Input für das Verfahrensverzeichnis muss also zumindest bei größeren Schulen von den jeweiligen Verfahrensverantwortlichen geleistet werden. Insofern müsste der bdsb die notwendigen Angaben für das Verfahrensverzeichnis bei den für die einzelnen Verfahren zuständigen Personen erheben, beispielsweise technische Informa onen, also 11 Abs.2 Nr. 9 und 10 LDSG, vom EDV-Administrator bzw. vom Netzwerkbetreuer. Bei kleineren Schulen sieht es natürlich anders aus; da wird diese Aufgabe weitgehend vom bdsb selbst erledigt werden müssen, weil keine Verfahrensverantwortlichen vorhanden sind. Fazit: Im Regelfall ist an den Schulen zur Erstellung des Verfahrensverzeichnisses eine Zusammenarbeit zwischen den Verfahrensverantwortlichen und dem bdsb erforderlich. Neben der datenschutzrechtlichen Dokumenta on des automa sierten Verfahrens erfüllt das Verfahrensverzeichnis noch einen weiteren Zweck. Durch die umfassende Dokumenta on des jeweiligen Verfahrens ist nämlich der verantwortlichen Stelle eine Eigenkontrolle des Verfahrens möglich. Hierbei kann insbesondere überprü werden, ob das Verfahren rechtmäßig eingesetzt wird und vor allem ob die getroffenen technischen und organisatorischen Datenschutz- Maßnahmen wirksam und ausreichend sind. Vor diesem Hintergrund erscheint es zumindest für größere Schulen von Vorteil zu sein, dass das Erstellen des Verfahrensverzeichnisses nicht durch den Datenschutzbeau ragten der Schule selbst erfolgt, sondern vom Datenschutzbeau ragten beratend begleitet wird. Die Schulleitung sollte zumindest prüfen, ob das Erstellen des Verfahrensverzeichnisses in die Hände der jeweiligen Verfahrensverantwortlichen gelegt werden kann. Auf diese Weise ist es möglich, dass der behördliche Datenschutzbeau ragte seiner Beratungspflicht wirksam nachkommen kann und eine Selbstkontrolle in der Schule nach dem Vier- Augen-Prinzip erfolgt... Ja, es s mmt, dass die Schulleitung für die Erstellung des Verfahrensverzeichnis verantwortlich ist, weil sie die Gesamtverantwortung für die Einhaltung des Datenschutzes an der Schule trägt. Sie kann wie oben ausgeführt diese Aufgaben auf die jeweiligen Verfahrensverantwortlichen und/oder auf den bdsb delegieren. Aus einem Schreiben des KM auf eine Schulleiteranfrage zum Verfahrensverzeichnis von 2012 20/44

IV. V. Welche Fortbildungen für Datenschutzbeau ragte gibt es? Für Datenschutzbeau ragte werden zweitägige regionale Fortbildungen angeboten. Zielgruppen sind neben Datenschutzbeau ragten an Schulen auch Schulleiter, Mul mediabetreuer etc. h p://lehrerfortbildung-bw.de/sueb/recht/ /daten.html Die derzei ge Themenliste der Fortbildungen enthält folgende Punkte: Allgemeine Grundlagen Datenschutz VwV Datenschutz an öffentlichen Schulen IT-Infrastruktur an Schulen IT-Personal an Schulen Aufgaben des Datenschutzbeau ragten Grundlagen Passwortsicherheit Verschlüsselung mit VeraCrypt VI. Welche Freistellungen/Deputatsermäßigung erhalten Datenschutzbeau ragte? Datenschutzbeau ragte erhalten trotz ihres umfangreichen Aufgabenspektrums per se keine Freistellung. Auf den Seiten der Landesakademie für Fortbildung und Personalentwicklung an Schulen heißt es: Die Entlastungsstunden kommen aus dem allgemeinen Entlastungskon ngent der Schule! h p://lehrerfortbildung-bw.de/netz/it-personal/schule.html Dazu findet sich keine Belegstelle in den einschlägigen Verwaltungsvorschri en. Zur Frage wie viele Poolstunden für eine Ermäßigung herangezogen werden sollten, kann die GLK eine Empfehlung abgeben. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/dbs_schule/2_aufg.html h p://lehrerfortbildung-bw.de/netz/it-personal/schule.html VII. Kann man sich eine/n Datenschutzbeau ragte/n mit anderen Schulen oder dem Schulträger teilen? Mehrere Stellen können nach LDSG 10 (2) gemeinsam einen Datenschutzbeau ragten bestellen. h p://www.baden-wuer emberg.datenschutz.de/landesdatenschutzgesetzabschni -1/ 21/44

