Datenschutz

Datenschutz

Hinweise zu Angaben im Internetauftritt von Schulen

Sofern eine Schule einen Internetauftritt (Website / Homepage) hat, muss diese ver-schiedene Rechtsvorschriften beachten, aus denen sich u. a. Informationspflichten ergeben.
In dieser Handreichung werden die datenschutzrechtlich erforderlichen Informations-pflichten sowie die vorgeschriebenen Angaben zum Impressum erläutert.
Die Übernahme der in Anlage 1 bis 3 zu findenden Musterformulierungen wird empfohlen. Selbstverständlich sollen dabei sind nur die Textpassagen/Varianten übernommen werden, die den tatsächlichen Gegebenheiten an der jeweiligen Schule entsprechen.

1. Datenschutzrechtliche Aspekte

1.1 Daten des Datenschutzbeauftragten der Schule

Gemäß Art. 37 Abs. 7 EU-DSGVO muss die Schule die Kontaktdaten ihres Daten-schutzbeauftragten veröffentlichen. Dies soll in der Regel auf der Homepage der Schule geschehen. Dabei genügt es, eine E-Mail-Adresse (z. B. Datenschutzbeauf-tragter@xy-Schule.de) oder eine Telefonnummer (unter der jemand zu den üblichen Bürozeiten erreichbar ist) zu nennen.

1.2 Informationspflicht aufgrund der EU-DSGVO

Gemäß Art. 13 EU-DSGVO muss die Schule als Verantwortliche den betroffenen Personen, die die Homepage nutzen, zum Zeitpunkt der Erhebung Folgendes mitteilen:
- Namen und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
- Kontaktdaten des Datenschutzbeauftragten
- Verarbeitungszwecke sowie Rechtsgrundlage für die Verarbeitung
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und gegebenenfalls die Absicht der Schule, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission (im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 EU oder Art. 49 Abs. 1 Nr. 2 ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.) Hinweis: sofern die Homepage durch einen Dienstleister betrieben wird, zählt dieser auch als Emp-fänger und muss hier benannt werden.
- Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer
- Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
- Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, wenn die Verarbeitung auf der erteilten Einwilligung der betroffenen Person beruht, ohne dass dabei die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- Bestehen eines Beschwerderechts bei einer Datenschutz-Aufsichtsbehörde
Selbstverständlich muss die betroffene Person wissen, welche personenbezogenenDaten von ihr verarbeitet werden.

1.3 Umsetzung der Informationspflichten nach EU-DSGVO

Welche Informationen konkret bereitgestellt werden müssen, hängt vom (funktionalen) Umfang der Homepage ab. Auf Homepages können die verschiedensten Arten von Diensten angeboten werden. Im einfachsten Fall werden lediglich allgemeine Informationen über die Schule bereitgestellt. Es gibt aber auch die Möglichkeiten, über in Homepages eingebettete Kontaktformulare mit der Schule zu kommunizieren oder nach entsprechender Useranmeldung passgenaue Informationen (z. B. online-Stundenpläne) zu erhalten, bis hin zu Blogs. Daneben finden möglicherweise statistische Auswertungen über die Nutzung der Homepage statt. In all diesen Fällen werden in der Regel personenbezogene Daten der betroffenen Personen verarbeitet.
Die in der Anlage beigefügte Vorlage einer Datenschutzerklärung muss daher ggf. angepasst werden, entsprechend der konkret mit der jeweiligen Homepage durchgeführten Verarbeitung. Personenbezogene Daten werden auch dann erhoben, wenn z.B. eine Online-Registrierung verlangt bzw. ermöglicht wird, wenn sonstige Formulare online ausgefüllt werden können oder wenn mittels E-Mail mit der Schule kommuniziert werden kann. Personenbezogene Daten können aber auch ohne Kenntnis des Besuchers einer Website gesammelt werden, wenn z. B. Cookies oder Protokollierungen verwendet werden.
Sammeln Websites nur aggregierte Daten über ihre Besucher, z. B. für Statistiken über Seitenabrufe, oder nur anonymisierte Daten in Form von auf Domain-Ebene reduzierten IP-Adressen, stellt dies keine Verarbeitung personenbezogener Daten dar. Die Veröffentlichung von Online-Datenschutzerklärungen ist somit nicht generell nötig, wird jedoch empfohlen, weil damit evtl. vorhandene Bedenken und Befürchtungen der Besucher ausgeräumt werden können.
Spätestens zu dem Zeitpunkt, wenn der Nutzer zur Angabe persönlicher Daten aufgefordert wird (z. B. Ausfüllen eines Online-Formulars oder Beginn einer Kommunikation mittels E-Mail) oder wenn Dateien mit direktem oder indirektem Personenbezug von seinem Rechner abgerufen werden, die dort schon gespeichert vorliegen (etwa in den bereits erwähnten Cookies), muss der Diensteanbieter den Nutzer unterrichten. Die Unterrichtung muss vollständig und verständlich sein. Diese Unterrichtung bzw. der Hinweis auf die Unterrichtung ist so anzubringen, dass ein Nutzer sie üblicherweise zur Kenntnis nimmt, wenn er das entsprechende Angebot aufruft.
Die Online-Datenschutzerklärung sollte von jeder Seite des Internetangebotes aus erreichbar sein. Dies kann erreicht werden, in dem sie z. B. in Navigationsleisten oder in Fuß- oder Kopfzeilen jeder Seite durch einen Link über eine typische, aussagekräftige Schaltfläche (z.B. "Datenschutzerklärung“ oder „Online-Datenschutzerklärung") aufrufbar sind. Außerdem sollten die Datenschutzerklärung vor jeder Eingabe personenbezogener Daten, z. B. in Formularen, angeboten werdenoder zumindest aufgerufen werden können. Vor jedem zu setzenden dauerhaften Cookie sollte sie zur Kenntnisnahme systemseitig angeboten werden.

