GEW Thüringen
Du bist hier:

Datenschutz aktuellWie umgehen mit Daten von Schüler:innen und mit der Thüringer Schulcloud?

Was ist der Zweck des Datenschutzes? Was bedeuten "Speichern von Daten" und das "Recht auf informationelle Selbstbestimmung"? Welche Daten von Schüler:innen werden erfasst? Was muss bei der Thüringer Schulcloud beachtet werden? u.a.m.

19.05.2021 - Dieter Gebhardt - Datenschutzbeauftragter der GEW Thüringen

1. Zweck des Datenschutzgesetzes, der Europäischen Datenschutz-Grundverordnung (DSGVO) und anderer Rechtsverordnungen 

Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. 

2. Speichern von Daten 

Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung.

3. Recht auf informationelle Selbstbestimmung 

„Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts auf „informationelle Selbstbestimmung“ sind nur im überwiegenden Allgemeininteresse zulässig.“ 

Es handelt sich dabei nach der Rechtsprechung des Bundesverfassungsgerichts um ein „Datenschutz-Grundrecht“, welches im Grundgesetz nicht ausdrücklich erwähnt wird. 

4. Datenvermeidung und Datensparsamkeit nach §3a Bundesdatenschutzgesetz (BDSG) 

Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. 

Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 

5. Zulässige Datenerhebung, -verarbeitung und -nutzung 

Die Datenerhebung, -verarbeitung und -nutzung ist in folgenden Fällen zulässig: 

  • wenn eine wirksame Einwilligung des Betroffenen vorliegt, 
  • wenn der Betroffene über 16 ist, und die nötige, individuelle Reife hat,  
  • wenn die Einwilligung nach § 4 a Abs. 1 S. 3 BDSG vor Beginn der Datenerhebung ausdrücklich und schriftlich erklärt worden ist, 
  • wenn bei einer elektronischen Einwilligung gemäß §§ 94 Telekommunikationsgesetz (TKG), 4 Abs. 2 Teledienstedatenschutzgesetz (TDDSG) 

sichergestellt ist, dass die Einwilligung nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgt, die protokolliert wird und jederzeit vom Nutzer abgerufen werden kann.

6. Rechte des Bürgers 

Recht auf Benachrichtigung über die Datenerhebung: Der Betroffene ist bei der Erhebung seiner Daten darüber aufzuklären, welche Stelle zu welchem Zweck die Daten erhebt. In vielen Fällen muss der Betroffene zusätzlich darüber informiert werden, ob es eine Verpflichtung zur Angabe der Daten gibt und an welche anderen Stellen die Daten voraussichtlich übermittelt werden. Außerdem ist er auf die unten stehenden Rechte auf Auskunft und Berichtigung hinzuweisen. 

Insbesondere dann, wenn die Daten ohne Kenntnis des Betroffenen erhoben werden, ist die Benachrichtigung von Bedeutung. Das Recht auf Benachrichtigung ist allerdings gerade bei der Datenerhebung ohne Kenntnis des Betroffenen (z. B. im Rahmen von strafrechtlichen Ermittlungsverfahren) zum Teil eingeschränkt. 

7. Recht auf Auskunft 

Die Betroffenen haben nach allen datenschutzrechtlichen Regelungen ein Recht darauf, Auskunft darüber zu erhalten, welche Informationen über sie gespeichert sind. Dabei muss auch darüber informiert werden, zu welchem Zweck die Informationen gespeichert sind, woher diese stammen und an welche Stellen sie übermittelt werden. 

Das Auskunftsrecht kann unter bestimmten Voraussetzungen eingeschränkt sein, z. B. wenn es um Datenverarbeitung der Sicherheitsbehörden geht. 

8. Recht auf Berichtigung, Sperrung oder Löschung

Stellt sich heraus, dass die über den Betroffenen gespeicherten Informationen unrichtig sind, so besteht ein Anspruch darauf, dass diese berichtigt werden. 

Der Betroffene hat ein Recht darauf, dass seine Daten gelöscht werden, wenn diese nicht mehr gespeichert werden dürfen. Dies ist in der Regel dann der Fall, wenn die Informationen für den Zweck, zu dem sie gespeichert wurden, nicht mehr erforderlich sind. 

In bestimmten Fällen müssen die Daten gesperrt werden. Dies gilt zum Beispiel, wenn der Betroffene behauptet, die Informationen seien unrichtig und sich die Richtigkeit nicht nachweisen lässt, oder wenn die Daten nicht mehr erforderlich sind, aber nach bestimmten Rechtsvorschriften (z. B. zum steuerlichen Nachweis) noch länger gespeichert werden müssen. 

Gesperrte Daten müssen als solche gekennzeichnet werden; sie dürfen nicht weiter verwendet werden.

9. Welche Daten von Schüler:innen werden erfasst?

Zu unterscheiden ist die Datenaufnahme bei Anmeldung oder Schulwechsel eine:r Schüler:in und der Daten welche bei Registrierung in der Thüringer Schulcloud (TSC) erfolgen.

Bei Ersterem gibt es je nach Schulamt vorgegebene Formulare, bei deren Bearbeitung nur die vorgegebenen Daten erhoben werden dürfen. Im zweiten Fall werden die Daten durch den Admin der Schule über das Thüringer Institut für Lehrerfortbildung, Lehrplanentwicklung u. Medien (ThiLLM)  der TSC zur Verfügung gestellt. Die Eltern werden darauf zur Zeit in den Datenschutz-Merkblättern der Schulen nicht hingewiesen. 

Die dabei erhobenen Daten sind geringer als bei der Schulanmeldung. Mit der Anmeldung der:des Schüler:in in der TSC werden weitere Daten erhoben, welche im Datenschutz-Merkblatt des Hasso-Plattner-Instituts (HPI) aufgelistet sind. Damit ist auch die Drittanbieter-Regelung nach DSGVO sichergestellt. Bei nichtvolljährigen Schüler:innen werden auch Daten der Eltern verarbeitet. 

10. Umgang mit der TSC

Der logistische und technische Umgang stellt an den Lehrer:innen hohe Anforderungen. Dazu kommt noch die im Betrieb sicherzustellende Ordnung und gesetzeskonforme Verarbeitung von Daten. Die vom Dienstherrn, Arbeitgeber vorgegebenen Hinweise und technischen Mittel sind strikt einzuhalten. 

Jeder eigenmächtige Einsatz anderer Software oder Verlinkung zu nicht autorisierten Anwendungen sind nicht gestattet und können zivil- oder strafrechtliche Verfahren für den Einzelnen nach sich ziehen. 

Der Unterrichtsablauf in einer BigBlueButton-Konferenz kann zur nachträglichen Beweisführung als Chatverlauf und Anwesenheit gesichert werden. Diese *.*txt Dateien können auf dem PC gespeichert werden, müssen aber zwingend vor dem Zugriff Dritter geschützt werden. 

Das Aufnehmen einer Unterrichtssequenz oder ganzer Konferenzen ist möglich, darf aber nur im Rahmen dieses Unterrichtes wieder verwendet werden. Eine öffentliche Freigabe ist nicht gestattet.

11. Weiterführende Informationen

Häufig gestellte und ständig aktualisierte Fragen zum Datenschutz an Thüringer Schulen und die entsprechenden Antworten darauf, sind auf den Internetseiten des Thüringer Ministeriums für Bildung, Jugend und Sport zu finden.