Inhalt

4. Zulässigkeit der Datenerhebung, ‑verarbeitung und ‑nutzung

Allgemeines:
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn sie durch eine Rechtsvorschrift erlaubt ist oder wenn der Betroffenen eingewilligt hat (Art. 15 Abs. 1 BayDSG). Eine gesetzliche Erlaubnis zur Datenerhebung, ‑verarbeitung und ‑nutzung im Schulbereich ist beispielsweise in Art. 85 BayEUG unter den dort genannten Voraussetzungen enthalten.
Ohne eine ausdrückliche Erlaubnis durch Rechtsvorschrift dürfen personenbezogenen Daten nur erhoben, verarbeitet oder genutzt werden, wenn der Betroffene wirksam eingewilligt hat. Eine Einwilligung ist nur wirksam, wenn sie freiwillig, informiert und in der Regel schriftlich erfolgt (siehe zu den Anforderungen einer wirksamen Einwilligung Art. 15 Abs. 2 bis 4 und 7 BayDSG). Bei minderjährigen Schülerinnen und Schülern bis zur Vollendung des 14. Lebensjahres müssen die Erziehungsberechtigten einwilligen, bei minderjährigen Schülerinnen und Schülern ab Vollendung des 14. Lebensjahres diese selbst und die Erziehungsberechtigten.
Zur Einholung der Einwilligungen der Betroffenen im Zusammenhang mit der Öffentlichkeitsarbeit der Schulen (Veröffentlichung auf der Schulhomepage, in der örtlichen Tagespresse und im Jahresbericht [soweit es um Daten geht, die nicht in Art. 85 Abs. 3 BayEUG aufgeführt sind)] hat das Staatsministerium für Unterricht und Kultus den Schulen Einwilligungsmuster verbindlich vorgegeben (siehe Anlage zu dieser Bekanntmachung). Die Muster können für den individuellen Einsatz angepasst werden, die rechtlichen Aussagen dürfen dadurch aber nicht verändert werden.

4.1 Zulässigkeit der Datenerhebung

Nach Art. 85 Abs. 1 Satz 1 BayEUG dürfen die Schulen „die zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlichen Daten erheben“. Dieser Erforderlichkeitsgrundsatz ist einer der zentralen Grundsätze des Datenschutzes: Die Erhebung personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Aufgabenerfüllung der erhebenden Stelle erforderlich ist.
Ob eine Datenerhebung zur Aufgabenerfüllung erforderlich ist, muss in jedem Einzelfall mit Blick auf die konkret zugewiesene Aufgabe beurteilt werden. Die Aufgabenzuweisung ergibt sich aus den einschlägigen Spezialregelungen, vor allem dem BayEUG, den Schulordnungen, dem Bayerischen Schulfinanzierungsgesetz, dem Bayerischen Beamtengesetz, dem Beamtenstatusgesetz, etc.
In den Rechtsvorschriften müssen die zur Erhebung zulässigen Daten nicht einzeln aufgeführt sein. Dies darf jedoch nicht dazu führen, dass wahllos Daten erhoben werden, die an der Schule vielleicht irgendwann einmal zur Erfüllung ihrer Aufgaben benötigt werden könnten – das wäre eine unzulässige Datensammlung auf Vorrat. Die Schulen haben vielmehr bei jedem Datum konkret zu prüfen, auf Grundlage welcher Rechtsvorschrift im Einzelnen seine Erhebung zulässig ist und ob seine Erhebung für die Erfüllung der Aufgabe der Schule schon jetzt tatsächlich erforderlich ist.
Bei der Erhebung von Daten durch die Schulen ist der Betroffene auf die Rechtsvorschrift hinzuweisen, die ihn zu den geforderten Angaben verpflichtet (in der Regel Art. 85 Abs. 1 BayEUG). Der Hinweis ist, wenn möglich, schriftlich zu geben; erfolgt er zusammen mit anderen Erklärungen, so ist er deutlich hervorzuheben.
Aus Gründen der Aufsichtspflicht ist es zulässig, bei Internetzugriffen im Unterricht oder bei Internetzugriffen außerhalb des Unterrichts zu unterrichtlichen/dienstlichen Zwecken automatisierte personenbezogene Protokolldateien zu führen. Die Schülerinnen und Schüler, Lehrkräfte und Verwaltungsangestellten sind in geeigneter Weise auf die Protokollierung hinzuweisen, etwa durch einen entsprechenden Passus in einer Nutzungsordnung bzw. im Rahmen einer Belehrung, dass außerdienstliche bzw. nicht schulisch veranlasste Internetzugriffe am Verwaltungsrechner unzulässig sind. Daneben sind die Maßgaben des Personalvertretungsrechts – insbesondere Art. 75a BayPVG – zu beachten. Lehrkräften und Verwaltungsangestellten kann – z.B. im Rahmen einer entsprechenden Dienstvereinbarung, die jeweils vor Ort abzuschließen wäre – ausnahmsweise eine außerdienstliche Internetnutzung gestattet werden.
Siehe hierzu – insbesondere zum Einwilligungserfordernis in die Protokollierung bei privater Internetnutzung – ausführlich die Rechtlichen Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schulen (Bekanntmachung des Staatsministeriums für Unterricht und Kultus).
Für die Erhebung von Daten zum Zwecke einer Verarbeitung außerhalb der Schule (Erhebungen einschließlich Umfragen und wissenschaftliche Untersuchungen) sind in den Schulordnungen Regelungen getroffen.

4.2 Zulässigkeit der Datenverarbeitung und ‑nutzung

Nach Art. 85 Abs. 1 Satz 1 BayEUG ist die Verarbeitung und Nutzung von Daten, die zur Erfüllung der den Schulen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlich sind, zulässig. Es ist also auch hier der Erforderlichkeitsgrundsatz zu beachten (vgl. Nr. 4.1). Weitere Vorschriften, die eine Datenverarbeitung erlauben, sind z.B. Art. 85a und Art. 113a BayEUG.