E. Themen des Datenschutzes an Schulen Im Folgenden finden Sie verschiedene Aspekte des schulischen Lebens, die datenschutzrechtlich Probleme bereiten. I. Netzinfrastruktur a. Dreistufige Netzinfrastruktur Im Netzbrief V2 an alle öffentlichen Schulen in Baden-Wür emberg vom 16.06.2014 hat das KM eine dreistufige Netzinfrastruktur an den Schulen empfohlen: - Verwaltungsnetz: Arbeitsumgebung Schulleitung - Lehrernetz: Arbeitsumgebung Lehrkrä e - pädagogisches Netz: Unterrichtsumgebung Die einzelnen Netze bzw. Netzsegmente sind dabei physikalisch oder logisch z.b. über Switches/Router oder Firewalls gegeneinander abzuscho en. Zugriffe über die Netze bzw. Netzsegmente hinweg sind in geeigneter Weise zu protokollieren. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/technik/infra b. Netzbrief V3 vom September 2015 Ein weiterer Netzbrief in For ührung des Netzbriefes von 2014 erschien im September 2015. Dort schreibt das Kultusministerium: Der zunehmende Bedarf für die unterrichtliche Verwendung von sogenannten Kompetenzrastern macht es erforderlich, den Netzbrief in Bezug auf das pädagogische Netz fortzuschreiben. In der Hauptsache geht es im Netzbrief V3 um Änderungen im pädagogischen Netz und die Möglichkeit, vom pädagogischen Netz unter Benutzung einer Zwei-Faktoren-Authen fizierung auf das Lehrernetz zugreifen zu können. h p://www.kultusportal-bw.de/site/pbs-bwnew/search/830428/lde/index.html?quicksearch=true&query=netzbrief+3 h p://lehrerfortbildung-bw.de/netz/it-infrastruktur/ c. paedml h p://www.lmz-bw.de/technische-unterstuetzung/leistungen/support-netzportal/newsle er-ar kel/treffen-der-genera onen.html d. IT-Datenschutz und Sicherheit h p://www.it.kultus-bw.de/,lde/startseite/it- Sicherheit/Netztechnik+_+Netzbrief 22/44

II. Daten von Schülerinnen und Schülern, Erziehungsberech gen und Lehrkrä en Eine ausführliche Darstellung des Umgangs mit Daten aller am Schulleben Beteiligten erhalten Sie auf den Lehrerfortbildungsseiten. Dort finden Sie auch Informa onen zum datenschutzrechtlich unterschiedlichen Umgang mit Schülerinnen und Schülern unter oder über 16 Jahren. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/daten/ Vgl. dazu auch E V: Notenverwaltung in der Wolke III. Aushang von Vertretungsplänen Bei der Anzeige personenbezogener Daten von Lehrkrä en auf Bildschirmen (z. B. Vertretungspläne) muss beachtet werden, dass es sich um einen schulischen Raum handeln muss und nicht um einen Bereich, der auch in der Regel der allgemeinen Öffentlichkeit zugänglich ist, z.b. nicht im Foyer, sondern im Bereich der betroffenen Abteilungen oder im Bereich der Lehrerzimmer. Von der Rechtmäßigkeit der Nennung des Namens der Lehrkra wird ausgegangen. In jedem Fall ist die Nennung des Grundes der Vertretung zu vermeiden. Bei den einzelnen Lehrkrä en muss keine Genehmigung zur namentlichen Veröffentlichung der Vertretungspläne eingeholt werden., da die schulinterne Bekanntmachung von Vertretungsplänen für die Aufgabenerfüllung erforderlich ist, um einen geordneten Dienstbetrieb zu ermöglichen. Es bedarf daher keiner Einwilligung seitens der betroffenen Lehrkrä e. (Schreiben des KM von 2011) In einem Schreiben des KM von 2012 wird Vergleichbares formuliert: Wo schulfremde Personen häufig verkehren, sollten Bildschirmanzeigen von Vertretungsplänen möglichst nicht eingesetzt werden. Weitere Hinweise finden Sie in den FAQs zum Datenschutz: h p://lehrerfortbildung-bw.de/sueb/recht/faq_ds/ 23/44