1.4 Einwilligungserklärung

Eine Einwilligung des Nutzers in die Erhebung und Verwendung seiner personenbezogenen Daten kann auch elektronisch erklärt werden, der Verantwortliche muss jedoch nachweisen können, dass die betroffene Person tatsächlich eingewilligt hat. Dabei ist zu beachten, dass
- der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
- die Einwilligung protokolliert wird,
- der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
- der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Die Protokollierung der Einwilligung soll sicherstellen, dass die Bewusstheit, Integrität und Authentizität der Einwilligung Gewähr leistet sind. Die Einwilligung muss auf der freien Entscheidung des Nutzers beruhen. So kann beispielsweise das Akzeptieren eines Cookies durch Drücken der OK-Taste nicht als Einwilligung in diesem Sinne verstanden werden. Einwilligungserklärungen sollten also, neben den oben genannten Informationen, dem Nutzer die Möglichkeit bieten, für den Fall seiner Einwilligung dies durch aktives Handeln, z.B. dem Ankreuzen durch Klicken von "Einverstanden" zu erklären, wobei die Default-Einstellung natürlich nicht "Einverstanden" sein darf.
Der Verzicht des Nutzers auf seine Unterrichtung, d.h. das Nicht-Lesen bzw. Nicht-Anklicken der Online-Datenschutzerklärung, gilt nicht als Einwilligung. Eine darauf folgende Datenerhebung wäre nicht zulässig. Zu protokollieren sind insbesondere der Zeitpunkt und der durch die Einwilligung geschaffene Umfang der personenbezogenen Daten, die der Diensteanbieter dadurch zu erheben oder zu verwenden berechtigt ist. Der Nutzer ist auch vor Erklärung seiner Einwilligung u. a. auf sein Recht des jederzeitigen Widerrufs mit Wirkung für die Zukunft hinzuweisen (Art. 7 EU-DSGVO). Ferner auf seine Rechte auf Auskunft, auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, sowie seines Widerspruchsrechts sowie seines Rechts auf Datenübertragbarkeit (Art. 15 bis Art. 21 EU-DSGVO):

2. Impressum

2.1. Allgemeine Impressumspflicht nach Telemediengesetz

Aufgrund der nicht abschließend geklärten Rechtslage, ob „Behörden“ überhaupt nach Telemediengesetz (TMG) impressumspflichtig sind und zur Vermeidung von etwaigen Rechtsstreiten wird empfohlen, ein Impressum nach § 5 TMG mit folgenden Angaben in die Homepage einzubinden: - Name und Anschrift des Diensteanbieters, bei juristischen Personen zusätzlich
die Rechtsform (§ 5 Ziff. 1 TMG),Dies ist bei öffentlichen Schulen das Land Baden-Württemberg, da bei öffentlichen Schulen Landesbedienstete die Inhalte gestalten und redaktionell verantworten.
- Die vertretungsberechtigte Person (§ 5 Ziff. 1 TMG).Dies ist bei Schulen der Schulleiter/die Schulleiterin.
- Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit dem Diensteanbieter ermöglichen, einschließlich der Adresse der elektronischen Post (§ 5 Ziff. 2 TMG),
- Soweit vorhanden, die Umsatzsteueridentifikationsnummer (§ 5 Ziff. 6 TMG).

2.2. Verantwortliche Person für journalistisch-radaktionelle Inhalte
Anbieter journalistisch-redaktionell gestalteter Angebote müssen darüber hinaus einen Verantwortlichen mit Namen und Anschrift benennen (§ 55 RStV). Kennzeichnend für journalistische Angebote sind z. B. die Ausrichtung an Fakten, ein gewisses Maß an Aktualität und eine gewisse Selektivität und Strukturierung, die Ergebnis eines Auswahlprozesses ist. Erfüllt nur ein Teil (etwa eine Rubrik der Website) die Anforderungen des § 55 RStV, gilt die erweiterte Impressumspflicht für das gesamte Telemedium. Es ist also ratsam, bei allen Internetauftritten von Schulen eine verantwortliche Person im Sinne des Presserechts zu benennen.

Datenschutzerklärung

1. Verantwortlicher und Datenschutzbeauftragter

1.1 Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (EU-DSGVO) ist [Schulamtsdirektorin Britta Lorenz, Rollwagstrasse 14, 74072 Heilbronn, britta.lorenz@ssa-hn.kv.bwl.de] (siehe unser Impressum).
1.2 Unseren Datenschutzbeauftragten erreichen Sie unter [britta.lorenz@ssa-hn.kv.bwl.de] oder unserer Postadresse mit dem Zusatz „der Datenschutzbeauftragte“.

2. Information über die Erhebung personenbezogener Daten, Speicherdauer

2.1 Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.
2.2 Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.
2.3 Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für werbliche Zwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren. Dabei nennen wir auch die festgelegten Kriterien der Speicherdauer.

3. Ihre Rechte

3.1 Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
– Recht auf Auskunft,
– Recht auf Berichtigung oder Löschung,
– Recht auf Einschränkung der Verarbeitung,
– Recht auf Widerspruch gegen die Verarbeitung,
– Recht auf Datenübertragbarkeit.

3.2 Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die Datenschutzaufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Königstrasse 10a, 70173 Stuttgart.

3.4 Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie das Recht, über die geeigneten Garantien gemäß Art. 46 EU-DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

4. Erhebung und Zweck personenbezogener Daten bei Besuch unserer Website

4.1 Bei der bloß informatorischen Nutzung der Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f EU-DSGVO):
- IP-Adresse
- Datum und Uhrzeit der Anfrage
- Zeitzonendifferenz zur Greenwich Mean Time (GMT)
- Inhalt der Anforderung (konkrete Seite)
- Zugriffsstatus/HTTP-Statuscode
- jeweils übertragene Datenmenge
- Website, von der die Anforderung kommt
- Browser
- Betriebssystem und dessen Oberfläche
- Sprache und Version der Browsersoftware.

4.2 Zusätzlich zu den zuvor genannten Daten werden bei Ihrer Nutzung unserer Website Cookies auf Ihrem Rechner gespeichert. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt (hier durch uns), bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen.

4.3 Einsatz von Cookies 1:
a) Diese Website nutzt folgende Arten von Cookies, deren Umfang und Funktionsweise im Folgenden erläutert werden:
– Transiente Cookies (dazu b)
– Persistente Cookies (dazu c).
b) Transiente Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihres Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Website zurückkehren. Die Session-Cookies werden gelöscht, wenn Sie sich ausloggen oder den Browser schließen.
c) Persistente Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann. Sie können die Cookies in den Sicherheitseinstellungen Ihres Browsers jederzeit löschen.
d) Sie können Ihre Browser-Einstellung entsprechend Ihren Wünschen konfigurieren und z. B. die Annahme von Third-Party-Cookies oder allen Cookies ablehnen. Wir weisen Sie darauf hin, dass Sie eventuell nicht alle Funktionen dieser Website nutzen können.
e) [Wir setzen Cookies ein, um Sie für Folgebesuche identifizieren zu können, falls Sie über einen Account bei uns verfügen. Andernfalls müssten Sie sich für jeden Besuch erneut einloggen.]
f) [Die genutzten Flash-Cookies werden nicht durch Ihren Browser erfasst, sondern durch Ihr Flash-Plug-in. Weiterhin nutzen wir HTML5 storage objects, die auf Ihrem Endgerät abgelegt werden. Diese Objekte speichern die erforderlichen Daten unabhängig von Ihrem verwendeten Browser und haben kein automatisches Ablaufdatum. Wenn Sie keine Verarbeitung der Flash-Cookies wünschen, müssen Sie ein entsprechendes Add-On installieren, z. B. „Better Privacy“ für Mozilla Firefox (https://addons.mozilla.org/de/firefox/addon/betterprivacy/) oder das Adobe-Flash-Killer-Cookie für Google Chrome. Die Nutzung von HTML5 storage objects können Sie verhindern, indem Sie in Ihrem Browser den privaten Modus einsetzen. Zudem empfehlen wir,regelmäßig Ihre Cookies und den Browser-Verlauf manuell zu löschen.]