Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Montag, 16. Juli 2018

7: FAQ - Häufig gestellte Fragen

In welcher Weise sind Datenschutzerklärungen auf den Webseiten der Schulen nach den Vorgaben der DSGVO zu gestalten?

Seit 25.05.2018 gelten die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO), die umfassende Informationspflichten der verantwortlichen Stellen gegenüber den betroffenen Personen vorschreiben.

Sofern Schulen eigene Webseiten betreiben, sind sie verpflichtet, entsprechende Datenschutzerklärungen zu veröffentlichen.

Die Datenschutzerklärungen müssen auf die jeweiligen Verhältnisse der Webseite abgestellt werden. Daher kann in dieser FAQ kein allgemein anzuwendendes Muster mit vorgefertigten Formulierungen bereitgestellt werden.

Erste Hinweise zu den Informationspflichten im Allgemeinen und im Zusammenhang mit einem Webauftritt sind in dieser Broschüre kurz zusammengefasst

Viele Schulen betreiben schon seit Jahren eigene Webseiten. Diese werden je nach Intensität der Nutzung zwar inhaltlich gepflegt und sind hinsichtlich der Informationen im Regelfall auf dem neuesten Stand.

Die bei Inbetriebnahme erstellten rechtlich erforderlichen Informationen (z. B. Impressum usw.) scheinen dabei aber über die Jahre in vielen Fällen aus dem Blick geraten zu sein. Beim Überarbeiten der Webseite und Bereitstellen einer aktuellen Datenschutzerklärung sollten alle mit dem Betrieb zusammenhängenden datenschutzrechtlichen Fragen geklärt sein.

Im Rahmen von Einzelanfragen von Schulleitungen an das ULD zur datenschutzkonformen Umsetzung der Informationspflichten nach der DSGVO wurde festgestellt, dass oftmals bereits Datenschutzhinweise vorhanden waren. Diese waren aber im Regelfall veraltet und nicht auf den tatsächlichen Inhalt der Webseite und deren Funktionalitäten abgestimmt. Es wurden anscheinend einfach Muster aufgenommen, die im Internet veröffentlicht waren, ohne diese an die tatsächlichen Verhältnisse der Webseitengestaltung anzupassen.

Auch die Informationen über den (technischen) Betrieb der Webseite (z. B. welche Stelle stellt die Webseite über Server im Internet zur Verfügung) sind in einigen Schulen nicht präsent.

Hier finden Sie eine Checkliste, mit deren Hilfe wichtige Punkte geprüft werden können. Die Liste erhebt keinen Anspruch auf Vollständigkeit.

Um eine auf die Verhältnisse der Webseite angepasste Datenschutzerklärung zu erstellen, nehmen Sie zunächst eine Analyse anhand der Checkliste vor und gehen dann systematisch wie nachfolgend empfohlen vor:

  1. Werden mit Hilfe der Webseite personenbezogene Daten von betroffenen Personen (Schülerinnen, Schüler, Eltern usw.) erhoben?
    Werden z. B. Online-Formulare (Kontaktformulare, Krankmeldeformulare usw.) bereitgestellt?

    Ist dies der Fall, ergibt sich eine Informationspflicht nach Artikel 13 Absatz 1 und Absatz 2 DSGVO.

    Die nach diesen Vorschriften gebotenen Informationen können direkt in den Formularen gegeben werden. Es ist aber auch möglich, hier nur darauf hinzuweisen, dass diese Informationen an anderer Stelle auf der Webseite vorhanden sind, und einen Link zu dieser Stelle einzubauen. Die Informationen müssen dann dort in übersichtlicher und entsprechend den Verarbeitungszwecken strukturierter Weise bereitgestellt werden.
     
  2. Passen Sie die weiteren Informationen zur Datenverarbeitung an die tatsächlichen Verhältnisse der Webseite an.

    Nach Art. 13 DSGVO muss nur über solche Aspekte informiert werden, die relevant sind. So entfällt eine Information über die    berechtigten Interessen (Art. 13 Abs. 1 Buchst. d, da diese im öffentlichen Bereich als Rechtsgrundlage nicht zur Verfügung steht. Das gleiche gilt für Art. 13 Abs. 1 Buchst. e und f, wenn die Daten gar nicht weitergegeben oder nicht in Drittstaaten übermittelt werden sollen, sowie für Art. 13 Abs. 2 Buchst. c (Wiederrufbarkeit der Einwilligung), wenn die Verarbeitung nicht auf Einwilligung beruht, und für Art. 13 Abs. 2 Buchst. f, wenn keine automatisierte  Entscheidungsfindung besteht.
     
  3. Informieren Sie über die Verarbeitung solcher personenbezogener Daten, die technisch bedingt anfallen.

    Beim Besuch einer Webseite erhält der Webserver automatisch Informationen über das informationstechnische Gerät, mit der der Webserver erreicht wird. Dazu gehört u. a. die IP-Adresse des Geräts. Hierbei handelt es sich um ein personenbezogenes Datum (Online-Kennung) nach Artikel 4 Nr. 1 DSGVO. Solche Daten werden oft in Protokollierungsdateien für eine gewisse Zeit gespeichert und für bestimmte Zwecke ausgewertet.
     
  4. Es müssen die Kontaktdaten der oder des zuständigen behördlichen Datenschutzbeauftragte mit Kontaktdaten aufgeführt werden.
     
  5. Es muss auf die zuständige Aufsichtsbehörde (Landesbeauftragte für Datenschutz, Holstenstraße 98, 24103 Kiel, www.datenschutzzentrum.de, Tel.: 0431 988 1200, Fax: 0431 988 1223, E-Mail: mail@datenschutzzentrum.de ) hingewiesen werden.