IV. Elektronisches Klassentagebuch Nach der Verwaltungsvorschri des KM vom 10. Februar 1999 (KuU S.19/1999), zuletzt geändert am 14.6.2001 (KuU S. 273/2001), ist derzeit die Führung der Klassentagebücher in Papierform notwendig. Bei zusätzlich geführten elektronischen Klassenbüchern ist die Zus mmung des Personalrates zur Einführung des entsprechenden So wareprogramms ( 75 (4) 13 LPVG) erforderlich, da diese Klassenbücher auch Daten der unterrichtenden Lehrkrä e enthalten. Ferner ist ein Verfahrensverzeichnis anzulegen. h p://www.landesrecht-bw.de/jportal/?quelle=jlink&query=vvbw-2210-km- 19990210-SF&psml=bsbawueprod.psml&max=true In einem Schreiben vom November 2013 führt das Kultusministerium an, dass bei Führung eines elektronischen Klassenbuches dies in das Verfahrensverzeichnis (hierzu 11 des Landesdatenschutzgesetzes) der Schule aufgenommen werden muss. Hat die Schule keinen behördlichen Datenschutzbeau ragten, muss das Verfahren dem Landesbeau ragten für den Datenschutz gemeldet werden ( 32 LDG). Außerdem müssen regelmäßig Ausdrucke erzeugt werden, da die Schri form der Tagebücher bis heute nicht aufgehoben ist. Das Kultusministerium hat den Schulen nachgelassen, dass zumindest ein halbjähriger Ausdruck grundsätzlich ausreichend ist. Werden diese Bedingungen eingehalten, ist es nicht mehr erforderlich, parallel dazu das bisherige "Klassenbuch" weiterzuführen. Der Ausdruck tri an seine Stelle. Nach einer Auskun des KM aus dem Jahre 2013 müssen nicht 2 Tagebücher (elektronisch und Papier) parallel geführt werden, aber es muss mindestens halbjährlich ein Ausdruck der im digitalen Tagebuch erfassten Daten erfolgen. Das elektronische Tagebuch wird demnächst (Stand 2015. 11) unter bes mmten technisch-organisatorischen Maßnahmen (vgl. Netzbrief 3: doppelte Authen fizierung) erlaubt werden. Dazu wird eine VwV und eine Handreichung erscheinen. Der Personalrat ist bei der Einführung eines elektronischen Klassenbuches zus mmungspflich g. Die Rolle der Glk ist noch zu klären. Unter Datenschutzgesichtspunkten ergeben sich folgende Aspekte: - Wer darf auf welche Daten zugreifen? - Ist sichergestellt, dass Schülerinnen sich nicht als Lehrer anmelden können? - Aufnahme in das Verfahrensverzeichnis - evtl. Berücksich gung einer Datenverarbeitung im Au rag nach 7 LDSG (nach KM-Präsenta on von 11.2013/Reip) Im Berufsschulinfo der GEW vom Januar 2014 ist ein ausführlicher Ar kel der GEW zum Thema Elektronisches Klassenbuch erschienen. In einem Schreiben an den HPR Berufliche Schulen vom 20.11.2014, Az. 41-0551.0/82 finden sich die oben dargestellten, derzeit gül gen Aussagen des KM zum elektronischen Klassenbuch. Die im Netzbrief des KM vom 16.06.2014 dargestellten datenschutzrechtlichen Regelungen für Netzwerke an Schulen verunmöglichen de facto derzeit die 24/44

Führung eines elektronischen Klassenbuches. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/technik/infra/ V. Notenverwaltung in der Wolke Eine Notenverwaltung ist in der Wolke aus datenschutzrechtlichen Gründen grundsätzlich nicht möglich. Das KM verweist in einem Schreiben an den HPR GHWRGS vom 14.02.2015 auf ein datenschutzrechtliches zulässiges App, das die Verwaltung von personenbezogenen Daten von Schülerinnen und Schülern bis hin zu Benotungen auf Smartphones und Tablets lediglich auf dem Gerät durchführt und speichert. Es wird von dem gemeinsamen Medienins tut der Länder (Film und Bild in Wissenscha und Unterricht FWU) angeboten. Dieser Lehrerkalender ist sowohl in Google Play als auch im APP Store erhältlich. Nähere Informa on unter h p://www.fwu.de/der-fwu-lehrerkalender/ Anzumerken ist, dass die App unter Android erhebliche Rechte verlangt, die unter dem Gesichtspunkt des Datenschutzes für den Anwender nicht gutgeheißen werden können: - Fotos und Videos aufnehmen - allgemeiner (netzwerkbasierter) Standort - Genauer Standort (GPS) VI. Notenlisten im Mailversand In der VwV Datenschutz an öffentlichen Schulen heißt es unter 3.1.3 Datenübermi lung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberech gten: Die Schulen übermi eln ohne Einwilligung der Betroffenen grundsätzlich keine personenbezogenen Daten an Privatpersonen oder andere Stellen außerhalb des öffentlichen Bereichs. h p://www.landesrecht-bw.de/jportal/?quelle=jlink&query=vvbw-km- 20141205-SF&psml=bsbawueprod.psml&max=true#ivz14 Ein Formular zur Einwilligungserklärung von Betroffenen findet man unter h p://lehrerfortbildung-bw.de/sueb/recht/form/page/ 25/44

VII. E-Mail zwischen Schule und Eltern Die Landesakademie gibt umfangreiche Empfehlungen, wie der elektronische Informa onsfluss zwischen Eltern und Schule unter datenschutzrechtlichen Gesichtspunkten abgewickelt werden kann. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/daten/email/ Der Ar kel Digitale Kommunika on mit Eltern Poten ale und Grenzen, in: Schulverwaltung Baden-Wür emberg 2, 2013 enthält keinerlei datenschutzrechtliche Würdigung (nur für registrierte Benutzer): h p://www.zeitschri enpool.schulleitung.de/dokument/? user_nvurlapi_pi1[ordner]=p~schvw_ Baden-Wuer emberg/schvw_baden- Wuer emberg/2013/ausgabe_2/thema_des_monats Wirklich geschützt sind E-Mails nur bei Ende-zu-Ende-Verschlüsselung. Links zur Problema k der Nichtwahrung des Briefgeheimnisses bei E-Mail: www.h p://www.thunderbird-mail.de/wiki/enigmail_openpgp h ps://www.bsi-fuerbuerger.de/bsifb/de/meinpc/datenverschluesselung/datenverschluesselung_no de.html h p://www.der-sichere-mailserver.de/sicherheit.html VIII. E-Mail im Unterricht Der schulische Bildungsau rag umfasst nicht das Einrichten/Nutzen von E-Mail- Accounts für Schülerinnen oder Schüler zum privaten Gebrauch. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/daten/email_unter/ 26/44

IX. Einsatz sozialer Netzwerke an Schulen Aufgrund datenschutzrechtlicher Bes mmungen ist die Verwendung von sozialen Netzwerken für die dienstliche Verarbeitung personenbezogener Daten generell verboten. Hierunter fällt jegliche dienstlichen Zwecken dienende Kommunika on zwischen Schülern und Lehrkrä en sowie zwischen Lehrkrä en untereinander, ferner das (Zwischen-) Speichern von personenbezogenen Daten jeder Art auf sozialen Netzwerken. Darunter fällt die Mailkommunika on innerhalb von sozialen Netzwerken ebenso wie Chats, aber auch der dienstliche Austausch personenbezogener Daten wie das Mi eilen von Noten, ferner das Einrichten von Arbeits- und Lerngruppen zum Austausch von verschiedensten Materialien, die Vereinbarung schulischer Termine und Informa onen zu Erziehungs- und Ordnungsmaßnahmen. Im Rahmen des Unterrichts dürfen soziale Netzwerke jedoch dazu genutzt werden, um Funk onsweise, Vorteile, Nachteile, Risiken usw. pädagogisch aufzuarbeiten. Ferner können Arbeits- und Lerngruppen oder der Austausch verschiedener Materialien beispielsweise mit Moodle als datenschutzfreundliche Alterna ve realisiert werden. Generell ist die Verarbeitung von personenbezogenen Daten im Rahmen der schulischen Arbeit auf sozialen Netzwerken von Anbietern unzulässig, soweit deren Server außerhalb des europäischen Wirtscha sraumes betrieben werden, es sich um US-amerikanische Unternehmen handelt oder ein Zugriff von außerhalb des europäischen Wirtscha sraumes möglich ist. Der Grund dafür ist, dass die außereuropäischen Datenschutzstandards nicht mit deutschen und europäischen Datenschutzstandards in Einklang stehen. Ferner sind die AGBs bzw. Nutzungsbedingungen nicht mit dem deutschen Datenschutzrecht zu vereinbaren. h p://lehrerfortbildung-bw.de/sueb/recht/ds_neu/soziale_netze/ X. Ein Impressum auf der Schulhomepage ist Pflicht! Ein Musterimpressum, allerdings ohne rechtsverbindliche Verantwortung, erhalten Sie auf dem Landesfortbildungsserver. Vgl. dazu auch Kapitel H. h p://lehrerfortbildung-bw.de/sueb/recht/urh/homep/fall/muster.htm 27/44