Der für die automatisierte Verarbeitung und Nutzung von Schülerdaten, Kollegiatendaten, Lehrerdaten, Bibliotheks(ausleihe-)daten sowie die automatisierte Erstellung von Stundenplänen und Vertretungsplänen jeweils zulässige Datenrahmen ist in den Anlagen der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG beschrieben.
Betreffend das Amtliche Schulverwaltungsprogramm ASV ist der zulässige Datenrahmen in der landesweiten datenschutzrechtlichen Freigabe festgelegt. Hinsichtlich des Datenrahmens EDV-mäßig geführter Lehrerdaten, der in einem solchen Verfahren zulässigen Auswertungen, der zugriffsberechtigten Personen etc. hat das Bayerische Staatsministerium für Unterricht und Kultus mit dem Hauptpersonalrat des staatlichen Lehrpersonals die „Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV“ geschlossen.
Bei der Übermittlung von Daten sind folgende Fälle zu unterscheiden:
a)
Datenübermittlung zur Erfüllung der den Schulen durch Rechtsvorschriften jeweils zugewiesenen Aufgaben: nach Art. 85 Abs. 1 Satz 1 BayEUG im Rahmen des Erforderlichen zulässig.
Unter dieser Voraussetzung ist es beispielsweise zulässig,
aus der Lehrerdatei ein Sprechstundenverzeichnis für die Eltern zu erstellen,
den Eltern einer Schülerin bzw. eines Schülers der Schule die Telefonnummer eines Mitglieds des Elternbeirats mitzuteilen,
die jeweiligen Ausbildungsbetriebe über bedeutsame Angelegenheiten, welche die Ausbildung der Berufsschülerin oder des Berufsschülers betreffen, zu unterrichten (vgl. Art. 59 Abs. 3 BayEUG in Verbindung mit § 21 Abs. 1 Satz 2 BSO).
b)
Weitergabe von Daten und Unterlagen über Schülerinnen und Schüler und Erziehungsberechtigte an außerschulische Stellen: nur bei Nachweis eines rechtlichen Anspruchs auf die Herausgabe dieser Daten nach Art. 85 Abs. 2 BayEUG zulässig. Diese Regelung gilt nicht nur für die Übermittlung von Daten, sondern auch für die Übermittlung von Unterlagen.
Unter dieser Voraussetzung ist es beispielsweise zulässig, Auskünfte über Lehrkräfte und Schülerinnen bzw. Schüler an Strafverfolgungsbehörden (Staatsanwaltschaft, Polizei) weiterzugeben.
Nicht zulässig ist es dagegen beispielsweise,
Schüler- oder Lehrerdaten zu Werbezwecken weiterzugeben (Nimmt eine Schule aus pädagogischen Gründen an einem Wettbewerb einer nichtstaatlichen Stelle teil, so ist bei minderjährigen Schülerinnen und Schülern die – in der Regel schriftliche – Einwilligung der Erziehungsberechtigten erforderlich, ab Vollendung des 14. Lebensjahres zusätzlich auch die schriftliche Einwilligung der Schülerinnen und Schüler selbst. Der Einwilligung muss eine angemessene Information über die Teilnahmebedingungen vorausgehen. Vor der Weitergabe von Adressdaten zur Benachrichtigung der Sieger oder zur Verleihung der Preise muss vom Wettbewerbsveranstalter eine Erklärung abgegeben werden, dass die Daten nicht zu Werbezwecken verwendet werden und nur für die Dauer des Wettbewerbs gespeichert und dann gelöscht werden.),
Lehrerdaten ohne Zustimmung der Betroffenen zur Erstellung eines Lehrerhandbuchs weiterzugeben,
Daten über Fehltage der Schülerinnen und Schüler ohne Zustimmung der Erziehungsberechtigten bzw. volljährigen Schülerinnen und Schüler an eine (kommunale) Beratungsstelle weiterzugeben,
Adressen der Erziehungsberechtigten ohne Zustimmung der Betroffenen an Elternverbände weiterzugeben,
Jahresberichte an außerschulische Interessenten zu übersenden, insbesondere wenn erkennbar ist, dass diese auf Gewinnung von schülerbezogenen Daten abzielen (aus diesem Grunde ist es auch nicht erlaubt, Schüler- oder Lehrerlisten des Jahresberichts ins Internet einzustellen),
Schüler-, v. a. Abiturientennamen ohne Einwilligung der Betroffenen ins Internet einzustellen oder zur Veröffentlichung in einer Zeitung zur Verfügung zu stellen (Muster zur Einholung der Einwilligungserklärungen finden sich in der Anlage zu dieser Bekanntmachung),
Daten von Lehrkräften (z.B. Name, dienstliche Kommunikationsdaten, Sprechzeiten), die an der Schule keine Funktion mit Außenwirkung wahrnehmen, ohne deren Einwilligung auf den Internetseiten der Schule zu veröffentlichen (Muster zur Einholung der Einwilligungserklärungen finden sich in der Anlage zu dieser Bekanntmachung). Welche Lehrkräfte an der Schule eine Funktion mit Außenwirkung wahrnehmen, wird unter Buchst. e erläutert.
Wenn Daten von öffentlichen Stellen angefordert werden, ist die Schule dafür verantwortlich, dass für die Datenübermittlung im konkreten Einzelfall eine hinreichende rechtliche Grundlage besteht. Sie hat daher zu prüfen, ob die angeforderten Daten ihrer Art nach generell zur Erfüllung der Aufgabe der anfordernden öffentlichen Stelle geeignet sind; schutzwürdige Belange des Betroffenen sind dabei zu beachten. Ob die Daten im Einzelnen zur rechtmäßigen Erfüllung der Aufgaben der anfordernden öffentlichen Stelle erforderlich sind, ist eigenverantwortlich von der anfordernden Stelle zu beurteilen.
c)
Datenübermittlung an Schulaufsichtsbehörden zur Erfüllung der dortigen Aufgaben: nach Art. 85 Abs. 1 Satz 1 bzw. Satz 5 Nr. 3 und Art. 113 Abs. 1 Satz 1 BayEUG zulässig.
d)
Herausgabe eines Jahresberichts für die Schülerinnen und Schüler und Erziehungsberechtigten der Schule: nach Art. 85 Abs. 3 BayEUG zulässig, sofern nur die dort aufgeführten personenbezogenen Daten enthalten sind. Soweit in den Jahresbericht personenbezogene Daten aufgenommen werden sollen, die nicht in Art. 85 Abs. 3 BayEUG aufgeführt sind (insbesondere Klassenfotos), ist eine Einwilligung der Betroffenen hierzu erforderlich (Mustereinwilligungserklärungen siehe Anlage zu dieser Bekanntmachung).
In Anbetracht der Wertung des Gesetzgebers, in Art. 85 Abs. 3 BayEUG eine grundsätzlich abschließende Regelung vorzunehmen, sollten – über Klassenfotos hinaus – Einwilligungen nur äußerst zurückhaltend eingeholt werden. Insbesondere sollten Wohnadressen nicht in den Jahresbericht aufgenommen werden.
e)
Öffentlichkeitsarbeit der Schule (Art. 57 Abs. 3 BayEUG): Bei Veröffentlichungen der Schule (insbesondere in Form einer Homepage im Internet) ist zu beachten, dass im Hinblick auf die enge lokale Begrenzung des Aufgaben- und Wirkungsbereichs von Schulen das Persönlichkeitsrecht der Schülerinnen und Schüler, Eltern, Lehrkräfte und des sonstigen Schulpersonals Vorrang vor dem Informationsinteresse einer breiteren Öffentlichkeit hat. Auch die Tatsache, dass es Berufsschulen mit zum Teil bundesweiten Schulsprengeln gibt, vermag hieran nur wenig zu ändern. Für den Internetauftritt von Schulen ist Anlage 9 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG zu beachten.
Vor der Einstellung personenbezogener Daten (dazu gehören z.B. auch Fotos) ins Internet (z.B. Sieger von Mal-, Sport-, Musikwettbewerben, Lehrer- und Schüler-Interviews, Mitglieder einer Internet-AG, Abiturienten der letzten 20 Jahre etc.) ist daher die Einwilligung der Betroffenen einzuholen (Muster zur Einholung der Einwilligungserklärungen finden sich in der Anlage zu dieser Bekanntmachung). Die Schule ist dafür verantwortlich, dass für jeden Betroffenen eine hinreichende Einwilligungserklärung vorliegt; ggf. bereits auf der Schulhomepage ohne hinreichende Einwilligung eingestellte Daten sind zu löschen. Die vorgenannten Einwilligungsmuster umfassen keine Ton-, Video- und Filmaufnahmen. Wegen des weit größeren Eingriffs in das Recht auf informationelle Selbstbestimmung ist in diesen Fällen eine zusätzliche schriftliche Einwilligung einzuholen, die sich auf den konkreten Fall beziehen muss. Es wird darauf hingewiesen, dass nur in begründeten Ausnahmefällen derartige zusätzliche Einwilligungen eingeholt werden dürfen.
Klassenweise oder klassenübergreifende Schülerlisten sowie Lehrerlisten des Jahresberichts dürfen nicht ins Internet eingestellt werden.
Eine Einwilligung ist nicht erforderlich zur Veröffentlichung der dienstlichen Kommunikationsdaten (Name, Namensbestandteile, Vorname(n), Funktion, Amtsbezeichnung, Lehrbefähigung, dienstliche Telefonnummer, dienstliche E-Mail-Adresse) der Schulleitung und der Lehrkräfte, die an der Schule eine Funktion mit Außenwirkung wahrnehmen. Im schulischen Bereich ist von einer Funktion mit Außenwirkung neben der Schulleitung auch bei der stellvertretenden Schulleitung sowie (im beruflichen Schulbereich) bei Betreuern für die fachpraktische Ausbildung außerhalb der Schule und den Außenkoordinatoren auszugehen. Fachbetreuer wirken dagegen eher „nach innen“ und werden von Schulexternen allgemein nicht als Vertreter der Schule wahrgenommen.
Personenbezogene Vertretungspläne und Sprechstundenverzeichnisse dürfen nach dem o. G. ohne schriftliche Zustimmung aller betroffenen Lehrkräfte nicht auf der Schulhomepage veröffentlicht werden. Da die Zustimmung in jedem Einzelfall eingeholt werden müsste und dies in der Praxis kaum realisierbar ist, ist auf eine personenbezogene Veröffentlichung der Vertretungspläne und Sprechstundenverzeichnisse auf der Internetseite der Schule zu verzichten. Indem für Vertretungsfälle lediglich der geänderte Zeitpunkt des Unterrichtsbeginns bzw. des Unterrichtsendes bzw. die Änderung des Unterrichtsfachs im Internet mitgeteilt wird, kann eine ausreichende Information auch in nicht-personenbezogener Weise erfolgen. In diesem Fall ist keine Zustimmung der betroffenen Lehrkräfte notwendig.
f)
Schulinterner passwortgeschützter Bereich: Dabei handelt es sich um einen Bereich (meistens der Schulhomepage), der über ein Passwort nur einem begrenzten Benutzerkreis (Schulleitung, Lehrkräfte, Verwaltungspersonal, Erziehungsberechtigte, Schülerinnen und Schüler der jeweiligen Schule) offen steht. Das o. g. Einwilligungserfordernis der Betroffenen vor Veröffentlichung ihrer personenbezogenen Daten auf der Schulhomepage entfällt bei Einstellung personenbezogener Daten in einen passwortgeschützten Bereich nur unter bestimmten Voraussetzungen – und zwar dann, wenn es gerade darauf beruht, dass die personenbezogenen Daten weltweit im Internet veröffentlicht werden und damit eine Datenübermittlung an die Allgemeinheit vorliegt. In Anlage 11 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG ist ein schulinterner passwortgeschützter Bereich geregelt: Danach kann neben der Schulleitung, den Lehrkräften und dem Verwaltungspersonal im Sekretariat auch den Schülerinnen und Schülern der jeweiligen Schule sowie deren Erziehungsberechtigten z.B. Einblick in den Vertretungsplan für den Aushang sowie in Sprechzeiten der einzelnen, namentlich genannten Lehrkräfte gegeben sowie den Schülerinnen und Schülern und deren Erziehungsberechtigten die Möglichkeit eingeräumt werden, Lehrersprechzeiten zu buchen bzw. eigene Buchungen zu stornieren.
