Hauptinhalt

Datenschutz in der Schule

Mehrere Schüler sitzen im Klassenraum mit Tablets an einem Tisch. © David Fuentes – stock.adobe.com

Beim Datenschutz in der Schule geht es darum, die Persönlichkeitsrechte von Kindern sowie von Eltern, Lehrkräften und Verwaltungsmitarbeitenden zu schützen. Dabei unterstützt Sie die Sächsische Datenschutz- und Transparenzbeauftragte mit Beratung und diesen Informationen:

Medienkompetenz und Datenschutzbewusstsein

data-kids.de
Hier werden Kinder im Grundschulalter über den sicheren Umgang mit ihren Daten aufgeklärt.

youngdata.de
Die Website richtet sich an junge Menschen und vermittelt Wissenswertes zum Datenschutz
im Internet, beispielsweise im Umgang mit sozialen Netzwerken und Smartphones.

Es ist grundsätzlich nicht datenschutzgerecht, wenn einzelfallbezogene Probleme der Lehrkräfte und der Schule mit Schülerinnen und Schülern und einzelnen Eltern und die sich daraus ergebenden Maßnahmen in der Öffentlichkeit eines Elternabends personenbezogen (insbesondere namensbezogen) genannt und beraten werden. Die Bekanntgabe von personenbezogenen Daten von Schülerinnen und Schülern und Eltern im Rahmen eines Elternabends stellt eine Übermittlung an private Dritte dar. Die Schule als öffentliche Stelle darf diese Daten nur im Rahmen ihrer Aufgabenerfüllung übermitteln. Dabei unterliegt die Datenübermittlung dem Grundsatz der Zweckbindung und Erforderlichkeit. Es ist für die Aufgabenerfüllung der Schule nicht erforderlich, private Dritte in die Schwierigkeiten der Schule mit anderen Eltern und/oder Schülerinnen und Schülern einzubeziehen. Der Verlauf eines Elternabends kann bei personenbezogenen Offenbarungen und einem nachteiligen Zusammenhang eskalieren, wie zumindest aus Beispielen aus dem Schulalltag bekannt ist. Die Bekanntmachung solcher Daten ist also weder datenschutzgerecht noch zielführend.

Da personenbezogene Daten im Internet weltweit abgerufen, gespeichert, und verändert werden können und dabei keinerlei Zweckbindung oder Kontrolle unterliegen, dürfen personenbezogene Daten von Schülerinnen und Schülern grundsätzlich nicht ohne Einwilligung von Eltern und heranwachsenden bzw. volljährigen Schülerinnen und Schülern auf den Internetpräsenzen von Schulen veröffentlicht werden. Die Schule als öffentliche Stelle sollte, unabhängig von der Einwilligungsmöglichkeit, nach strengen Maßstäben prüfen, ob überhaupt und in welchem Umfang personenbezogene Schülerdaten über ihre Schulhomepages in das Internet gelangen. Da die Veröffentlichung personenbezogener Schülerdaten für die Aufgabenerfüllung der Schule grundsätzlich nicht erforderlich ist, müssen im Übrigen die Einwilligungen jederzeit widerrufbar sein. Ein entsprechendes Muster, das gemäß Nr. II.5.c) VwV Schuldatenschutz zu verwenden ist, findet sich in Anlage 2 der VwV Schuldatenschutz. Schulen sind in der Regel daran interessiert, ihre Websites bunt und abwechslungsreich zu gestalten und nutzen dafür gern auch Fotos, die z. B. Klassenaktivitäten und Schulsportveranstaltungen darstellen. Solange darauf keine einzelnen bestimmbaren Personen erkennbar sind, ergeben sich daraus keine datenschutzrechtlichen Fragestellungen. Bei der Darstellung von Einzelpersonen jedoch muss neben den einschlägigen Bestimmungen der Datenschutz-Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes auch das Kunsturheberrechtsgesetz beachtet werden, wonach Bildnisse nur mit Einwilligung der Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden dürfen, § 22 Abs. 1 Kunsturheberrechtsgesetz. Nach § 33 des Kunstrechtsurhebergesetzes ist eine Zuwiderhandlung strafbar. Das Gesetz nennt in § 23 Abs. 1 aber auch Ausnahmen. So dürfen nach dem Gesetz Bildnisse verbreitet und zur Schau gestellt werden, wenn die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeiten erscheinen oder Versammlungen, Aufzüge und ähnliche Vorgänge (z. B. das Schulfest) abgebildet werden, an denen die dargestellten Personen teilgenommen haben. Die Schule muss also zunächst entscheiden, ob die Veröffentlichung des Fotos durch die gesetzliche Ausnahmeregelung gedeckt ist. Sie hat aber in jedem Fall zu prüfen, ob schutzwürdige Interessen der betroffenen Schülerinnen und Schüler berührt oder verletzt werden könnten.

Fotoaufnahmen von Schülerinnen und Schülern stellen zwar zweifelsfrei personenbezogene Daten im Sinne der Datenschutz-Grundverordnung dar, jedoch ist der Anwendungsbereich der Datenschutz-Grundverordnung immer dann nicht eröffnet, wenn natürliche Personen, zumeist Anverwandte der Schülerinnen und Schüler, Fotografien allein zu persönlichen oder familiären Zwecken anfertigen. Die Verarbeitung personenbezogener Daten in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten fällt unter das so genannte Haushaltsprivileg und wird gemäß Artikel 2 Absatz 2 Buchstabe c Datenschutz-Grundverordnung gerade nicht von der Verordnung erfasst.

Der Anwendungsbereich der Datenschutz-Grundverordnung ist hingegen dann eröffnet, wenn die Schule selbst oder gewerbliche Fotografen (auf Einwilligungsgrundlage) Abbildungen der Schüler erstellen und verwenden. In diesen Fällen sind seitens der Verantwortlichen regelmäßig auch die Informationspflichten nach der Datenschutz-Grundverordnung gegenüber den betroffenen Schülern bzw. den sorgeberechtigten Personen einzuhalten.

Für die Zulässigkeit der Verbreitung und Veröffentlichung personenbezogener Abbildungen gelten weiterhin unverändert die bundesgesetzlichen Vorschriften des Kunsturheberrechtsgesetzes.

Anhand eines anonymisierten Notenspiegels, der z. B. im Zusammenhang mit einer Klassen- oder Projektarbeit erstellt wird, wird ein Überblick über den Leistungsstand der Klasse insgesamt gegeben. Im Klassenverband wird damit öffentlich gemacht, wie viele Schüler, welche Noten erreicht haben. Der Notenspiegel gibt Eltern und Schülern eine Orientierung über den Leistungsstand der Klasse und ermöglicht damit die Einordnung des individuellen Lernstandes. Da sich kein Bezug zum/zur einzelnen Schüler/in ergibt, werden auch keine personenbezogenen Daten bekannt gegeben. 

Ergebnisse und Benotungen von Klassenarbeiten sind personenbezogene Schülerdaten. Die Verarbeitung/Übermittlung personenbezogener Daten richtet sich nach Artikel 6 Absatz 1 Buchstabe e DSGVO. Danach ist die Verarbeitung zulässig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Dabei ist die Schule zur Aufgabenerfüllung (Erziehungs- und Bildungsauftrag nach § 1 Sächsisches Schulgesetz) berechtigt, personenbezogene Daten zu verarbeiten. So kann es pädagogisch gerechtfertigt sein, Benotungen (z. B. als besondere Würdigung) vor dem Klassenverband bekannt zu geben. Hierbei hat die Schule einen Beurteilungsspielraum, aber auch Grenzen zu beachten. Schmähkritik oder Herabwürdigungen von Schülerinnen und Schülern, die nicht als erforderliche Datenverarbeitung in dem Zusammenhang anerkannt werden können, sind nicht statthaft. Eine dementsprechende Regelung enthält Nr. II.3.b) VwV Schuldatenschutz: Die personenbezogene Bekanntgabe und Erörterung von Noten in der Klasse, im Kurs oder in der Gruppe liegt im Ermessen des Lehrers.

Das Überlassen von (auch alten) Klassenbüchern zwecks Anfertigung von Kopien oder zum Auslegen bei Jubiläen zur Erinnerung an bedeutsame Ereignisse aus der Schulzeit wird von Organisatoren von Klassentreffen bei den Schulen immer wieder angefordert. Bei der Einsichtnahme in ein Klassenbuch würde der betreffende Personenkreis jedoch nicht nur Kenntnis von den eigenen Noten, Beurteilungen und Anmerkungen erhalten, sondern auch von denen seiner ehemaligen Mitschüler/innen. Eine Übermittlung dieser Daten an private Dritte ist nach dem Sächsischen Datenschutzdurchführungsgesetz dann zulässig, wenn es zur Aufgabenerfüllung der öffentlichen Stelle gehört und zudem den Grundsatz der Erforderlichkeit und der Zweckbindung erfüllt. Da es nicht zur Aufgabenerfüllung der Schule gehört, Klassentreffen vorzubereiten und die Klassenbücher auch nicht zum Zwecke der Ausgestaltung von Klassentreffen angelegt werden, ist es der Schule datenschutzrechtlich nicht erlaubt, die Klassenbücher Interessenten zur Verfügung zu stellen. Die Schule müsste zuvor, wenn man das Bereitstellen eines Klassenbuches für Jubiläen als berechtigtes Interesse unterstellt, jede im Klassenbuch genannte ehemalige Schülerin bzw. jeden genannten ehemaligen Schüler anschreiben und die schriftliche Einwilligung zur Veröffentlichung ihrer/seiner Daten einholen. Zudem müsste sie die Betroffenen darüber belehren, welche möglichen Auswirkungen die Bekanntgabe ihrer persönlichen Daten haben kann und dass sie ihr Einverständnis jederzeit widerrufen können. Das ist in der Regel durch eine Schule nicht zu leisten und wird von dieser deshalb zu Recht abgelehnt.

Die schulinterne elektronische Kommunikation zwischen Lehrern und Schülern über LernSax ist vom Erziehungs- und Bildungsauftrag nach § 1 Sächsisches Schulgesetz erfasst ist und bedarf daher keiner weiteren Einwilligung, sofern diese nicht außerhalb eines pädagogischen Kontextes oder mit Dritten erfolgt. Einwilligungsfrei ist die Nutzung von LernSax jedoch nur für unmittelbare Unterrichtszwecke durch Schüler und deren Lehrkräfte. Sofern eine Kommunikation mit Dritten außerhalb des pädagogischen Kontextes erfolgen soll, ist daher ebenso vorab eine Einwilligung einzuholen, wie bei der Nutzung von LernSax durch Personensorgeberechtigte oder externe Bildungspartner. 

Neben den Regelungen der DSGVO enthält insbesondere die sächsische Verwaltungsvorschrift zum Schuldatenschutz eine ausdrückliche Beschränkung der Nutzung von Cloud-Computing-Diensten, die beispielsweise Server, Speicher, Netzwerkkomponenten oder Software über das Internet zur Verfügung stellen: Es sind nur solche Cloud-Computing-Dienste zulässig, auf die das Recht der EU Anwendung findet.

Mit der Neuregelung der VwV Schulformulare vom 25. August 2021 kann das Klassenbuch auch ausschließlich in elektronischer Form geführt werden. Dabei sind jedoch die in der Verwaltungsvorschrift aufgeführten Anforderungen einzuhalten. Dazu gehören beispielsweise die regelmäßige Erstellung einer Sicherung in unveränderbarer elektronischer Form oder in gedruckter Form als geheftetes Dokument und die Verwendung einer elektronischen Signatur anstelle des Signums und der Unterschrift. 

Eltern- und Schülerräte an Schulen sind keine datenschutzrechtlich Verantwortlichen. Sie befinden sich vielmehr in der Verantwortlichkeit der jeweiligen Schule bzw. deren Datenschutzbeauftragten. Es müssen daher auch durch die Eltern- und Schülervertretungen keine Datenschutzbeauftragten benannt werden. Gleiches gilt für die regionalen Vertretungen, namentlich den Kreiselternrat, den Landeselternrat, den Kreisschülerrat sowie den Landesschülerrat. Auf Kreis- und auf Landesebene ist das Landesamt für Schule und Bildung Verantwortlicher. Hierfür sprechen die sowohl in der Schülermitwirkungsverordnung als auch in der Elternmitwirkungsverordnung geregelten Vorlage-, Genehmigungs- und Unterstützungspflichten. Die Auffassung zur Verantwortlichkeit vertritt auch das Sächsische Staatsministerium für Kultus.

zurück zum Seitenanfang