Direkt zum Hauptinhalt

Allgemeines zum Datenschutz und dem Einsatz von BOLLE an der Berliner Schule

Auf dieser Seite möchten wir über unseren Kenntnisstand* bezüglich der Antworten auf datenschutzrechtliche Fragen im Einsatz von BOLLE an der Berliner Schule mit Ihnen teilen. Der Kenntnisstand speist sich aus unserer Korrespondenz mit regionalen Datenschutzbeauftragen der Berliner Schulen und einer intensiven Literaturrecherche über die Stadtgrenzen hinaus. Sobald uns neue Erkenntisse vorliegen, aktualisieren wir diese Seite.

Machen Sie sich am besten erst einmal einen Tee. Lesen Sie dann die Punkte in Ruhe durch. Es sind doch eine Menge Informationen, die wir so nachvollziehbar wie möglich mit Ihnen teilen möchten.

Inhaltsverzeichnis

1. Allgemeines
2. Was muss die Schule vor der Einführung von BOLLE beachten?
2.1. Verzeichnis der Verarbeitungstätigkeiten (VVT)
2.2. Verarbeitung der Daten durch einen Auftragsverarbeiter
2.3. Verarbeitung von Daten besonderer Kategorien
2.4. Informationspflichten der Schule
2.5. Rechte der betroffenen Personen
2.6. Einwilligung in die Verarbeitung personenbezogener Daten
2.7. Sensibilisierung der Beschäftigten
2.8. Datenschutz-Folgenabschätzung (DSFA)


1. Allgemeines

Beim Thema Datenschutz ist innerhalb der EU die DSGVO von tragender Bedeutung. Die DSGVO schützt personenbezogene Daten natürlicher Personen. Sie unterscheidet dabei i.d.R. nicht in der Form der Speicherung (z.B. Papierform oder elektronische Datenspeicherung und -verarbeitung). Für die Benutzung von BOLLE werden mit Ausnahme von Metadaten keine zusätzlichen Daten erhoben, als jene, die Schulen ohnehin erfassen müssen, um z.B. in der Lage zu sein, Zeugnisse auszustellen. In BOLLE werden lediglich bereits schulintern sowieso zu erhebende Daten übersichtlicher organisiert. Das System speichert die oben erwähnten Metadaten (z.B. Loginzeiten, fehlgeschlagene Loginversuche). Diese dienen ausschließlich dazu, auffälliges Verhalten, wie z.B. einen Hack-Versuch zu verhindern und sind zu keinem Zeitpunkt vom Personal der Schule einzusehen.

Alle Schulen, die BOLLE als Schulorganisationssoftware an Ihrer Schule einsetzen möchten, schließen vorher einen Auftragsdatenverarbeitungsvertrag (AVV) mit uns ab. Dieser schließt eine Weitergabe jeglicher Daten an Dritte durch uns als Dienstleister kategorisch aus.

Neben der europaweit geltenden DSGVO gibt es für das Land Berlin das Schulgesetz und eine ganze Reihe von Verordnungen, die die Verarbeitung, Speicherung, Aufbewahrungsfristen und Archivierung von allen möglichen schulrelevanten Informationen und Dokumenten rechtlich regeln: GsVO, Sek-I-VO, VO-GO, SchulQualSiEvalVO und Schuldaten-VO.

Weil uns Informationssicherheit und Datenschutz besonders wichtig sind, haben wir uns als Firma einem Zertifizierungsprozess unterworfen. In solch einem Prozess werden alle internen Firmenabläufe auf Daten- und Informationssicherheit durch externe, unabhängige Expert:innen überprüfen. Mit diesem Audit wurde der Nachweis erbracht, dass unsere Firma die Forderungen des international gültigen Regelwerks ISO 27001 : 2017 erfüllt. Die Erfüllung der dort definierten Standards werden jährlich unabhängig überprüft. Somit erfüllen nicht nur unsere Rechenzentren, sondern erfüllt auch unsere Firma die aktuell gültigen Standards für Daten- und Informationssicherheit.

Zertifikat ISO 27001 BOLLE.png




2. Was muss die Schule vor der Einführung von BOLLE beachten?

Neben der üblichen Einbindung der schulischen Gremien und Beschäftigtenvertretung vor Einführung einer solch umfangreichen Organisatiossoftware, müssen Sie noch weitere datenschutzrechtliche Punkte in Kooperation mit Ihren regionalen Datenschutzbeauftragten beachten.

Ihre regionalen Datenschutzbeauftragten haben für die Berliner Schulen einen Leitfaden zum Umsetzen der DSGVO zur Verfügung gestellt. Hier finden Sie alle Datenschutzbriefe der regionalen Datenschutzbeauftragten. Der Leitfaden ist unter Datenschutzbrief Nummer 16 abrufbar. In diesem Leitfaden wird mitgeteilt, was alles zum Thema Datenschutz an Berliner Schulen zu beachten ist. Diese im Leitfaden aufgeführten Punkte (u.a. Verzeichnis der Verarbeitungstätigkeiten, Informationspflichten und -rechte) sind auch ohne Einsatz von BOLLE seit 2018 zu beachten. Wenn Sie BOLLE einführen möchten, müssen einige dieser Punkte noch ergänzt werden. Somit wird der Einsatz von BOLLE und Ihr mit uns abgeschlossener AVV transparent gemacht. Mit den folgenden Unterpunkten wollen wir Ihnen zeigen, welche zusätzlichen Angaben Sie vornehmen müssen. 

Hier sehen Sie eine Checkliste mit Punkten, die Sie - auch unabhängig vom Einsatz von BOLLE - als Schule vorweisen können bzw. erfüllen müssen:

      • ein Verzeichnis der Verarbeitungstätigkeiten (VVT) (siehe 2.1.)
      • eine Datenschutzerklärung auf der Schulhomepage (siehe 2.4.)
      • eine Einverständniserklärung, wenn Sie die E-Mailadressen von Eltern speichern (siehe 2.6.)
      • eine Einverständniserklärung, wenn Schüler:innen Accounts nutzen (z.B. bei Schulcomputern) (siehe 2.6.)
      • eine Genehmigung zur Nutzung privater Datenverarbeitungsgeräte des Personals durch die Schulleitung (siehe 2.7.)
      • eine Datenschutz-Folgenabschätzung bei Nutzung bestimmter Software (siehe 2.8.)

2.1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Auch ohne BOLLE müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten (VVT) führen. Auf Seite 4 im oben verlinkten Leitfaden finden Sie entsprechende Hinweise. Hier finden Sie eine Vorlage zum VVT und ein Dokument mit Ausfüllhinweisen. In der Excel-Datei gibt es viele Reiter, die Sie ganz unten finden. Hier ein Bild zur Orientierungshilfe.

VTT Reiter.png

Bitte wählen Sie den Reiter Übersicht. Dort finden Sie In der grünen Spalte Daten und die Unterkategorie mögliche Empfänger. Wenn Sie weiter nach unten scrollen, sehen Sie hier auch Angaben wie Untis-Support oder Winschule-Support. Außerdem sehen Sie als weitere Unterkategorie Verarbeitung außerhalb der Schule (Vertrag zur Auftragsverarbeitung AV mit...).

VTT.png

Für die Nutzung von BOLLE, müssen Sie zunächst eine weitere Zeile und einen Reiter hinzufügen sowie die TOMs ergänzen. Auf dieser Seite finden Sie eine Vorlage von uns. Suchen Sie nach der Datei: Vorlage zur VVT BOLLE. In der Datei sehen Sie unten die Reiter Übersicht, TOM und BOLLE.

BOLLE VTT Reiter.png

In unserer Datei bleiben Sie zunächst beim Reiter Übersicht. Sie finden dort eine Vorlage für eine mögliche Zeilenergänzung in Ihrer VVT. Bitte sehen Sie sich alle Eingaben an und verändern die Angaben nach Bedarf. 

Zum Schutz der personenbezogenen Daten müssen Sie für BOLLE auch die technischen und organisatorischen Maßnahmen (TOM) beschreiben. Sie brauchen hierfür Angaben von uns. Sie finden in unserer Datei zwar den Reiter TOM jedoch ohne weiteren Inhalt. Eine Formulierungsvorlage erhalten Sie von uns auf Anfrage, da diese sicherheitsrelevanten Angaben nicht für die Öffentlichkeit gedacht sind. Nach Durchsicht unserer Angaben fügen Sie diese Zeile den TOMs Ihrer eigenen VVT hinzu. 

Zuletzt müssen Sie den Reiter BOLLE ebenfalls noch zu Ihrer VVT hinzufügen. Neben den Reitern Ihrer eigenen VVT finden Sie ganz am Ende ein Plus-Symbol. Klicken Sie darauf. Damit generieren Sie einen weiteren Reiter. Wenn Sie auf den Reiter mit einem Rechtsklick klicken, können Sie Ihn in BOLLE umbenennen. Wir haben hier für Sie auch eine Formulierungshilfe zur Verfügung gestellt, die Sie noch ergänzen oder kürzen müssen. 

Abschließend gehen Sie zurück zu Ihrer eigenen VVT zum Reiter Übersicht

VTT Reiter.png

VTT.png

Gehen Sie nun alle Zeilen der VVT durch. An den Stellen, an denen Sie den Einsatz von BOLLE planen, machen Sie das in der Spalte Verarbeitung außerhalb der Schule den Bezug zu BOLLE transparent. Wenn Sie weiter unten in der von Ihnen hinzugefügten Zeile BOLLE bereits "Bolle Software GmbH (BOLLE)" geschrieben haben, reicht hier der jeweilige Vermerk: BOLLE. Außerdem müssen Sie ein d für digital beim Reiter analog/digital hinzufügen. Eventuell entfällt an einigen Stellen auch das a für analog.

VVT Bezeichnung Zweck digital.png

Wichtig: Die VVT ist nicht für die Öffentlichkeit gedacht. Sie muss jedoch auf Verlangen der für den Datenschutz zuständigen Aufsichtsbehörde vorgelegt werden können. Sie dürfen das Verzeichnis elektronisch führen.


2.2. Verarbeitung der Daten durch einen Auftragsverarbeiter

Im Leitfaden informieren die regionalen Datenschutzbeauftragten, dass Sie eine Vereinbarung zur Auftragsverarbeitung mit Anbietern abschließen müssen, wenn personenbezogene Daten durch diesen Anbieter verarbeitet werden. Wir legen Ihnen einen solchen Auftragsverarbeitungsvertrag unaufgefordert bei Vertragsunterzeichnung vor. Sie können BOLLE gar nicht ohne diesen Auftragsdatenverarbeitungsvertrag nutzen. 


2.3. Verarbeitung von Daten besonderer Kategorien

Das Wichtigste ist hierbei, dass Sie die sonderpädagogischen Förderbögen "als einzige Schülerunterlage[] nicht automatisiert" führen dürfen (Leitfaden, Version 2.0, Regional Datenschutzbeauftragte für Berliner Schulen, 2018: 9). BOLLE wird Ihnen daher ein Führen sonderpädagogischer Förderbögen auch nicht ermöglichen. Statthaft sind jedoch gesundheitliche Rücksichten, wie z.B. individuelle Zeitverlängerungen aufgrund einer LRS. Dieses Recht leitet sich explizit aus Art. 9, Buchst. e DSGVO ab: Die Verarbeitung von Daten besonderer Kategorien ist erlaubt, wenn "die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen" notwendig ist.

Das Schulgesetz konkretisiert im § 64 die Datenverarbeitung und Auskunftsrechte:

Die Schulen einschließlich der Einrichtungen des Zweiten Bildungswegs, die Schulbehörden und die Schulaufsichtsbehörde dürfen personenbezogene Daten von Schülerinnen und Schülern, ihren Erziehungsberechtigten, Lehrkräften und sonstigen schulischen Mitarbeiterinnen und Mitarbeitern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen schulbezogenen Aufgaben erforderlich ist.

Von den besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72 und L 127 vom 23.5.2018, S. 2) dürfen nur solche verarbeitet werden, die sich auf die Familiensprache, die Religions- und Weltanschauungszugehörigkeit oder die Gesundheit der betroffenen Personen beziehen.

Für die betroffenen Personen besteht Auskunftspflicht; deren Art und Umfang ist durch Rechtsverordnung nach § 66 Nr. 1 festzulegen.

Die Rechtsverordnung, die im zuletzt zitierten Absatz nach § 66 Nr. 1 Art und Umfang der Auskunftspflicht gegenüber Schüler:innen und deren Erziehungsberechtigten regeln soll, konnten wir bei unseren Recherchen bisher nicht finden. Wir freuen uns gerne über Hinweise, wenn Ihnen eine solche Rechtsverordnung vorliegt.

§ 66 Nr. 1 SchulG verweist lediglich auf den oben zitierten § 64:

Die für das Schulwesen zuständige Senatsverwaltung wird ermächtigt, das Nähere über die Verarbeitung personenbezogener Daten durch Rechtsverordnung zu regeln, insbesondere

1. Art und Umfang der Daten, auf die sich die Auskunftspflicht nach § 64 Abs. 1 bezieht[.]


2.4. Informationspflichten der Schule

Ihre regionalen Datenschutzbeauftragten informieren Sie im Leitfaden auf S. 9 wie folgt:


Gemäß Artikel 12 bis 14 DSGVO muss die Schulleitung von sich aus den betroffenen Personen eine Reihe von Informationen geben. Über eine beabsichtigte Änderung des Verarbeitungszwecks personenbezogener Daten sind die betroffenen Personen vorab zu informieren (Artikel 13, Absatz 3 und Artikel 14 Absatz 4). Dies gilt auch, wenn die Zweckänderung in einer Rechtsvorschrift vorgesehen ist.

Ihnen wird an anderer Stelle eine Vorlage zur Verfügung gestellt, die die "betroffenen Personen" entsprechend dieser DSGVO-Vorschrift informiert. Sie finden diese Vorlage der regionalen Datenschutzbeauftragten hier. Dort finden Sie die Vorlage 5.2. Informationspflichten Sekundarschule (Januar 2019).

Bevor Sie BOLLE an der Schule einsetzen, müssen Sie darüber informieren. Die regionalen Datenschutzbeauftragten formulieren selbst, dass Informationsschreiben nach Artikel 12 DSGVO nicht auf Papier als Ausdruck an jede Familie ausgeteilt werden müssen. In der Vorlage heißt es auf Seite 1:

Die Informationen müssen den Betroffenen auf einfache Weise zur Verfügung gestellt werden. Sie können mit einem Hinweis bei der Anmeldung aus die Veröffentlichung aus Ihrer Homepage hinweisen ("Informationen über die Erhebung von personenbezogenen Daten gemäß Datenschutz-Grundverordnung finden Sie auf unserer Homepage unter www... .")

Sie müssen diese Vorlage jedoch ergänzen. Wir haben die Vorlage der Datenschutzbeauftragten vom Januar 2019 genommen um entsprechende Angaben ergänzt. Sie finden unsere Vorlage in diesem Ordner. Laden Sie die Datei Vorlage zur Informationspflicht BOLLE herunter. Sie finden unsere Vorschläge zur Ergänzung rot markiert.


2.5. Rechte der betroffenen Personen

Betroffene Personen haben nach Artikel 15 DSGVO ein Recht auf Auskunft, Berichtigung, Löschung und Widerspruch. BOLLE unterstützt die Schulleitung bei der Erfüllung möglicher Rechtsersuchen Betroffener (Admin > Datenschutz).

Vorab zitieren wir an dieser Stelle den Erwägungsgrund 63 "Auskunftsrecht" der DSGVO:

Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

Unabhängig davon kann die Schulleitung bei Vorliegen einer Auskunftsanfrage nach Art. 15 DSGVO einen Auszug aller in BOLLE von der Schule verarbeiteten Daten generieren. Dieser Auszug umfasst explizit nicht die individuellen Einzelnoten und eventuellen Stundenkommentare (Leistungsdaten) im Kursbuch der einzelnen Lehrkräfte. Das Recht auf Auskunft wird in Artikel 23 Abs. 1 Buchst. j beschränkt, wenn "Rechte und Freiheiten anderer Personen" vom Auskunftsersuchen betroffen sind. Die Auskunft über Leistungsdaten wird durch § 47 Abs. 4 Schulgesetz näher definiert:

Die Schulleiterin oder der Schulleiter oder die Lehrkräfte informieren die Schülerinnen und Schüler sowie deren Erziehungsberechtigte individuell und in angemessenem Umfang

1. über die Lern-, Leistungs- und Kompetenzentwicklung sowie das Arbeits- und Sozialverhalten der Schülerin oder des Schülers,
2. über die Kriterien der Leistungsbeurteilung (Noten, Prüfungen, sonstige Beurteilungen), Versetzung und Kurseinstufung[.]

Im Schulgesetz wird also von den Lehrkräften verlangt, individuell und in angemessenem Umfang Auskunft über Leistungsdaten zu erteilen. Ein bloßes Zur-Verfügung-Stellen aller Einzelnoten und der Stundenkommentare aller Lehrkräfte einer Schüler:in würde gegen diese Vorschrift verstoßen. § 67 Abs. 2 Schulgesetz bestätigt die besondere Aufgabe und Stellung der Lehrkräfte:

Sie unterrichten, erziehen, beurteilen und bewerten, beraten und betreuen in eigener pädagogischer Verantwortung im Rahmen der Bildungs- und Erziehungsziele und der sonstigen Rechts- und Verwaltungsvorschriften sowie der Beschlüsse der schulischen Gremien.

Außerdem würde ein einfaches Auslesen und die vollumfängliche Übermittlung der persönlichen Notizen einer Lehrkraft innerhalb des eigenen digitalen Kursbuches gegen das Recht von Angestellten und Beamten verstoßen, dass sie lt. § 85 Abs. 13 Buchst. b Personalvertretungsgesetz vor Überwachung der Leistung und des Verhaltens schützen soll.

Sollten Erziehungsberechtigte oder Schüler:innen eine Auskunft über Leistungsdaten verlangen, so sollte dies nach den Grundsätzen des Schulgesetzes passieren: individuell und in angemessenem Umfang. Dies betrifft nicht die Auskunft darüber, zu welchem Zweck die Daten in einem digitalen Kursbuch wie BOLLE geführt werden (Transparenzgebot). Der Zweck des Führens von Leistungsdaten in BOLLE ist der oben erwähnte Grundsatz der Bewertung und Beurteilung durch Lehrkräfte in "eigener pädagogischer Verantwortung" (ebd.) und, weiterführend, der Erstellung von Zeugnissen gemäß der AV Zeugnisse. 

Schüler:innen bzw. deren Erziehungsberechtigten haben also keinen Anspruch auf Herausgabe aller Daten. Sie haben einen Anspruch darauf, zu erfahren, was mit den Daten geschieht und wann sie z.B. wieder gelöscht werden. Zudem haben sie einen Anspruch darauf, die zusammengefassten Erkennntnisse über die eigene Leistungsentwicklung bzw. die des eigenen Kindes zu erfahren und von den Lehrkräften erklärt zu bekommen. Nicht mehr - aber auch nicht weniger.

Beachten Sie diesbezüglich auch die Antwort auf das letzte Praxisbeispiel im nächsten Punkt: "Eltern wollen nicht, dass Leistungsdaten des Kindes in BOLLE verarbeitet werden."


2.6. Einwilligung in die Verarbeitung personenbezogener Daten

Solange Sie nur Daten verarbeiten, die Sie ohnehin als Schule auf Grundlage des Schulgesetzes und den nachgeordneten Rechtsverordnungen erheben würden, benötigen Sie keine Einwilligung der Betroffenen. Wenn es für die Datenverarbeitung jedoch keine gesetzliche Grundlage gibt, müssen Sie sich eine Einwilligung holen. Dabei ist zwingend darauf zu achten, dass der Betroffene sich nicht verpflichtet fühlt einwilligen zu müssen und ihm keine konkret benennbaren Nachteile aus einem Einwilligungsverzicht entstehen.

Auf BOLLE bezogen, bedeutet das, dass sowohl Schüler:innen als auch Erziehungsberechtigte nicht dazu gezwungen werden dürfen, BOLLE selbst zu benutzen oder gar dort einen Account für sich anzulegen. Sie haben auch das Recht, ihre Einwilligung zu einem späteren Zeitpunkt zu entziehen, was eine Löschung der Daten dieser Person nach sich zöge. 

Bevor Sie den Schüler:innen die Logindaten für den jeweils eigenen Account herausgeben, benötigen Sie von Personen, die das 16. Lebensjahr noch nicht vollendet haben, eine Einverständniserklärung einer erziehungsberechtigten Person. Dies ist der Fall, weil mit der Nutzung eines Accounts Daten erhoben werden, die über die im Schulgesetz und in den nachgeordneten Rechtsverordnungen erwähnten Daten und Zwecke hinausgehen. Da in BOLLE der Zeitpunkt des letzten Logins gespeichert wird, um mögliche Hackangriffe auf das System zu identifizieren und abwehren zu können, und weil eben dieses personenbezogene Datum (Schüler X hat sich am 12.03.2021 zum letzten Mal um 13.42 Uhr eingeloggt) nicht im Schulgesetz erwähnt wird, benötigen Sie ein Einverstädnis. Dieses benötigen Sie im Übrigen auch, wenn sich Schüler:innen an den schuleigenen Computern mit einem persönlichen Zugang einloggen können. In beiden Fällen (auf BOLLE und bei Nutzung schuleigener Computer) werden Daten erhoben, die einen sicheren Login zu den Systemen erst ermöglichen.

Rein rechtlich dürfen Sie auch nicht ohne Weiteres die E-Mailadresse von Eltern und Erziehungsberechtigten speichern; egal wo. Das Datum E-Mailadresse wird bisher von keiner Rechtsverordnung explizit erwähnt. Wollen Sie also die E-Mailadresse von Eltern nutzen, brauchen Sie auch hierfür eine Einverständniserklärung. 

Wir stellen Ihnen eine Vorlage für eine solche Einverständniserklärung hier zur Verfügung. Unsere Vorlage beachtet dabei die hier erwähnten Bereiche:

  1. Nutzung der schuleigenen Computer durch das Kind
  2. Nutzung eines BOLLE-Accounts durch das Kind
  3. Speicherung der E-Mailadresse der Eltern und Erziehungsberechtigten durch Sie in BOLLE

Bitte ergänzen und streichen Sie die Angaben in der Vorlage je nach Ihren individuellen Voraussetzungen.

Durch Eingabe der E-Mailadressen der Eltern und Erziehungsberechtigten erhalten diese eine Mitteilung, dass sie sich einen Eltern-Account auf BOLLE anlegen können (sofern Ihre Schule das so voreingestellt hat). Das Einverständnis der Eltern und Erziehungsberechtigten hinsichtlich der Erstellung des Eltern-Accounts wird digital erfasst. Sie müssen hier keine schriftliche Einwilligung einholen.

Achtung: Sofern nicht eindeutig anders gekennzeichnet,  geht es in diesem gesamten Bereich nicht um die Schuldaten, die die Schulen eh gesetzlich verpflichtend erheben müssen. Hier ein paar Praxisbeispiele:

Beispiel Aktion
Eltern wollen für sich selbst keinen Account mehr auf BOLLE haben. Sie müssen den Account löschen. Durch Accountlöschung werden auch etwaige Metadaten gelöscht (z.B. wann sich der Account eingeloggt hat, missglückte Anmeldeversuche bei falscher Passworteingabe)
Eltern wollen, dass Sie die Adressdaten löschen. Die Anschrift der Erziehungsberechtigten sind Bestandteil des gesetzlich vorgeschriebenen Schülerbogens. Sie dürfen dieses Datum nicht vor der Löschfrist lt. SchuldatenV löschen. Die Eltern können die Daten aber natürlich jederzeit berichtigen. 
Eltern wollen, dass ihr Kind keinen Zugang zu BOLLE erhält. Sie müssen dem Wunsch entsprechen und dürfen das Kind nicht zwingen, einen Account anzulegen. Dem Kind darf daraus kein konkret benennbarer Nachteil erwachsen (siehe nächstes Beispiel).
Eine volljährige Schülerin möchte keinen BOLLE-Account haben, soll nun aber eine 5. PK in BOLLE eingeben. Sie weigert sich. Die Schülerin hat das Recht, die Eingabe auf BOLLE zu verweigern. Der Zweck, die personenbezogenen Daten Name und Vorname für die Accounterstellung zu einer Schulverwaltungssoftware zu nutzen, ist gesetzlich nicht beschrieben. Die Schülerin muss dennoch die Angaben zur 5. PK machen. Sie müssen der Schülerin die Gelegenheit geben, die erforderlichen Daten auf andere Weise zur Verfügung zu stellen (z.B. mit einem Vordruck). 
Wichtig dabei ist, dass zwar die Schülerin das Recht hat, sich nicht 'irgendwo' einloggen zu müssen, Sie aber auch das Recht haben, die gesetzlich notwendigen Daten der Schülerin in dieses System zu übertragen und dort weiter zu verarbeiten. 
In diesem konkreten Beispiel, kann die Oberstufenkoordination die Daten für die Schülerin in BOLLE eintragen.
Eltern wollen nicht, dass Leistungsdaten des Kindes in BOLLE verarbeitet werden. Lehrkräfte erheben diese Daten auf Grundlage des Schulgesetzes. Eltern und Schüler:innen haben ein Recht auf Auskunft, aber kein Recht, den Lehrkräften vorzugeben, auf welche Weise sie diese Daten zu verarbeiten haben. 
Die SchuldatenV ermächtigt Lehrkräfte Leistungsdaten auch digital zu erfassen.
§ 10 Abs. 4 SchuldatenV sagt aus: "Die Noten der mündlichen, schriftlichen und sonstigen Leistungen sind durch die Lehrkräfte in geeigneter Weise zu dokumentieren." In § 6 Abs. 3 wird außerdem eine Verarbeitung in Papierform und in digitaler Form genehmigt: "Schülerunterlagen können im Ermessen der Schule sowohl in Papierform nach Maßgabe des Absatzes 4 als auch in digitaler Form nach Maßgabe des Absatzes 5 geführt werden, sofern in den §§ 7 bis 14 nichts Abweichendes geregelt ist." Dies schließt den o.g. § 10 mit ein.
Es bedarf keiner Zustimmung durch Schüler:innen oder Eltern; vgl. auch § 3 Abs. 1 Schuldaten V: "Die Einholung einer datenschutzrechtlichen Einwilligung kommt nur dann in Betracht, wenn die Datenverarbeitung nicht ohnehin durch Rechtsvorschrift erlaubt ist."

2.7. Sensibilisierung der Beschäftigten

Im Leitfaden finden Sie ein paar Angaben der regionalen Datenschutzbeauftragten zu dem Punkt, dass Sie Ihre Kolleg:innen regelmäßig auf die Grundsätze der rechtmäßigen Verarbeitung personenbezogener Daten hinweisen sollen. Dies gilt insbesondere auch bei der Nutzung von BOLLE. So sollten Sie regelmäßig darauf hinweisen, wie die Kolleg:innen BOLLE auf ihren privaten Geräten verwenden und welche Sicherheitsvorschriften dabei beachtet werden müssen. 

Auch die Schüler:innen sollten regelmäßig über das Geheimhalten von Passwörtern und den sicheren Umgang mit eigenen Accounts informiert werden.

Haben Sie als Schulleitung Ihren Lehrkräften die Nutzung privater Datenverarbeitungsgeräte zur Verarbeitung personenbezogener Daten genehmigt? Falls Sie Ihren Lehrkräften solch eine Zustimmung erteilen möchten, finden Sie hierzu eine Vorlage auf dieser Seite unter 2. Antrag zur Verarbeitung personenbezogener Daten auf privaten Geräten (September 2017)


2.8. Datenschutz-Folgenabschätzung (DSFA)

Nach Art. 35 DSGVO muss bei einer

"systematische[n] und umfassende[n] Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung [...] gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten" (ebd., 3a)

eine sogenannte Datenschutz-Folgenabschätzung (DSFA) erfolgen. Dies ist unserer Ansicht nach bei der Verwendung von jeglicher Software im schulischen Bereich gegeben (auch bei Excel oder anderen reinen Notenverwaltungsprogrammen) - und damit auch bei der Nutzung von BOLLE.

Abs. 2 des Art. 35 DSGVO regelt, dass bei der Durchführung einer DSFA der Rat des Datenschutzbeauftragen einzuholen ist. Wir haben in Rücksprache mit regionalen Datenschutzbeauftragten der Berliner Schulen eine Vorlage für eine DSFA für den Einsatz von BOLLE erarbeitet. Unsere Vorlage muss durch Sie noch durchgesehen und in einigen Punkten ergänzt werden. 

Die DSFA ist nicht für die Öffentlichkeit gedacht, da konkrete Risiken benannt werden und Angaben zu technischen und organisatorischen Maßnahmen getroffen werden, um denkbare Risiken maßgeblich zu minimieren. Sie erhalten eine derartige Vorlage von uns entweder im Zuge der Einrichtung oder gerne auch auf Anfrage über Ihre Schulleitung zugeschickt. 

Die DSFA muss auf Verlangen Ihrer für Datenschutz zuständigen Behörde vorgelegt werden können. Darüber hinaus regelt der § 55 des Berliner Datenschutzgesetzes (BlnDSG) Folgendes:

Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit anzuhören, wenn

  1. aus einer Datenschutz-Folgenabschätzung nach § 53 hervorgeht, dass die Verarbeitung trotz Abhilfemaßnahmen eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hätte oder
  2. die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hat.

Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen.

Wenn Ihre DSFA also keine erhebliche Gefahr feststellt, bleibt es dabei, dass Sie diese DSFA nur auf Verlangen vorlegen können müssen.


*Rechtlicher Hinweis zu dieser Informationsseite

Wir machen darauf aufmerksam, dass unsere Informationsseite lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung im eigentlichen Sinne darstellt. Der Inhalt dieses Angebots und die zur Verfügung gestellten Dokumente zum Download können und sollen eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.

nach oben