Nur soweit Schulen den Rahmen der Anlage 11 überschreiten, muss vorab eine datenschutzrechtliche Freigabe durch den örtlich zuständigen Datenschutzbeauftragten erfolgen. Dabei sind auch die Vorgaben der Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV in der jeweils aktuellen Fassung zu beachten (hier insbesondere § 1 Abs. 2 und Anlage 4).
Aus technischer und organisatorischer Datenschutzsicht sind die Inhalte eines geschützten Bereichs bei der Übertragung durch geeignete Verschlüsselung zu sichern (https). Der Zugriff ist durch ein Passwort zu schützen, das mindestens zu Beginn jedes Schuljahres zu wechseln und auf geeignete Weise sicher den Zugriffsberechtigten mitzuteilen ist. Die Art der betroffenen Daten kann es erlauben, ausnahmsweise von der Forderung nach einem individuellen Login/Passwort pro Benutzer, das auch nur diesem Benutzer bekannt ist, abzuweichen. Sollte es bei dieser Vorgehensweise zu Sicherheitsproblemen kommen (z.B. Bekanntwerden des Passworts für eine Vielzahl von Nichtberechtigten, etwa durch unerlaubte Publizierung im Internet), so ist das Passwort unverzüglich zu wechseln. Sollte es auch dann erneut zu Problemen kommen, sind allerdings individuelle Passwörter für die einzelnen Benutzer unumgänglich. Siehe zum passwortgeschützten Bereich auch den 24. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, Nr. 10.2.4, S. 164 (einsehbar über die Web-Seite des Landesbeauftragten für den Datenschutz unter dem Pfad www.datenschutz-bayern.de in der Rubrik „Tätigkeitsberichte“).
g)
Vom Einsatz bzw. Weiterbetrieb von Verfahren, bei denen personenbezogene Daten auf einem Server außerhalb der Europäischen Union oder eines anderen Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum gespeichert werden, wird mit Blick auf die Vorgaben des Art. 21 Abs. 2 und 3 BayDSG dringend abgeraten. Bei Datenspeicherung auf einem außereuropäischen Server gelten die hohen Standards der Europäischen Datenschutzrichtlinie nicht und eine Überprüfung der Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherung dürfte sich zudem sehr schwierig gestalten.
h)
Nach Art. 85 Abs. 1 Satz 1 BayEUG ist die Nutzung von Daten, die zur Erfüllung der den Schulen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlich sind, zulässig. Es ist also auch hier der Erforderlichkeitsgrundsatz zu beachten (vgl. Nr. 4.1).
Unter diesen Voraussetzungen ist es beispielsweise zulässig,
dass Lehrkräfte an den Klassenleiter Noten zur Zeugniserstellung weitergeben,
eine Lehrerliste mit Namen, Fächern, Funktionen und unterrichteten Klassen an das Kollegium zu verteilen (weitere Daten wie Anschrift, Telefonnummer oder Geburtsdatum erfordern dagegen die Einwilligung der betroffenen Lehrkräfte),
Daten gemäß Art. 85a Abs. 2 BayEUG zur Unterstützung der Schulanmeldung, des Schulwechsels, der Kooperation von Schulen und zur Überwachung der Schulpflicht an die gemäß Art. 85a Abs. 1 Satz 1 BayEUG beauftragte Stelle weiterzugeben.
Unter dieser Voraussetzung kann es auch zulässig sein,
dass Daten an den Elternbeirat, an Klassenelternsprecher oder die Mitverantwortlichen in der Berufserziehung der Schülerinnen und Schüler weitergegeben werden, beispielsweise also dem Elternbeirat der eigenen Schule Adressdaten der Erziehungsberechtigten überlassen werden.
Auch das vertrauensvolle Zusammenwirken zwischen Schule und Erziehungsberechtigten (Aussprachen, Beratungen) wird unter dieser Voraussetzung durch das Datenschutzrecht nicht eingeschränkt.

4.3 Datenverarbeitung auf privaten Rechnern der Lehrkräfte

Der Einsatz privater Rechner in der Verwaltung zur Erledigung dienstlicher Aufgaben ist im Allgemeinen nicht zulässig und unter Datensicherheitsgesichtspunkten riskant. Er ist nur in Ausnahmefällen zugelassen. Der Einsatz privater Rechner von Lehrkräften ist wegen der Besonderheit der Aufgabenwahrnehmung als ein solcher Ausnahmefall anzusehen.
Die Schule ist hierbei speichernde Stelle im Sinne des Art. 4 Abs. 9 BayDSG.
Folgende Richtlinien sind zu beachten:
Es dürfen lediglich Daten jener Schülerinnen und Schüler verarbeitet werden, die die bearbeitende Lehrkraft selbst unterrichtet bzw. deren Klassleiter sie ist.
Art und Umfang der Daten, die nicht überschritten werden dürfen, sind in Anlage 6 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG beschrieben.
Die Schülerdaten dürfen Dritten nicht zugänglich gemacht werden. Eine Datenübermittlung an Dritte ist nicht zugelassen. Selbstverständlich finden auch in diesem Rahmen die Regelungen zum Datengeheimnis bzw. zur Verschwiegenheitspflicht von Beamtinnen und Beamten nach § 37 BeamtStG oder von Arbeitnehmerinnen und Arbeitnehmern nach § 3 Abs. 2 TV-L Anwendung.
Die Daten sind passwortgeschützt abzuspeichern. Zudem sind Sicherungsmaßnahmen zu ergreifen, um den Zugriff auf die Daten über das Internet zu verhindern (aktivierte Firewall, Betriebssystem und sicherheitsrelevante Software – z.B. Flash-Player, PDF-Reader oder Webanwendungen – mit den jeweils aktuellen Sicherheitsupdates sowie Antiviren-Programm mit stets aktuellen Antivirensignaturen).
Die Daten dürfen nur für die Dauer des laufenden Schuljahres bzw. für den jeweiligen Zeugnistermin maschinell gespeichert werden und sind dann zu löschen (vgl. Nr. 5.3).
Es ist geeignete Vorsorge zu treffen, dass alle gespeicherten Daten beim Ausfall des Rechners trotzdem jederzeit zur Verfügung stehen.

4.4 Fernzugriff von Lehrkräften auf Dienste an Servern innerhalb der Schule

Fernzugriffe auf Dienste an Servern innerhalb der Schule (insbes. Terminal-Server-Systeme) ermöglichen den Lehrkräften die Arbeit am Heimarbeitsplatz, ohne dortige Speicherung personenbezogener Daten. Diesem Vorteil gegenüber steht die Bedrohung, die mit der Öffnung von Diensten der Schule zum Internet hin einhergeht und besondere, aufeinander abgestimmte Sicherheitsmaßnahmen erfordert:
Die Möglichkeit des Zugriffs von außen ist daher durch technische Vorkehrungen auf wenige, unbedingt benötigte Dienste an explizit dafür vorgesehenen Servern einzuschränken. Ebenso sind die auf diesen Servern gespeicherten personenbezogenen Daten sowie die Verbindungen dieser Server zu weiteren Rechnern der Schule auf das unbedingt Notwendige zu beschränken.
Eine der Sensibilität der auf den von außen zugänglichen Servern gespeicherten Daten angemessen sichere Authentifizierung sowie eine entsprechend sichere Verschlüsselung der übermittelten Daten ist vorzusehen. Zugriffe von außen auf Server der Schule sind in geeigneter Weise zu protokollieren, um unberechtigte Zugriffsversuche erkennen zu können. Die Protokolle dürfen nur für maximal acht Unterrichtswochen aufbewahrt (vgl. Nr. 5.3) und nur zu dem Zweck, unberechtigte Zugriffsversuche zu erkennen, ausgewertet werden.
Auf Grund der Komplexität der notwendigen Sicherheitsmaßnahmen wird die Beauftragung entsprechend spezialisierten Fachpersonals empfohlen.

4.5 Datenverarbeitung im Auftrag (insbesondere webbasierte Verfahren), Wartung der Datenverarbeitungsanlage
(insbesondere zu Art. 6 BayDSG)

a)
Auftragsdatenverarbeitung (Allgemeines): Eine Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten durch andere Stellen im Auftrag erhoben, verarbeitet oder genutzt werden (Art. 6 Abs. 1 Satz 1 BayDSG). Das ist z.B. dann der Fall, wenn Daten auf dem Server eines privaten Anbieters verarbeitet werden oder wenn bei einer größeren Kommune personenbezogene Daten einer staatlichen Schule nicht auf einem Server an der Schule, sondern auf einem Server der Kommune verarbeitet werden. Die Schule muss den Auftragnehmer sorgfältig auswählen (es ist insbesondere darauf zu achten, dass der Auftragnehmer die notwendigen Maßnahmen gemäß Art. 7 Abs. 2 BayDSG getroffen hat) und mit dem Auftragnehmer schriftlich eine Auftragsdatenverarbeitungsvereinbarung abschließen, die den Vorgaben des Art. 6 BayDSG genügt. Dabei sollte das Muster auf der Homepage des Bayerischen Landesbeauftragten für den Datenschutz (www.datenschutz-bayern.de) in der Rubrik „Veröffentlichungen“ unter „Mustervordrucke“ herangezogen werden. Der für die Schule zuständige Datenschutzbeauftragte ist vor Abschluss der Auftragsdatenverarbeitungsvereinbarung einzubinden. Der Auftragnehmer erhält keine Entscheidungsbefugnis bezüglich der Daten und wird weder „Herr der Daten“ noch verantwortliche bzw. speichernde Stelle. Er darf die erhaltenen Daten nicht zu eigenen Zwecken nutzen und muss sich strikt an die schriftlichen Weisungen des Auftraggebers halten (Art. 6 Abs. 3 BayDSG). Der Auftragnehmer wird lediglich zum „verlängerten Arm“ des Auftraggebers. Nach Art. 6 Abs. 2 Satz 3 BayDSG hat sich der Auftraggeber soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen.
Mit Blick darauf, dass den Schulen das entsprechende technische Knowhow meist fehlen dürfte, um eine solche Prüfung vornehmen zu können, empfiehlt es sich, vom privaten Anbieter regelmäßig den Nachweis der Einhaltung der vom Bundesamt für Sicherheit in der Informationstechnik veröffentlichten Standards (IT- Grundschutz des BSI) zu verlangen – beispielsweise durch Vorlage einer ISO 27001 Zertifizierung nach IT-Grundschutz des BSI oder durch eine sicherheitstechnische Überprüfung (beispielsweise Penetrationstest bei Webanwendungen) durch einen qualifizierten Dienstleister, der über ausreichend Erfahrung bei der Überprüfung von Anwendungen auf aktuelle Schwachstellenklassen verfügt. Soweit bereits jetzt Verfahren zum Einsatz kommen, bei denen Daten auf dem Server eines privaten Anbieters verarbeitet werden, eine Überprüfung der Verfahrenssicherheit aber noch nicht vorliegt, ist dies baldmöglichst nachzuholen. Falls keine Überprüfung erfolgen kann, ist von der Nutzung des Verfahrens abzusehen und die Auftragsdatenverarbeitungsvereinbarung zum nächstmöglichen Zeitpunkt zu kündigen. Da die Auftragsdatenverarbeitungsvereinbarung bei kostenpflichtigen Angeboten in der Regel Teil des Vertrags mit dem Anbieter des Verfahrens sein dürfte, ist der Schulaufwandsträger bei Abschluss bzw. Kündigung einer kostenpflichtigen Vereinbarung ggf. einzubinden.
Die sicherheitstechnische Überprüfung des Verfahrens und die Einbindung des örtlich zuständigen Datenschutzbeauftragten entbinden die Schulleitung nicht von ihrer datenschutzrechtlichen Verantwortung, d.h. die datenschutzrechtlichen Vorgaben sind auch in diesem Fall von der Schule zu beachten (insbesondere der Aspekt der Erforderlichkeit der Datenerhebung, ‑verarbeitung und ‑nutzung für die Aufgabenerfüllung).
b)
Ausstellen von Schülerausweisen durch private Dienstleister und weitere Beispiele für Auftragsdatenverarbeitung im schulischen Bereich: Gemäß der Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus vom 27. August 1996 (KWMBl I S. 339) können sich staatliche Schulen bei der Ausstellung von Schülerausweisen eines privaten Dienstleisters (z.B. einer Fotofirma) bedienen. Die dabei einzuhaltenden Datenschutzmaßnahmen sind in der genannten Bekanntmachung detailliert aufgeführt.
Auch bei der Ausstellung von Mensaausweisen durch private Dienstleister und beim Einsatz von personenbezogenen Smartcards zur Anmeldung an Schulrechnern, die durch den Schulaufwandsträger ausgestellt werden, handelt es sich um einen Fall der Auftragsdatenverarbeitung – es gelten die unter Buchst. a beschriebenen Vorgaben.
c)
Wartung von Datenverarbeitungsanlagen vor Ort: Wird die Installation, Prüfung oder Wartung der Datenverarbeitungsanlage der Schule durch eine andere Stelle vorgenommen (beispielsweise einen Techniker des Schulaufwandsträgers oder eine Firma), so soll diese möglichst nicht auf personenbezogene Daten zugreifen können. Dies ist etwa dadurch realisierbar, dass die Programme zur Verarbeitung personenbezogener Daten während der Arbeiten an der Datenverarbeitungsanlage nicht laufen und vom Wartungspersonal nicht gestartet werden können. In diesem Fall handelt es sich nicht um eine Datenverarbeitung im Auftrag, eine Auftragsdatenverarbeitungsvereinbarung muss nicht abgeschlossen werden.
Kann der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden oder ist dieser im Rahmen der Arbeiten erforderlich (wenn beispielsweise ein Fehler beseitigt werden muss, der speziell auch die Schulverwaltungsprogramme betrifft oder geprüft werden soll, ob nach Ausführung der Arbeiten auch die Schulverwaltungsprogramme wieder lauffähig sind), gelten die Vorschriften über die Auftragsdatenverarbeitung in Art. 6 Abs. 1 bis 3 BayDSG entsprechend. Insbesondere ist gemäß Art. 6 Abs. 4 Satz 1 in Verbindung mit Art. 6 Abs. 2 Satz 2 BayDSG eine schriftliche Auftragdatenverarbeitungsvereinbarung abzuschließen. Einem etwaigen Datenmissbrauch ist durch geeignete technische und organisatorische Maßnahmen gemäß Art. 7 BayDSG vorzubeugen (z.B. Anwesenheit eines sachkundigen Beauftragten der Schulleitung während der Wartungsarbeiten, Unterbinden der Mitnahme von Datenträgern nach außerhalb der Schule). Soweit eine Kenntnisnahme personenbezogener Daten durch das Wartungspersonal nicht ausgeschlossen werden kann, ist eine Verpflichtung nach dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen (Verpflichtungsgesetz) vom 2. März 1974 vorzunehmen. Siehe zu den notwendigen technischen und organisatorischen Maßnahmen bei Wartung oder Fernwartung Abschnitt 17.1.9 des 20. Tätigkeitsberichts des Landesbeauftragten für den Datenschutz und weitere Hinweise auf der Homepage des Landesbeauftragten für den Datenschutz unter der Rubrik Auftragsdatenverarbeitung (a. a. O.).
d)
Fernwartung von Datenverarbeitungsanlagen: Auch im Falle einer Fernwartung gelten die Vorschriften über die Auftragsdatenverarbeitung in Art. 6 Abs. 1 bis 3 BayDSG entsprechend. Insbesondere ist gemäß Art. 6 Abs. 4 Satz 1 in Verbindung mit Art. 6 Abs. 2 Satz 2 BayDSG eine schriftliche Auftragdatenverarbeitungsvereinbarung abzuschließen. Einem etwaigen Datenmissbrauch ist durch geeignete technische und organisatorische Maßnahmen gemäß Art. 7 BayDSG vorzubeugen.
Da eine Fernwartung mit größeren Gefahren für die Datensicherheit als eine Wartung vor Ort verbunden ist, sollte davon nur ausnahmsweise Gebrauch gemacht werden.
Bei der Fernwartung von Datenverarbeitungsanlagen muss durch technische Maßnahmen sichergestellt werden, dass ein Zugriff von außen auf das System nur dann möglich ist, wenn er zuvor von einem speziell dafür berechtigten Mitarbeiter der Schule freigeschaltet wurde. Nach Abschluss der Arbeiten ist dieser Zugang wieder zu sperren. Zudem ist sicherzustellen, dass nur eine berechtigte Person Zugriff zur Fernwartung erhält. Eine Verpflichtung der beauftragten Person nach dem Verpflichtungsgesetz (siehe Buchst. c) ist unabdingbar.
Manche Dienste zur Fernwartung von Systemen setzen die Umleitung von Daten über den Server einer Drittfirma voraus. In diesem Fall sind die in Art. 6 und 7 BayDSG genannten Voraussetzungen auch von der Drittfirma zu erfüllen. Die Beauftragung der Drittfirma ist in der Auftragsdatenverarbeitungsvereinbarung darzustellen.
e)
Unterstützung der Nutzer bei der Bedienung von Programmsystemen durch Fernzugriff (Remote Management/Control/Support-Programme): Auch in diesem Fall gelten die Vorschriften über die Auftragsdatenverarbeitung in Art. 6 Abs. 1 bis 3 BayDSG entsprechend. Insbesondere ist gemäß Art. 6 Abs. 4 Satz 1 in Verbindung mit Art. 6 Abs. 2 Satz 2 BayDSG eine schriftliche Auftragdatenverarbeitungsvereinbarung abzuschließen.
Remote Management Programme – auch als Remote Control Programme oder Remote Support Programme bezeichnet – ermöglichen einem Systemadministrator, von seinem Arbeitsplatz aus Zugriff auf andere im Netzwerk angeschlossene Computer zu nehmen. Von dieser Möglichkeit sollte wegen der Gefahr des Missbrauchs des Fernzugriffs nur ausnahmsweise Gebrauch gemacht werden.
Das System zum Fernzugriff muss insbesondere so beschaffen sein, dass
der Zugriff auf personenbezogene Daten auf das unbedingt Notwendige beschränkt ist;
bei einem Fernzugriff von oder nach außerhalb des Netzwerkes personenbezogene Daten nur verschlüsselt übertragen werden;
der Zugriff nur nach expliziter Freischaltung durch den Nutzer möglich ist;
der Zugriff auf die Dauer der Unterstützungsleistung begrenzt ist;
jede Aktion des Helfenden für den Nutzer sichtbar ist;
– sollte der Verdacht bestehen, dass der Zugriff auf Daten erfolgt, die offenkundig nicht für den Wartungsfall erforderlich sind – der PC-Nutzer die Möglichkeit haben muss, die Verbindung abzubrechen.
Eine Aufzeichnung der Hilfssitzung ist nur mit Einverständnis aller Beteiligten zulässig. Neben den datenschutzrechtlichen Vorgaben sind ggf. personalvertretungsrechtliche Vorschriften zu beachten.

4.6 An Schulen häufig auftretende Datenschutzfragen

a)
Videoüberwachung: Es gibt zwei Formen der Videoüberwachung: die Videobeobachtung, bei der keine Speicherung erfolgt, und die Videoaufzeichnung, bei der eine Speicherung der Aufnahme in digitaler oder analoger Form erfolgt.
Allgemeine Voraussetzungen der Videoüberwachung
Vor der Installation einer Videoüberwachungsanlage sind sowohl bei der Videobeobachtung als auch bei der Videoaufzeichnung folgende Voraussetzungen zu beachten:
Verhältnismäßigkeit
Die Videoüberwachung muss im konkreten Fall zum Schutz von Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich der Schule oder in deren unmittelbarer Nähe aufhalten, oder zum Schutz der schulischen Einrichtung oder der unmittelbar in ihrer Nähe befindlichen Sachen erforderlich sein (vgl. Art. 21a Abs. 1 Satz 1 BayDSG). Davon ist in der Regel nur auszugehen, wenn bereits in der Vergangenheit Vorfälle (z.B. Vandalismus, Einbrüche) aufgetreten sind, die eine Videoüberwachung rechtfertigen können; insoweit ist im Vorfeld der Entscheidung über die Einrichtung einer Videoüberwachungsanlage eine Vorfalldokumentation anzufertigen. Es dürfen zudem keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt werden.
Transparenz
Die Videoüberwachung und die erhebende Stelle sind zudem durch geeignete Maßnahmen erkennbar zu machen (Art. 21a Abs. 2 BayDSG). In der Regel müssen Hinweisschilder angebracht werden.
Freigabeerfordernis
Videoaufzeichnungen sind vor dem erstmaligen Einsatz freizugeben (Art. 21a Abs. 6 Satz 1 in Verbindung mit Art. 26 bis 28 BayDSG).
Bloße Videobeobachtungen sowie die Installation von Kameraattrappen unterliegen nicht dem Freigabeerfordernis gemäß Art. 26 BayDSG (vgl. Art. 21a Abs. 1 in Verbindung mit Abs. 6 Satz 1 BayDSG).
Videoaufzeichnungen an Schulen sind in dem in Anlage 8 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG genannten Umfang allgemein für alle staatlichen Schulen freigegeben, sofern die o. g. allgemeinen Voraussetzungen der Videoüberwachung vorliegen. Soll eine über den Rahmen der Anlage 8 der genannten Durchführungsverordnung hinausgehende Videoaufzeichnung realisiert werden, muss ein datenschutzrechtliches Freigabeverfahren durch den örtlich zuständigen Datenschutzbeauftragten durchgeführt werden. Dabei sollte mit Blick auf den erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung die datenschutzrechtliche Freigabe einer über die Regelung in Anlage 8 der genannten Durchführungsverordnung hinausgehenden Videoaufzeichnung restriktiv gehandhabt werden.
b)
Erhebungen an Schulen: Häufig werden die Schulen direkt oder die Schulverwaltung gebeten, Befragungen von Schülerinnen und Schülern oder auch Eltern und Lehrkräften zu genehmigen.
Die meisten Schulordnungen enthalten Regelungen betreffend Erhebungen an Schulen (vgl. z.B. § 25 VSO, § 4 Abs. 3 RSO, § 4 Abs. 3 GSO, § 4 Abs. 3 FOBOSO).
In diesem Zusammenhang sind aus datenschutzrechtlicher Sicht folgende Fragen zu klären:
Handelt es sich um eine anonyme Erhebung (vgl. Art. 4 Abs. 8 BayDSG) oder kann anhand der abgefragten Daten ein Personenbezug hergestellt werden
In den meisten Fällen ist ein Personenbezug herstellbar.
Ist das Einverständnis der Betroffenen erforderlich und wenn ja, liegen wirksame Einwilligungserklärungen vor
Soweit es sich nicht um eine Erhebung handelt, an der eine Teilnahmepflicht besteht (Leistungsvergleich gemäß Art. 111 Abs. 4 BayEUG), ist vor der Befragung grundsätzlich eine schriftliche Einwilligungserklärung der Betroffenen einzuholen. Werden minderjährige Schülerinnen und Schüler befragt, ist die schriftliche Einwilligung der Erziehungsberechtigten erforderlich, ab der Vollendung des 14. Lebensjahres daneben auch die schriftliche Einwilligung der Schülerinnen und Schüler. Werden Daten über die Erziehungsberechtigten erhoben, ist deren Einwilligung auch insoweit einzuholen. Die Einwilligung ist nur wirksam, wenn die Betroffenen vorher in angemessener Weise über die Erhebung, deren Freiwilligkeit, das Fehlen von Nachteilen bei Nichtteilnahme und ihr Widerrufsrecht informiert wurden (vgl. Art. 15 Abs. 1 bis 4 und 7 BayDSG).
Grundsätzlich ist davon auszugehen, dass im Rahmen des schulrechtlichen Genehmigungsverfahrens auch die Einhaltung der o. g. datenschutzrechtlichen Vorgaben geprüft wurde. In Zweifelsfällen sollte sich die Schulleitung an die die Erhebung durchführende Stelle wenden und sich das Genehmigungsschreiben vorlegen lassen.
c)
Evaluation an Schulen gemäß Art. 113c BayEUG: Zur Bewertung der Schul- und Unterrichtsqualität evaluieren sich die Schulen regelmäßig selbst (interne Evaluation) und evaluieren die Schulaufsichtsbehörden in angemessenen zeitlichen Abständen die staatlichen Schulen (externe Evaluation). Im Rahmen der Evaluation werden personenbezogene Daten erhoben, verarbeitet und genutzt (Art. 113c Abs. 3 Satz 1 BayEUG). Zu Einzelheiten siehe den Wortlaut des Art. 113c BayEUG.
Aus datenschutzrechtlicher Sicht ist seitens der Schulen und Schulaufsichtsbehörden insbesondere Folgendes zu beachten:
Einschaltung privater Dritter
Die Schulaufsichtsbehörde kann unter bestimmten Maßgaben private Dritte (z.B. Vertreter der Wirtschaft, Eltern) an der externen Evaluation beteiligen (Art. 113c Abs. 2 Satz 3 BayEUG). Eine Beteiligung privater Dritter an der internen Evaluation ist nicht möglich.
Verhältnismäßigkeit (Art. 113c Abs. 3 Satz 2 BayDSG)
Zweckbindung
Die erhobenen Daten dürfen nur für den Zweck der Evaluation verarbeitet werden. Eine Verwertung für andere Zwecke ist unzulässig (Art. 113c Abs. 3 Satz 3 BayEUG). Insbesondere darf die Evaluation daher von Gesetzes wegen keine Auswirkungen auf die dienstliche Beurteilung von Lehrkräften haben.
Transparenz/Informationspflicht
Die Betroffenen (das sind insbesondere die Schulleitung, die Lehrkräfte, die Schülerinnen und Schüler sowie die Erziehungsberechtigten) sind vor der Durchführung einer Evaluation über das Ziel des Vorhabens, die Art ihrer Beteiligung an der Untersuchung, die Verarbeitung und Nutzung ihrer Daten sowie über die zur Einsichtnahme in die personenbezogenen Daten Berechtigten schriftlich zu informieren (Art. 113c Abs. 3 Satz 4 BayEUG).
Anonymisierungspflicht (Art. 113c Abs. 3 Satz 5 BayEUG)
Veröffentlichung der Ergebnisse
Entsprechend dem Zweck der Evaluation, nur Schulen, nicht aber konkrete Personen bewerten zu wollen, dürfen die Ergebnisse der Evaluation nur in einer Form veröffentlicht werden, die den Schluss auf bestimmte oder bestimmbare Personen nicht ermöglicht (Art. 113c Abs. 3 Satz 8 BayEUG). Soweit Ergebnisse nur Teile der Schule betreffen (z.B. einen bestimmten Fachbereich oder die Schulleitung) veröffentlicht werden sollen, ist darauf zu achten, dass die betroffene Personengruppe groß genug ist, damit ein Rückschluss auf eine bestimmte oder bestimmbare Person sicher ausgeschlossen ist. Davon ist in der Regel erst auszugehen, wenn die betroffene Gruppe mehr als drei Personen umfasst – im Einzelfall kann allerdings die Bildung einer größeren Gruppe geboten sein.
Löschungsfrist (Art. 113c Abs. 3 Satz 9 BayEUG).
d)
Einsatz eines digitalen Whiteboards im Unterricht: Der Einsatz digitaler Whiteboards im Unterricht (teils auch interaktives Whiteboard oder Smart Board bzw. Smartboard genannt), also einer elektronischen Tafel, die an einen Computer angeschlossen wird, ermöglicht es z.B., ein entwickeltes Tafelbild zu speichern und in einer späteren Unterrichtsstunde weiter zu verwenden oder den Schülerinnen und Schülern als Lernunterlagen zur Verfügung zu stellen. Die obigen Hinweise zur zulässigen Datenerhebung, ‑verarbeitung und ‑nutzung gelten hierbei entsprechend.
D. h. insbesondere:
Es sollten nur Dienstrechner zum Einsatz kommen (vgl. oben Nr. 4.3).
Auch wenn lediglich nicht personenbezogene Unterrichtsinhalte gespeichert werden, dürfte (über den Lerninhalt oder die Dateibezeichnung) meist ein Personenbezug zur jeweiligen Lehrkraft herstellbar sein. Damit liegen personenbezogene Daten vor. Ein direkter elektronischer Zugriff anderer Lehrkräfte, der Schulleitung, der Schülerinnen und Schüler oder deren Erziehungsberechtigten auf eine entsprechende Datei ist weder in der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG noch in der landesweiten Freigabe des Amtlichen Schulverwaltungsprogramms ASV vorgesehen und sollte auch vor Ort im Rahmen der datenschutzrechtlichen Freigabe durch den zuständigen Datenschutzbeauftragten mangels Erforderlichkeit nicht datenschutzrechtlich freigegeben werden. Ggf. kann die Datei mit dem Unterrichtsinhalt auf Anfrage der Vorgenannten von der Lehrkraft in elektronischer Form oder als Papierausdruck an diese weitergeleitet werden.
Bei einer Kombination eines Whiteboards mit einer passwortgeschützten Lernplattform sind die Maßgaben von Anlage 10 der genannten Durchführungsverordnung zu beachten.
Personalvertretungsrechtliche Vorschriften sind ggf. zu beachten.