4 Min

Datenschutz in Schulen: So geht DSGVO im Bildungssektor

Wegen der Coronakrise mussten viele Schulen und Hochschulen Lehrveranstaltungen per Videokonferenz abhalten. Auch zukünftig dürfte E-Learning ein großes Thema bleiben. Doch wie sieht es mit dem Datenschutz aus? Welche Regeln müssen beachtet werden und wer ist verantwortlich? Wir verschaffen einen Überblick über die wichtigsten Punkte, die Schulen und Hochschulen sowie Lehrende und Lernende beim Einsatz von Videokonferenz-Tools beachten sollten.

Das Wichtigste in Kürze

  • Bei Videokonferenzen von Schulen und Hochschulen spielt Datenschutz eine wichtige Rolle, denn bei jeder Sitzung werden personenbezogene Daten gesammelt.
  • Staatliche bzw. kommunale Schulen und Hochschulen sind zwar nicht bußgeldfähig, Lehrende als Privatpersonen aber schon.
  • Ein datenschutzfreundliches Tool ist das A und O.
  • Anbieter aus der EU sind unter Datenschutzaspekten weniger problematisch als etwa Tools aus den USA.
  • Im Sinne des Datenschutzes müssen sich alle Teilnehmer einer Videokonferenz an die zuvor festgelegten Spielregeln halten.

In diesem Beitrag

Die Coronakrise machte zur Notwendigkeit, was schon seit Jahren angedacht war: E-Learning für Schulen und Hochschulen. Viele digitale Lösungen sind bereits vorhanden und nutzbar. Ähnlich wie Unternehmen durch die Krise feststellten, dass viele Geschäftsreisen eigentlich überflüssig sind, wurde auch Schulen und Hochschulen klar, dass im Unterricht die Anwesenheit vor Ort nicht immer erforderlich ist.

Doch auch beim E-Learning und Homeschooling ist ein regelmäßiger direkter Austausch nötig, der sich ohne Videokonferenzen kaum ermöglichen lässt. Die Nutzung von Microsoft Teams, Zoom und vergleichbaren Diensten stellt Lehrende und Lernende allerdings vor neue Herausforderungen – auch und vor allem mit Blick auf den Datenschutz.

Welche Rolle spielt der Datenschutz bei Videokonferenzen?

Name, Vorname, E-Mail-Adresse: Bei Videokonferenzen von Schulen und Hochschulen müssen Teilnehmer und Teilnehmerinnen einige Informationen über sich preisgeben, die zu den personenbezogenen Daten zählen. Ebendiese gilt es zu schützen.

Nicht nur die Daten von Lernenden sind zu schützen. Auch müssen Bildungseinrichtungen und Lehrende dafür sorgen, dass Unbefugte nicht an den Videokonferenzen teilnehmen können. Wie wichtig das insbesondere mit Blick auf den Unterricht ist, hat sich an einer Freiburger Schule gezeigt: Dort haben unberechtigte Teilnehmer bei einer Videokonferenz über Zoom pornografische Bilder geteilt.

Welche personenbezogenen Daten werden beim Unterricht via Videokonferenz erhoben?

Der Austausch von personenbezogenen Daten geht oft über den Vor- und Nachnamen und die E-Mail-Adresse hinaus. Manchmal werden auch ganze Benutzerprofile offengelegt.

Im Schulkontext spielt auch die Besprechung von Leistungen und Benotungen eine Rolle. Wenn sich eine Lehrkraft mit einem Lernenden per Videokonferenz über dessen Schulnoten austauscht, so ist auch das entsprechend schützenswert.

Welche Datenschutzprobleme bergen Videokonferenzen von Schulen und Hochschulen?

Datenschutzrechtlich problematisch wird es, wenn es bei Videokonferenz-Tools zu Sicherheitslücken, zur Weitergabe von Daten an Dritte oder zum Zugriff durch Unbefugte kommt. Im Schulkontext ist zudem die besondere Schutzwürdigkeit der Daten von Kindern und Jugendlichen zu beachten. Es muss jederzeit transparent sein, welche Daten das Tool sammelt, welche es mit Dritten teilt und welche Zugriffsrechte diesem übertragen werden.

Im Fall der Coronakrise mussten Lehrende an Schulen und Hochschulen von einem Tag auf den anderen Tools nutzen, mit denen sie nicht vertraut waren. Zu dieser Zeit gab es von offizieller Seite, also von den Kultusministerien und den Schulbehörden, noch keine konkreten Regelungen. Erst nach den Erfahrungen aus der Krise begannen Diskussionen über die klare Definition, welche personenbezogenen Daten erhoben werden dürfen.

Müssen Schulen und Universitäten im Zweifelsfall mit Bußgeldern rechnen?

