Direkt zum Hauptinhalt

Allgemeines zum Datenschutz und dem Einsatz von BOLLE an der Berliner Schule

Auf dieser Seite möchten wir über unseren Kenntnisstand bezüglich der Antworten auf datenschutzrechtliche Fragen im Einsatz von BOLLE an der Berliner Schule mit Ihnen teilen. Der Kenntnisstand speist sich aus unserer Korrespondenz mit regionalen Datenschutzbeauftragen der Berliner Schulen und einer intensiven Literaturrecherche über die Stadtgrenzen hinaus. Sobald uns neue Erkenntisse vorliegen, aktualisieren wir diese Seite.

Inhaltsverzeichnis

1. Allgemeines
2. Was muss die Schule vor der Einführung von BOLLE beachten?
2.1. Verzeichnis der Verarbeitungstätigkeiten (VVT)
2.2. Verarbeitung der Daten durch einen Auftragsverarbeiter
2.3. Verarbeitung von Daten besonderer Kategorien
2.4. Informationspflichten der Schule
2.5. Rechte der betroffenen Personen
2.6. Einwilligung in die Verarbeitung personenbezogener Daten
2.7. Sensibilisierung der Beschäftigten

1. Allgemeines

Beim Thema Datenschutz ist innerhalb der EU die DSGVO von tragender Bedeutung. Die DSGVO schützt personenbezogene Daten natürlicher Personen. Sie unterscheidet dabei i.d.R. nicht in der Form der Speicherung (z.B. Papierform oder elektronische Datenspeicherung und -verarbeitung). Für die Benutzung von BOLLE werden mit Ausnahme von Metadaten keine zusätzlichen Daten erhoben, als jene, die Schulen ohnehin erfassen müssen, um z.B. in der Lage zu sein, Zeugnisse auszustellen. In BOLLE werden lediglich bereits schulintern sowieso zu erhebende Daten übersichtlicher organisiert. Das System speichert die oben erwähnten Metadaten (z.B. Loginzeiten, fehlgeschlagene Loginversuche). Diese dienen ausschließlich dazu, auffälliges Verhalten, wie z.B. einen Hack-Versuch zu verhindern und sind zu keinem Zeitpunkt vom Personal der Schule einzusehen.

Alle Schulen, die BOLLE als Schulorganisationssoftware an Ihrer Schule einsetzen möchten, schließen vorher einen Auftragsdatenverarbeitungsvertrag (AVV) mit uns ab. Dieser schließt eine Weitergabe jeglicher Daten an Dritte durch uns als Dienstleister kategorisch aus.

Neben der europaweit geltenden DSGVO gibt es für das Land Berlin das Schulgesetz und eine ganze Reihe von Verordnungen, die die Verarbeitung, Speicherung, Aufbewahrungsfristen und Archivierung von allen möglichen schulrelevanten Informationen und Dokumenten rechtlich regeln: GsVO, Sek-I-VO, VO-GO, SchulQualSiEvalVO und Schuldaten-VO.

2. Was muss die Schule vor der Einführung von BOLLE beachten?

Neben der üblichen Einbindung der schulischen Gremien undGremien, Beschäftigtenvertretung vor Einführung einer solch umfangreichen Organisatiossoftware, müssen Sie noch weitere datenschutzrechtliche Punkte in Kooperation mit Ihren regionalen Datenschutzbeauftragten beachten.

Ihre regionalen Datenschutzbeauftragten haben für die Berliner Schulen einen Leitfaden zum Umsetzen der DSGVO zur Verfügung gestellt. Hier finden Sie alle Datenschutzbriefe der regionalen Datenschutzbeauftragten. Der Leitfaden ist unter Datenschutzbrief Nummer 16 abrufbar. In diesem Leitfaden wird mitgeteilt, was alles zum Thema Datenschutz an Berliner Schulen zu beachten ist. Diese im Leitfaden aufgeführten Punkte (u.a. Verzeichnis der Verarbeitungstätigkeiten, Informationspflichten und - rechte) sind auch ohne Einsatz von BOLLE seit 2018 zu beachten. Wenn Sie BOLLE einführen möchten, müssen einige dieser Punkte noch ergänzt werden. Somit wird der Einsatz von BOLLE und Ihr mit uns abgeschlossener AVV transparent gemacht. Wir wollen Ihnen genau zeigen, welche zusätzlichen Angaben Sie vornehmen müssen:

2.1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Auch ohne BOLLE müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten (VVT) führen. Auf Seite 4 im oben verlinkten Leitfaden finden Sie entsprechende Hinweise. Hier finden Sie eine Vorlage zum VVT und ein Dokument mit Ausfüllhinweisen. In der Excel-Datei gibt es viele Reiter, die Sie ganz unten finden. Hier ein Bild zur Orientierungshilfe.

VTT Reiter.png

Bitte wählen Sie den Reiter Übersicht. Dort finden Sie In der grünen Spalte Daten und die Unterkategorie mögliche Empfänger. Wenn Sie weiter nach unten scrollen, sehen Sie hier auch Angaben wie Untis-Support oder Winschule-Support. Außerdem sehen Sie als weitere Unterkategorie Verarbeitung außerhalb der Schule (Vertrag zur Auftragsverarbeitung AV mit...).

VTT.png

Für die Nutzung von BOLLE, müssen Sie zunächst eine weitere Zeile und einen Reiter hinzufügen sowie die TOMs ergänzen. Auf dieser Seiten finden Sie eine Vorlage von uns. Suchen Sie nach der Datei: Vorlage zur VVT BOLLE. In der Datei sehen Sie unten die Reiter Übersicht, TOM und BOLLE.

BOLLE VTT Reiter.png

In unserer Datei bleiben Sie zunächst beim Reiter Übersicht. Sie finden dort eine Vorlage für eine mögliche Zeilenergänzung in Ihrer VVT. Bitte sehen Sie sich alle Eingaben an und verändern die Angaben nach Bedarf. 

Zum Schutz der personenbezogenen Daten müssen Sie für BOLLE auch die technischen und organisatorischen Maßnahmen (TOM) beschreiben. Sie brauchen hierfür Angaben von uns. Sie finden in unserer Datei zwar den Reiter TOM jedoch ohne weiteren Inhalt. Eine Formulierungsvorlage erhalten Sie von uns auf Anfrage, da diese sicherheitsrelevanten Angaben nicht für die Öffentlichkeit gedacht sind. Nach Durchsicht unserer Angaben fügen Sie diese Zeile den TOMs Ihrer eigenen VVT hinzu. 

Zuletzt müssen Sie den Reiter BOLLE ebenfalls noch zu Ihrer VVT hinzufügen. Neben den Reitern Ihrer eigenen VVT finden Sie ganz am Ende ein Plus-Symbol. Klicken Sie darauf. Damit generieren Sie einen weiteren Reiter. Wenn Sie auf den Reiter mit einem Rechtsklick klicken, können Sie Ihn in BOLLE umbenennen. Wir haben hier für Sie auch eine Formulierungshilfe zur Verfügung gestellt, die Sie noch ergänzen oder kürzen müssen. 

Abschließend gehen Sie zurück zu Ihrer eigenen VVT zum Reiter Übersicht

VTT Reiter.png

VTT.png

Gehen Sie nun alle Zeilen der VVT durch. An den Stellen, an denen Sie den Einsatz von BOLLE planen, machen Sie das in der Spalte Verarbeitung außerhalb der Schule den Bezug zu BOLLE transparent. Wenn Sie weiter unten in der von Ihnen hinzugefügten Zeile BOLLE bereits "Bolle Software UG (BOLLE)" geschrieben haben, reicht hier der jeweilige Vermerk: BOLLE. Außerdem müssen Sie ein d für digital beim Reiter analog/digital hinzufügen. Eventuell entfällt an einigen Stellen auch das a für analog.

VVT Bezeichnung Zweck digital.png

Wichtig: Die VVT ist nicht für die Öffentlichkeit gedacht. Sie muss jedoch auf Verlangen der für den Datenschutz zuständigen Aufsichtsbehörde vorgelegt werden können. Sie dürfen das Verzeichnis elektronisch führen.

2.2. Verarbeitung der Daten durch einen Auftragsverarbeiter

Im Leitfaden informieren die regionalen Datenschutzbeauftragten, dass Sie eine Vereinbarung zur Auftragsverarbeitung mit Anbietern abschließen müssen, wenn personenbezogene Daten durch diesen Anbieter verarbeitet werden. Wir legen Ihnen einen solchen Auftragsverarbeitungsvertrag unaufgefordert bei Vertragsunterzeichnung vor. Sie können BOLLE gar nicht ohne diesen Auftragsdatenverarbeitungsvertrag nutzen. 

2.3. Verarbeitung von Daten besonderer Kategorien

Das Wichtigste ist hierbei, dass Sie die sonderpädagogischen Förderbögen "als einzige Schülerunterlage[] nicht automatisiert" führen dürfen (Leitfaden, Version 2.0, Regional Datenschutzbeauftragte für Berliner Schulen, 2018: 9). BOLLE wird Ihnen daher ein Führen sonderpädagogischer Förderbögen auch nicht ermöglichen. Statthaft sind jedoch gesundheitliche Rücksichten, wie z.B. individuelle Zeitverlängerungen aufgrund einer LRS. Dieses Recht leitet sich explizit aus Art. 9, Buchst. e DSGVO ab: Die Verarbeitung von Daten besonderer Kategorien ist erlaubt, wenn "die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen" notwendig ist.

2.4. Informationspflichten der Schule

Ihre regionalen Datenschutzbeauftragten informieren Sie im Leitfaden auf S. 9 wie folgt:


Gemäß Artikel 12 bis 14 DSGVO muss die Schulleitung von sich aus den betroffenen Personen eine Reihe von Informationen geben. Über eine beabsichtigte Änderung des Verarbeitungszwecks personenbezogener Daten sind die betroffenen Personen vorab zu informieren (Artikel 13, Absatz 3 und Artikel 14 Absatz 4). Dies gilt auch, wenn die Zweckänderung in einer Rechtsvorschrift vorgesehen ist.

Ihnen wird an anderer Stelle eine Vorlage zur Verfügung gestellt, die die "betroffenen Personen" entsprechend dieser DSGVO-Vorschrift informiert. Sie finden diese Vorlage der regionalen Datenschutzbeauftragten hier. Dort finden Sie die Vorlage 5.2. Informationspflichten Sekundarschule (Januar 2019).

Bevor Sie BOLLE an der Schule einsetzen, müssen Sie darüber informieren. Die regionalen Datenschutzbeauftragten formulieren selbst, dass Informationsschreiben nach Artikel 12 DSGVO nicht auf Papier als Ausdruck an jede Familie ausgeteilt werden müssen. In der Vorlage heißt es auf Seite 1:

Die Informationen müssen den Betroffenen auf einfache Weise zur Verfügung gestellt werden. Sie können mit einem Hinweis bei der Anmeldung aus die Veröffentlichung aus Ihrer Homepage hinweisen ("Informationen über die Erhebung von personenbezogenen Daten gemäß Datenschutz-Grundverordnung finden Sie auf unserer Homepage unter www... .")

Sie müssen diese Vorlage jedoch ergänzen. Wir haben die Vorlage der Datenschutzbeauftragten vom Januar 2019 genommen und um einen Satz ergänzt. Sie finden unsere Vorlage in diesem Ordner. Laden Sie die Datei Vorlage zur Informationspflicht BOLLE herunter. Sie finden unseren Vorschlag zur Ergänzung rot markiert.

2.5. Rechte der betroffenen Personen

Betroffene Personen haben nach Artikel 15 DSGVO ein Recht aus Auskunft, Berichtigung, Löschung und Widerspruch. In BOLLE kann die Schulleitung das Programmrecht Datenschutzbeauftragter vergeben. Wir haben ein Modul eingeführt, das den Datenschutzbeauftragten bei der Erfüllung möglicher Rechtsersuchen Betroffener unterstützt. Eine Beschreibung finden Sie hierzu in diesem Buch auf der Seite zu Datenschutzbeauftragte an Ihrer Schule.

2.6. Einwilligung in die Verarbeitung personenbezogener Daten

Solange Sie nur Daten verarbeiten, die Sie ohnehin als Schule auf Grundlage des Schulgesetzes und den nachgeordneten Rechtsverordnungen erheben würden, benötigen Sie keine Einwilligung der Betroffenen. Wenn es für die Datenverarbeitung jedoch keine gesetzliche Grundlage gibt, müssen Sie sich eine Einwilligung holen. Dabei ist zwingend darauf zu achten, dass der Betroffene sich nicht verpflichtet fühlt einzuwilligen oder ihm keine konkret benennbaren Nachteile aus einem Einwilligungsverzicht entstehen.

Auf BOLLE bezogen, bedeutet das, dass sowohl Schüler:innen als auch Erziehungsberechtigte nicht dazu gezwungen werden dürfen, BOLLE selbst zu benutzen oder gar dort einen Account für sich anzulegen. Sie haben auch das Recht, ihre Einwilligung zu einem späteren Zeitpunkt zu entziehen, was eine Löschung der Daten dieser Person nach sich zöge. 

Achtung: Hierbei geht es nicht um die Schuldaten, die die Schulen eh gesetzlich verpflichtend erheben muss. Hier ein paar Praxisbeispiele:

Beispiel Aktion
Eltern wollen für sich selbst keinen Account mehr auf BOLLE haben. Sie müssen den Account löschen. Durch Accountlöschung werden auch etwaige Metadaten gelöscht (z.B. wann sich der Account eingeloggt hat, missglückte Anmeldeversuche bei falscher Passworteingabe)
Eltern wollen, dass Sie die Adressdaten löschen. Die Anschrift der Erziehungsberechtigten sind Bestandteil des gesetzlich vorgeschriebenen Schülerbogens. Sie dürfen dieses Datum nicht vor der Löschfrist lt. SchuldatenV löschen. Die Eltern können die Daten aber natürlich jederzeit berichtigen. 
Eltern wollen, dass ihr Kind keinen Zugang zu BOLLE erhält. Sie müssen dem Wunsch entsprechen und dürfen das Kind nicht zwingen, einen Account anzulegen. Dem Kind darf daraus kein konkret benennbarer Nachteil erwachsen (siehe nächstes Beispiel).
Eine volljährige Schülerin möchte keinen BOLLE-Account haben, soll nun aber eine 5. PK in BOLLE eingeben. Sie weigert sich. Die Schülerin hat das Recht, die Eingabe auf BOLLE zu verweigern. Der Zweck, die personenbezogenen Daten Name und Vorname für die Accounterstellung zu einer Schulverwaltungssoftware zu nutzen, ist gesetzlich nicht beschrieben. Die Schülerin muss dennoch die Angaben zur 5. PK machen. Sie müssen der Schülerin die Gelegenheit geben, die erforderlichen Daten auf andere Weise zur Verfügung zu stellen (z.B. mit einem Vordruck). 
Wichtig dabei ist, dass zwar die Schülerin das Recht hat, sich nicht 'irgendwo' einloggen zu müssen, Sie aber auch das Recht haben, die gesetzlich notwendigen Daten der Schülerin in dieses System zu übertragen und dort weiter zu verarbeiten. 
In diesem konkreten Beispiel, kann die Oberstufenkoordination die Daten in BOLLE für die Schülerin eintragen.
Eltern wollen nicht, dass Leistungsdaten des Kindes in BOLLE verarbeitet werden. Lehrkräfte erheben diese Daten auf Grundlage des Schulgesetzes. Eltern und Schüler:innen haben ein Recht auf Auskunft, aber kein Recht, Ihnen vorzugeben, auf welche Weise Sie diese Daten zu verarbeiten haben.
2.7. Sensibilisierung der Beschäftigten

Im Leitfaden finden Sie ein paar Angaben der regionalen Datenschutzbeauftragten zu dem Punkt, dass Sie Ihre Kolleg:innen regelmäßig auf die Grundsätze der rechtmäßigen Verarbeitung personenbezogener Daten hinweisen sollen. Dies gilt insbesondere auch bei der Nutzung von BOLLE. So sollten Sie regelmäßig darauf hinweisen, wie die Kolleg:innen BOLLE auf ihren privaten Geräten verwenden und welche Sicherheitsvorschriften dabei beachtet werden müssen. 

Auch die Schüler:innen sollten regelmäßig über das Geheimhalten von Passwörtern und den sicheren Umgang mit eigenen Accounts informiert werden.

Haben Sie als Schulleitung Ihren Lehrkräften die Nutzung privater Datenverarbeitungsgeräte zur Verarbeitung personenbezogener Daten genehmigt? Sie werden vom Gesetzgeber dazu aufgerufen, eine Zustimmung zu erteilen. Sie finden hierzu eine Vorlage auf dieser Seite unter 2. Antrag zur Verarbeitung personenbezogener Daten auf privaten Geräten (September 2017)

 

 

 

 

 

nach oben