wir nutzen bei uns an der Schule seit Jahren auch online-Dienste, die z.T. selbst gehostet sind (z.B. Nextcloud, Moodle) aber auch externe Dienste (z.B. fobizz)
Hier wurde natürlich jeder Dienst zusammen mit dem schulischen Datenschutzbeauftragten angeschaut, AVV abgeschlossen, Datenschutzfolgeabschätzung,…
Jetzt hat sich der Datenschutzbeauftragte der Stadt (=Schulträger) eingeschaltet, und will uns die Nutzung der Dienste (hier jetzt insbesondere fobizz) vorerst untersagen, da der Schulträger dafür verantwortlich sei und der DSB der Stadt deshalb alle online Dienste bewerten und freigeben müsse und wir hätten das ja nicht mit ihm abgestimmt…
Unsere Argumentation war, dass wir fobizz in pädagogischem Rahmen auch zusammen mit Schülern einsetzen und deshalb die Entscheidungsgewalt - und damit auch die datenschutzrechtliche Beurteilung - bei uns an der Schule liegt. So war zumindest auch mein Kenntnisstand. Zudem hat doch ein DSB laut DSGVO lediglich beratende Funktion, die letzte Entscheidung liegt doch beim Schulleiter, oder irre ich mich da?
Dass der Schulträger für Infrastruktur und deren Verwaltung zuständig ist und hier natürlich der städtische DSB für die Beratung zuständig ist, ist ja klar. Aber für die pädagogischen Dienste? Man könnte das doch auch noch weiter treiben: welche Apps nutzen wir auf den Schüler-/Lehrer-iPads, welche Software und online-Dienste nutzen wir im Informatik-Unterricht,…
Kann mir jemand denn (evtl. sogar mit Quelle aus Schulrecht/…) sagen: darf uns der städtische DSB den schulischen Einsatz bestimmter Dienste untersagen obwohl wir an der Schule bereits den Datenschutz,… geprüft haben? Oder will sich der DSB der Stadt hier nur wichtiger machen als er für uns ist?
(Also bitte nicht falsch verstehen, prinzipiell finden wir es ja gut, wenn vielleicht auch noch jemand externes darauf schaut und und berät. Aber so pauschal erst mal alles zu verbieten, da läuft er bei uns etwas auf Barrikaden…)
der Datenschutzbeauftragte der Schule sollte nicht nur fortgebildet sein, sondern er sollte auch Ansprechpartner und/oder ein Netzwerk von Leuten haben, an die er sich wenden kann: das sollte er nutzen
Schulleitungen können, soweit ich weiß, sich beim KM rechtlich beraten lassen. Ob das auch für Datenschutz gilt, weiß ich nicht
Und fobizz: da hat der Beauftragte für den Datenschutz des Landes wohl letztes Jahr etwas dazu gesagt, was für mich nach “er sieht keine Möglichkeit für Schulen in BW das Datenschutzkonform ein zu setzen”. Daher kommt wahrscheinlich der Wunsch des Städtischen DSB, der wohl von dieser Aussage weiß.
danke für deine Antwort. Bei deinen beiden Punkten stimme ich dir zu.
Speziell zu fobizz: da ist genau das Gegenteil der Fall: der LfDI hat 2023 Punkte genannt, unter welchen Bedinungen KI eingesetzt werden darf und diese Bedingungen erfüllt fobizz.
Vielleicht ist das von mir auch falsch rüber gekommen: Ich wollte keine datenschutzrechtliche Einschätzung zu fobizz oder sonst einem speziellen Dienst! Mir ging es lediglich darum: wir haben alle Vorgaben seitens der Schule geprüft und erfüllt, und der DSB der Stadt sagt jetzt (nach mehreren Jahren), dass wir die Dienste nicht mehr nutzen dürfen.
Die Frage war, ob der städtische DSB so eine Entscheidung überhaupt durchsetzen darf…
Die Verantwortung über den Datenschutz an der Schule trägt der Dienstellenleiter, also der Schulleiter, und das für alle personenbezogene Daten die an der Dienststelle anfallen.
An einer Dienststelle gibt es dann einen behördlichen Datenschutzbeauftragter, dessen Aufgabe es ist, den Schulleiter darauf hinzuweisen, welche Maßnahmen getroffen werden müssen, dass die Daten an der Behörde korrekt verarbeitet werden. Dies umfasst u.a. auch die Führung des Verzeichnisses von Verarbeitungstätigkeiten, AVV Verträge mit Dritten, wenn Daten ausserhalb der Schule verarbeitet werden usw.
Von daher… ist es nicht die Aufgabe des Datenschutzbeauftragten der Stadt sich um diese Dinge zu kümmern. Sonst kann er dann auch anfangen das Schulpersonal in Sicherheitsfragen zu schulen… Da wird er sich sicher drum reißen. Jedoch hindert ihn nichts daran, seine Einschätzungen dem Schulleiter als Privatperson mitzuteilen. Ansonsten gehen ihn die Daten der Schule aber gar nichts an, wenn nicht seine eigenen Daten davon betroffen sind. Natürlich kann er aber auch die Landesbehörden auf Missstände hinweisen und die würden sich ja dann an den Schulleiter wenden, wenn da was im Argen liegen würde…
Das Problem ist natürlich, trifft man als Schulleiter eine Entscheidung, die datenschutzrechtlich schwierig ist, wenn man informiert wurde., dass es datenschutzrechtlich schwierig ist…? In dem Sinne leigt es auch am LFDI wie scharf die Linie da gefahren wird (siehe MS365 usw)
Es gibt aber noch die Datenschutzbeauftragten für die Schulen und ZfsL der Bezirksregierungen (hier bei mir in NRW). Die sind nicht zu verwechseln mit den Datenschutzbeauftragten der Städte.
Ich würde mal behaupten, dass meine Schulleitung das nicht auf die „eigene Kappe“ nehmen wollen würde, wenn die Datenschutzbeauftragten der BezReg. sie auf Missstände hinweisen würden.
Bei uns war das damals bezüglich der Einführung und Nutzung von M$ Office 365 und Teams während der Pandemie zum Beispiel relevant: Ich als IT-Koordinator war strikt dagegen, die Datenschutzbeauftragte der BezReg. sah das auf Anfrage (meinerseits) auch sehr kritisch und hat die „Bedingungen“ genannt, der temporäre Schulleiter damals hat es dann aber einfach so „durchgeboxt“.
Alle Schulen und alle Zentren für schulpraktische Lehrerausbildung (ZfsL) benötigen eine Beauftragte bzw. einen Beauftragten für den Datenschutz, die bzw. der von der Bezirksregierung benannt wird. Die behördlich bestellten Datenschutzbeauftragten (bDSB) beraten Schulleitungen und Lehrkräfte in Datenschutzfragen und überwachen die Einhaltung von Datenschutzvorschriften an den Schulen. Sie geben Auskünfte über die Rechte von Schülerinnen und Schülern, Erziehungsberechtigten sowie Lehrkräften und sind die Kontaktperson für die datenschutzrechtliche Aufsichtsbehörde.
Es geht unserem städtischen DSB auch nicht darum, dass die Dienste nicht datenschutzkonform wären, sondern dass er in den Entscheidungsprozess mit eingebunden wurde…
Das sehe ich auch so, dass der städtische DSB da nichts untersagen darf. Habt Ihr denn eine ähnliche Struktur wie in NRW? Da würde ich doch den behördlich bestellten DSB einschalten, damit der den städtischen DSB mal in seine Schranken weist
Wir haben einen bestellten DSB direkt an der Schule. Falls eine Schule in BW klein ist und keinen eigenen DSB hat, gibt es an den Schulämtern/RPs entsprechende Personen.
Das wäre auch evtl. der nächste Schritt, dass wir da mal nachfragen, weil so tief kennt sich unser DSB halt leider auch nicht aus.
Ich bin natürlich kein Jurist, aber ich bin mir ziemlich sicher, dass städtische Angestellten mir gegenüber nicht weisungsbefugt sind. Mein Dienstherr ist das Land, sprich Anweisungen nehme ich wenn überhaupt von meiner Schulleitung oder dem RP entgegen. Von daher glaube ich nicht, dass der gute Mann Euch irgendwas untersagen kann (wenn es nicht gerade um das Gebäude geht, aber da ist de DSB ja wohl nicht für zuständig…)
Dreht doch mal den Spieß um! Fordert vom Schulträger datenschutzkonforme Geräte und Software! Dann kann er sein Windows und das proprietäre BIOS abholen. Dann gibt es endlich Debian auf Geräten mit Coreboot. Dies erwarten dann die Bürger auch von der Verwaltung. Plötzlich hätten wir Geld in den öffentlichen Kassen über und eine digitale Souveränität erreicht. Sanktionen und Zölle würden ins Leere laufen…