Laut der europäischen Datenschutz-Grundverordnung (DS-GVO) sind öffentlich-rechtliche Träger nicht bußgeldfähig. Aufgrund dieser Regelung müssen weder die zuständigen Schulbehörden noch die Schulen und Universitäten selbst mit Bußgeldern rechnen, wenn nicht datenschutzkonforme Videokonferenz-Tools verwendet wurden.

Lehrende an Schulen und Hochschulen dagegen sind als Privatpersonen durchaus bußgeldfähig und können zur Verantwortung gezogen werden, auch wenn die alleinige Schuld nicht bei ihnen liegt. So gab es beispielsweise einen Fall in Thüringen, bei dem der Landesdatenschutzbeauftragte mit Bußgeldern drohte, weil eine Lehrkraft ein nicht datenschutzkonformes Videokonferenz-Tool einer US-Firma genutzt hatte.

Damit es erst gar nicht soweit kommt empfiehlt es sich in jedem Fall mit einem Datenschutzexperten zu sprechen. Hier kann Ihnen ein Datenschutzbeauftragter weiterhelfen. 

Wie lassen sich Videokonferenzen datenschutzkonform gestalten?

Generell sollten die Aufsichtsbehörden der Schulen und Hochschulen Vorgaben machen, wie und welche Videokonferenz-Tools genutzt werden dürfen. Wenn sich einzelne Lehrkräfte absichern möchten, dass ihre Videokonferenzen datenschutzkonform ablaufen, können sie sich an folgenden Hinweisen orientieren:

Datenschutzfreundliches Tool wählen

Kostenlose Tools sind nicht immer für Schulen und Hochschulen geeignet. Zunächst muss geklärt werden, wer an der Schule oder Hochschule für die Datenverarbeitung verantwortlich ist und welche Tools verwendet werden dürfen. Zentral ist dabei die Frage, ob das Tool die datenschutzrechtlichen Voraussetzungen erfüllt, die sich aus dem Schulgesetz, dem Landesdatenschutzgesetz und der DS-GVO ergeben.

Eine Auswahl datenschutzkonformer Tools und weitere Informationen finden Sie in diesem Artikel.

Anbieter aus Deutschland und der EU denen aus Drittländern vorziehen

Anbieter mit Sitz außerhalb der EU sind problematisch, weil die Daten ggf. in ein Drittland übertragen werden. Dadurch kann datenschutzrechtlich viel Unklarheit entstehen. Nehmen wir als Beispiel US-Anbieter: Die US-Gesetzgebung gewährt Behörden auch ohne richterlichen Beschluss Zugang zu Daten, die von US-Unternehmen gesammelt wurden. Das gilt auch dann, wenn sich die Nutzer außerhalb der USA befinden.

Datenschutzrechtlich besser aufgehoben sind Schulen und Hochschulen bei Anbietern aus Deutschland oder aus anderen EU-Ländern, deren Tools den Regelungen der DS-GVO unterworfen sind.

Auftragsverarbeitungsvertrag mit Anbieter abschließen

Die Schule oder Hochschule sollte einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abschließen. Wenn das gewählte Tool über den eigenen Server der Schule oder Hochschule läuft, ist ein AVV nicht erforderlich. Kennzeichnend für eine Auftragsverarbeitung ist die ausgelagerte Verarbeitung personenbezogener Daten, die bei der Nutzung auf einem eigenen Server regelmäßig nicht gegeben ist. Ein AVV ist aber z. B. mit dem IT-Dienstleister zu schließen, der den Server wartet.

Einen Hinweis in der Datenschutzerklärung für Schulen und Unis aufnehmen

Wenn Videokonferenz-Tools verwendet werden, muss ein entsprechender Hinweis in die Datenschutzerklärung der Schule oder Hochschule aufgenommen werden. Dies sollte in Absprache mit dem Landesdatenschutzbeauftragten und der zuständigen Aufsichtsbehörde erfolgen. In einigen Bundesländern gibt es bereits Vorlagen mit Mustertexten. Für staatliche, aber auch private Schulen in Bayern stellt etwa das Bayerische Staatsministerium für Unterricht und Kultus eine Handreichung für den Datenschutz einschließlich Musterdatenschutzhinweisen für Schulen zur Verfügung.

Auch bei der Einrichtung von PC und Videokonferenz-Tool auf den Datenschutz achten

Bildungseinrichtungen, Lehrende und Lernende können und sollten auch darauf achten, dass die Grundvoraussetzungen für einen datenschutzkonformen Einsatz von Videokonferenz-Tools gegeben sind. Wichtig sind hier vor allem folgende Punkte:

  • Die Datenschutzeinstellungen im Tool sollten überprüft und bei Bedarf angepasst werden.
  • Das WLAN aller Teilnehmer und Teilnehmerinnen muss verschlüsselt sein.
  • Der genutzte Computer sollte für andere Personen nicht zugänglich sein.
  • Auf dem Computer sollten regelmäßig Updates installiert werden, um den aktuellen Sicherheitsstandard zu gewährleisten.
  • Lehrkräfte müssen Daten wie Chats, die nach dem Unterricht nicht mehr benötigt werden, umgehend nach der Unterrichtseinheit löschen.

Einwilligung aller Teilnehmer einholen

Alle Teilnehmer und Teilnehmerinnen der Videokonferenz müssen über die Art und den Umfang der Datenerhebung informiert werden. Wie bereits erwähnt, gilt bei Kindern ein besonderer Schutz von Daten, daher müssen auch die Eltern in Kenntnis gesetzt werden.

Eine Einwilligung zur Datenverarbeitung ist nicht zwingend erforderlich – zumindest dann nicht, wenn die Verarbeitung auf eine andere Rechtsgrundlage gestützt werden kann. In der Coronakrise etwa sollten die Verordnungen der Bundesregierung und der Landesregierungen eine solche Rechtsgrundlage bilden.

Aufgrund der teils unklaren Vorgaben empfiehlt es sich für Schulen und Hochschulen dennoch, auf Nummer sicher zu gehen. Sie können bei der Einladung zur Videokonferenz auf ihre Datenschutzerklärungen hinweisen und sicherheitshalber auch eine Einwilligung aller Beteiligten einholen.

Spielregeln für alle Teilnehmer festlegen

Für Videokonferenzen empfiehlt sich ein „Datenschutz-Knigge“, an den sich alle Teilnehmerinnen und Teilnehmer halten. Wenn die Lehrkräfte beispielsweise den Unterricht aufzeichnen möchten, bedarf dies der Einwilligung aller. Eine Ausnahme bilden etwa Vorlesungen, bei denen nur die Lehrenden sprechen. Wenn nur eine einzelne Person spricht, muss die Einwilligung zur Aufzeichnung nicht bei den Zuhörern eingeholt werden.

Lehrende sollten auch vorab entscheiden, welche Inhalte sie während der Videokonferenz teilen. Dabei gelten in der digitalen Welt die gleichen Regeln wie in der analogen Welt. Wenn Materialien digital verbreitet werden, muss beispielsweise die Rechtslage bezüglich des Urheberrechts klar sein. Vorsicht ist auch bei Links geboten, denn sie könnten eventuell zu Seiten mit strafbaren Inhalten oder zu Urheberrechtsverletzungen führen.

Fazit

Spätestens seit der Coronakrise sind die meisten Schulen und Hochschulen mit dem Thema E-Learning und Homeschooling vertraut. Als Folge daraus wird auch das Thema Datenschutz immer wichtiger. Vor allem beim Einsatz von Tools für Videokonferenzen müssen Schulen und Hochschulen darauf achten, in welchem Umfang personenbezogene Daten erhoben und verarbeitet werden dürfen.

Viele Dinge können Lehrende selbst in die Hand nehmen, um sich datenschutzrechtlich abzusichern. Langfristig sollten die Kultusministerien und die zuständigen Aufsichtsbehörden möglichst einheitliche Regelungen festlegen, um Videokonferenz-Tools für Lehrende und Lernende einfach nutzbar zu machen. Denn das Thema E-Learning wird wohl immer mehr Raum im Unterricht der Zukunft einnehmen.

Sie haben Fragen zur Einhaltung der DS-GVO oder zu weiteren Datenschutzspezifischen Themen?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:Kostenlose Erstberatung vereinbaren

                                                                                                                             Zurück zum Seitenanfang

Über den Autor

Andreas Riehn Andreas Riehn
Andreas Riehn

Als Senior Consultant für Datenschutz betreut Andreas Riehn bei DataGuard Kunden von Medien- und Marketingunternehmen bis zum Autohandel. Schon in der Anfangsphase der Digitalisierung entdeckte der Volljurist das Potenzial der Informationstechnologie für sich. Nach seinem Jurastudium gründete und programmierte er 1997 das erste rein webbasierte Repetitorium für angehende Juristen: „Ohne zu wissen, was ein Mainboard ist. Von Computertechnik hatte ich einfach keine Ahnung, hat trotzdem funktioniert.“ Es folgten eine mehrjährige Tätigkeit als Manager für Marketingkommunikation sowie als Rechtsanwalt für die Bereiche IT und Datenschutz. Wenn er sich nicht mit Datenschutz, Big Data oder Machine Learning befasst, ist Andreas passionierter Autor und hat bereits einen Mystery-Thriller verfasst.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren