Datenschutz bei Internetseiten von Schulen

Ich wage eine kühne Behauptung: Annähernd jeder digitale Außenauftritt einer Schule ist abmahnfähig. Sei es wegen externer Werkzeuge, Verarbeitung durch Kontaktformulare, fehlender Information nach Art. 13 DSGVO (Informationspflichten), … überall kann sich noch ein Fehler eingeschlichen haben oder unerkannt geblieben sein.

Es reicht nicht aus, die uniforme Datenschutzerklärung der Schulträger oder des schulischen Datenschutzbeauftragten zu nutzen und sich in Sicherheit zu wiegen. Denn die Internetseite ist die Visitenkarte Ihrer Schule und es soll nicht das Eldorado von Abmahnanwälten oder Elterninitiativen werden. Deswegen sollte der Datenschutz für den digitalen Außenauftritt Ihrer Schule auch mit der höchsten Priorität angegangen werden. Sie glauben, Ihr schulischer Datenschutzbeauftragter hat das schon erledigt? Na, dann müssen Sie ja nicht weiterlesen…

Fangen wir mit externen Werkzeugen an, denn an dieser Stelle kam erst im Mai 2019 nochmal Bewegung rein. Viele Internetseiten nutzen externe Werkzeuge, um die ihren Außenauftritt ansprechender zu gestalten oder den Zugriff darauf zu messen. Spätestens seitdem die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ veröffentlicht hat, sollten sich Leiter von Schulen mit staatlicher oder privater Trägerschaft Gedanken über die Nutzung von externen Werkzeugen auf ihre Internetseite gemacht haben.

Dazu müssen Sie erstmal wissen, welche externen Werkzeuge die Schülerinnen und Schüler der Computer AG der schulischen Internetseite spendiert haben. Entweder Sie durchsuchen den Quellcode Sie nutzen die Seite https://builtwith.com/. Dort geben Sie neben dem Button „Lookup“ die Domain Ihrer Internetseite an (z. B. waldschule-musterstadt.de). Im Ergebnis sollten die Einträge zu den externen Werkzeugen

  • Google (Analytics | Conversion Tracking | Tag Manager)
  • Facebook (Sharer | Pixel | Domain Insights)
  • Yahoo Pixel
  • Optimizely
  • Infoline

dort nur erscheinen, wenn Sie vorab eine explizite Einwilligung von den Besuchern Ihrer Internetseite zur Nutzung dieser externen Werkzeuge eingeholt haben. Die Einbindung eines Cookie-Banners (mit OK-Button) ist übrigens keine explizite Einwilligung.

Falls die Einträge

  • Google Calendar
  • Google Font API
  • Google Maps
  • FontsAwesome
  • |reCAPTCHA
  • YouTube
  • Twitter
  • v. m.

dort erscheinen, empfehle ich Ihnen einen Blick in die Datenschutzerklärung der schulischen Internetseite. Sind die externen Werkzeuge dort aufgelistet und wird über deren Nutzung informiert? Wird ein „berechtigtes Interesse“ als Rechtsgrundlage aufgeführt?

Falls nein, sprechen Sie bitte ihren schulischen Datenschutzbeauftragten an – die Kontaktdaten sollten Sie ebenfalls in der Datenschutzerklärung finden. Ihr Datenschutzbeauftragter kennt Möglichkeiten, die rechtlichen Risiken zu reduzieren oder ganz abzustellen, z. B. durch eine interne Einbindung von Schriftarten auf dem eigenen Server, eine klare Beschreibung der externen Werkzeugen nach Art. 13 DSGVO oder die tatsächliche Einholung von Einwilligungen nach konform zu Art. 7 DSGVO.

Kommen wir zu Kontaktformularen: Viele schulische Internetseiten nutzen diese als Kontaktweg nach außen. Zur Verarbeitung von personenbezogenen Daten mit Hilfe von Kontaktformularen benötigen Sie eine Rechtsgrundlage. Häufig kommt bei einfachen Kontaktformularen ein berechtigtes Interesse oder eine Einwilligung dafür in Frage, wie im folgenden Fall bei einem Sonderpädagogischen Förderzentrum:

Bei diesem Formular sind mehrere Punkte vorhanden, die verbesserungsfähig sind:

  1. Das Feld „Adresse“ ist zur Beantwortung der Anfrage nicht erforderlich. Es sollte nicht als Pflichtfeld erscheinen ganz wegfallen.
  2. Die Zwecke der Verarbeitung passen nicht zu dem Zweck des Formulars: „Abrechnung“ ist bei einem einfachen Kontaktformular einer Schule eher ungewöhnlich.
  3. Die „Datenschutzerklärung“ erscheint nicht, nachdem der Verweis betätigt wird.

Häufig noch anzutreffen ist auch der Fall eines Kontaktformulars ohne SSL-Verschlüsselung, also die Übertragung von personenbezogenen Daten im Klartext über das Internet. Diese Pratik ist bereits mehrfach abgemahnt worden.

Umso erstaunlicher ist es, dass viele Schulen, die an dem Landesbildungsserver Baden-Württemberg angeschlossen sind, ebenfalls noch nicht auf SSL umgestellt wurden.

Nun verlasse ich wieder die Ecke des „investigativen Journalismus“ und wende mich praktischen Tipps zu.

Die Einbindung eines SSL-Zertifikats ist eine rechtliche Voraussetzung (Art. 32 Abs. 1 DSGVO: Maßnahme nach Stand der Technik), um ein Kontaktformular weiterhin auf Ihrer Internetseite betreiben zu dürfen. SSL-Zertifikate erhalten Sie für kleines Geld (ca. 50 Euro pro Jahr) von ihrem Internet-Provider. Es geht auch billiger bzw. kostenlos über kostenlose Zertifizierungsinstanzen – da bleibt nur die Frage wer Ihnen das Zertifikat einbindet.

Nachdem nun die Formular-Daten vom Nutzer zum Server sicher übertragen sind, kommt der nächste Punkt: Wie kommen die Formulardaten von dem Server zu Ihnen, z. B. in den Posteingang des Schulsekretariats? Per E-Mail? Unverschlüsselt? Dazu passt folgendes Zitat des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

„Die Versendung von unverschlüsselten E-Mails, die personenbezogene Daten enthalten, insbesondere für Angehörige von Berufsgruppen, die auch einer strafrechtlich sanktionierten Schweigepflicht nach § 203 StGB (Anmerkung: Amtsträger) unterliegen, ist (…) nicht nur bedenklich, sondern stellt auch ein ungeeignetes Kommunikationsmittel dar.“

Beachten Sie also bitte, dass die Formulardaten auch vom Server zu Ihnen verschlüsselt übertragen werden. Auch hier ist die richtige Lösung individuell zu sehen, da die Lösung auf Ihre schulischen Prozesse und das implementierte Formular passen müssen.

Zusammenfassend sollten Sie bei Kontaktformularen folgende „Sollbruchstellen“ vermeiden:

  • Nutzen Sie SSL für Ihre gesamte schulische Internetseite und alle angeschlossenen Angebote wie interne Bereiche, Lernplattformen, Servicebereiche etc.
  • Achten Sie auf eine Ende-zu-Ende-Verschlüsselung, auch vom Server zum Posteingang des Schulsekretariats.
  • Erheben Sie nur die Daten in den Kontaktformularen, die Sie für den Zweck der Verarbeitung benötigen. Klassenbezeichnung, Adresse oder die Anrede sind meist nicht nötig.
  • Nutzen Sie die richtige Rechtsgrundlage der Verarbeitung und informieren Sie die Internetnutzer angemessen.
  • Für Newsletter gibt es ganz eigene Vorgaben (z. B. Double-Opt-In). Informieren Sie sich im Vorfeld darüber.

Kommen wir zu dem letzten Punkt, den Informationspflichten nach Art. 13 DSGVO.

Am Ende müssen Sie die oben genannten Punkte in einer Information nach Art. 13 DSGVO zusammenfassen und diese auf jeder einzelnen Seite Ihre Internetauftritts mit einem direkten Verweis bereitstellen. Veröffentlichen Sie die sogenannte Datenschutzerklärung auf einer separaten Seite und nutzen Sie für das Impressum eine eigene Seite. Die Datenschutzerklärung sollten Sie von Ihrem Datenschutzbeauftragten erstellen und freigeben lassen.

Darüber hinaus müssen Sie diese Informationspflichten auch in Bezug auf die von Ihnen genutzten Social-Media-Kanälen nachkommen, z. B. Facebook Fanpages, Twitter, Instragram etc. Hier sind sowohl Ergänzungen in Ihrer Datenschutzerklärung als auch bei den Social-Media-Kanälen selbst notwendig. Dies im Detail hier auszuführen, würde diesen Blogartikel sprengen. Darüber hinaus ändert sich hier die Rechtslage auch ständig, weswegen eine permanente Beschäftigung mit dem Thema unabdingbar ist, um rechtliche Risiken zu reduzieren.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen