4.6 Bildung        

4.6.1       Dienstliche E-Mail-Adressen und Endgeräte für alle Lehrkräfte

Was lange währt, wird endlich gut.

Bereits im Jahre 2015 hatten wir die Bereitstellung von dienstlichen E-Mail-Adressen für alle Lehrkräfte an den Schulen in Schleswig-Holstein (vgl. 35. TB, Tz. 4.7.5) gefordert. Seit März 2021 verfügen alle Lehrkräfte an öffentlichen Schulen in Schleswig-Holstein über eine personalisierte dienstliche EMail-Adresse. Eine Vereinbarung zwischen dem Hauptpersonalrat der Lehrkräfte und dem Bildungsministerium legt fest, dass diese EMail-Adresse von den Lehrkräften zwingend für die dienstliche Kommunikation zu verwenden ist.

Damit verbunden sind zwei Vorteile: Zum einen müssen Lehrkräfte ihre bisher bei unterschiedlichen – teilweise auch außereuropäischen – Anbietern privat eingerichteten EMail-Adressen nicht mehr nutzen, um mit Schülerinnen und Schülern, Eltern oder anderen Stellen zu kommunizieren. Zum anderen, und dies ist besonders wichtig, dürfen Lehrkräfte bei Nutzung dieser dienstlichen E-Mail-Adressen auch personenbezogene Daten betroffener Personen (z. B. Schülerinnen und Schüler) versenden, soweit sie mit diesen dienstlichen E-Mail-Adressen untereinander kommunizieren, da diese Kommunikation ausschließlich im Landesnetz und nicht über das Internet erfolgt. Auch der E-Mail-Austausch mit anderen öffentlichen Stellen oder der eigenen Schulverwaltung über deren Landesnetzadressen kann jetzt im internen Landesnetz erfolgen. Aufgrund der Umsetzung in Form von Webmail-Funktionalität kann vermieden werden, dass die gesendeten und empfangenen EMail-Nachrichten auf lokalen Endgeräten der Lehrkräfte gespeichert sind, wo sie über ihren gesamten Lebenszyklus gegen unberechtigte Zugriffe zu sichern wären.

Das ULD hat die Umsetzung dieser technischen Dienstleistung in einem konstruktiven und vertrauensvollen Prozess mit dem Bildungsministerium datenschutzrechtlich begleitet.

Eine weitere datenschutzrechtliche Baustelle, die seit vielen Jahren zu Frust und Verdruss bei Lehrkräften und Schulleitungen geführt hat, wird ebenfalls demnächst geschlossen sein: Das Bildungsministerium hat sich dazu entschlossen, allen Lehrkräften der öffentlichen Schulen dienstliche Endgeräte (Laptops und Tablets), die dem Sicherheitsstandard des Landes Schleswig-Holstein entsprechen, für ihre Arbeit bereitzustellen. Diese dienstlichen Endgeräte können die Lehrkräfte einerseits für ihren schulischen Alltag im Rahmen der Bildungsvermittlung nutzen, andererseits können sie als Hilfsmittel für die Verarbeitung personenbezogener Daten der Schülerinnen und Schüler sowie Eltern dienen. Mit diesen Endgeräten können die Lehrkräfte beispielsweise die Dienste des Schulportals in Schleswig-Holstein in Anspruch nehmen.

 

4.6.2       Mängel in Datenschutzerklärungen von Schulwebseiten

Immer wieder erreichen uns Beschwerden von Bürgerinnen und Bürgern über fehlerhafte bzw. mangelhafte Datenschutzerklärungen auf Webseiten der Schulen. Die von uns daraufhin erfolgten Inaugenscheinnahmen führten zu ähnlichen Ergebnissen wie bei den Webseiten von anderen öffentlichen Stellen (siehe Tz. 4.1.7): Es gibt datenschutzrechtliche Defizite.

Im Regelfall haben wir den zentralen Datenschutzbeauftragten des Bildungsministeriums für die öffentlichen Schulen gebeten, mit den jeweiligen Schulleitungen Kontakt aufzunehmen, damit diese die Datenschutzerklärungen auf den Webseiten korrigieren.

Den Rückmeldungen des zentralen Datenschutzbeauftragten entnehmen wir, dass augenscheinlich vielen Schulleitungen nicht bekannt war, welcher Dienstleister die Webseite der Schule bereitstellt. Dies liegt offensichtlich daran, dass Schulen bereits vor langer Zeit Webseiten eingerichtet haben. Die Einrichtung hat im Regelfall der Schulträger für die Schulen beauftragt. Danach hat der Schulträger lediglich die jährlich anfallenden Kosten für das Webhosting getragen. Die inhaltliche Gestaltung und Aktualisierung der Webseite erfolgte und erfolgt bis heute durch Lehrkräfte der Schule. Die Schulträger haben im Regelfall keine Kenntnis darüber.

Wenn neue Schulleiterinnen und Schulleiter kommen, haben sie zumeist keine Kenntnis über die vertraglichen und datenschutzrechtlichen Verantwortlichkeiten im Zusammenhang mit dem Betrieb der schulischen Webseite. Insofern fallen ihnen die vorhandenen Defizite im Zusammenhang mit der Datenschutzerklärung auf der Schulwebseite häufig nicht auf.

Die Schulleiterinnen und Schulleiter sind aber für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Dies gilt auch für die Einhaltung der datenschutzrechtlichen Bestimmungen zur Information nach Art. 13 Abs. 1 und 2 DSGVO in Form einer Datenschutzerklärung auf der Webseite der Schule. Voraussetzung ist selbstverständlich, dass die Webseite selbst datenschutzkonform ist und beispielsweise auf die Einbindung unzulässiger Dienste verzichtet.

 

4.6.3       Fehlversand von Informationen mit weitreichenden Folgen

In den Schulen ist es mittlerweile üblich, die Eltern über E-Mail-Verteiler mit Informationen zu versorgen. Solche Sammelnachrichten sollte man, insbesondere wenn E-Mail-Adressen von Privatpersonen berührt sind, ausschließlich so versenden, dass die privaten E-Mail-Adressen nicht für alle Empfängerinnen und Empfänger sichtbar sind. Dies ist beispielsweise durch Versand als sogenannte Blindkopie („Blind Carbon Copy“, „BCC“) möglich.

Diese Versandart ist unter Datenschutzgesichtspunkten als Standard zu betrachten, zumindest wenn die Daten von Privatpersonen betroffen sind. Im Schulbereich ist dies sogar explizit durch die Dienstanweisung des Bildungsministeriums für die Nutzung der Schulverwaltungsrechner geregelt.

Allein im Jahr 2021 wurde uns von den Schulen im Rahmen der Meldungen nach Artikel 33 DSGVO (sogenannte Datenpannenmeldungen) in zehn Fällen der irrtümliche Versand von EMails mit offenem E-Mail-Verteiler gemeldet. Regelmäßig war dies mit der Angabe verbunden, dass dies irrtümlich geschah.

Welche Auswirkungen es haben kann, wenn nicht sorgfältig darauf geachtet wird, solche EMail-Verteiler nur in „BCC“ zu nutzen, musste uns eine Schule im Rahmen einer Meldung nach Artikel 33 DSGVO mitteilen: Dort wurden alle in offener Weise versandten E-Mail-Adressen der Eltern dieser Schule vermutlich von einem Elternteil an eine andere Person weitergeleitet. Diese Person nutzte die E-Mail-Adressen dann für einen Newsletter. Zwar teilte diese Person den Eltern mit, dass sie den Datenschutz sehr ernst nehme und deshalb den Eltern angeboten habe, den Newsletter mittels E-Mail wieder abzubestellen. Allerdings fehlte auch für diese weitere Verarbeitung eine Rechtsgrundlage.

In diesem Fall wurden die E-Mail-Adressen der betroffenen Personen „nur“ für einen Newsletter missbräuchlich verwendet. Denkbar sind jedoch auch andere Szenarien, die zu tatsächlichen materiellen oder immateriellen Schäden für die betroffenen Personen führen können. In Anbetracht dessen, dass nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen hat, sollte die Nutzung von EMail-Verteilern mit äußerster Sorgfalt erfolgen.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel