Schulmanager Online Hilfe - Häufige Fragen zum Datenschutz

Als Plattformanbieter erreichen uns regelmäßig datenschutzrechtliche Fragen zu Schulmanager Online. Rechtsberatung können wir grundsätzlich nicht erteilen, allerdings haben wir zusammen mit unserer Datenschutzbeauftragten Antworten auf die häufigsten Fragen erarbeitet. Bitte beachten Sie, dass es sich um allgemeine Informationen handelt, die eine individuelle Beratung durch Ihre:n Datenschutzbeauftragte:n nicht ersetzen. Wir übernehmen für die Informationen keine Haftung.

Welche Voraussetzungen sind nötig, um eine Plattform wie Schulmanager Online datenschutzkonform zu betreiben?

Nach der DSGVO sind Sie als Schule die verantwortliche Stelle, wenn Sie eine Plattform wie Schulmanager Online betreiben. Wir (die Schulmanager Online GmbH) sind Auftragsverarbeiter. Das bedeutet, dass wir die Daten ausschließlich auf Weisung der Schule verarbeiten.

Die Schule als verantwortliche Stelle trägt weiterhin die Verantwortung für die vertrauliche und konforme Datenverarbeitung und muss im Wesentlichen folgende Aspekte beachten, um eine Plattform wie Schulmanager Online zu betreiben:

1. Rechtsgrundlage

In einer Plattform wie Schulmanager Online werden verschiedene Arten von Daten verarbeitet.

Die Schule benötigt für alle verarbeiteten Daten eine Rechtsgrundlage. Dabei geht es nicht um eine Rechtsgrundlage dafür, diese Daten in Schulmanager Online zu verarbeiten, sondern eine Rechtsgrundlage dafür, diese Daten allgemein wie im Schulmanager Online vorgesehen zu verarbeiten. Eine solche Rechtsgrundlage ist beispielsweise auch für die Speicherung von Daten in Ihrer Schulverwaltungssoftware notwendig. Prüfen Sie immer genau, anhand welcher Rechtsgrundlagen welche Daten verarbeitet werden können. Für Daten, die Sie bereits in Ihrer Schulverwaltungssoftware verarbeiten, können Sie prüfen, ob die Rechtsgrundlage, die für diese Verarbeitung gilt, auch für den Schulmanager gelten kann.

Eine Rechtsgrundlage kann z. B. ein Gesetz, eine Verordnung oder ein Erlass sein, in dem die Verarbeitung der Daten erlaubt oder bzw. vorgeschrieben wird – dies ist häufig der Fall für die Daten, die in der Schulverwaltungssoftware verarbeitet werden.

Eine weitere mögliche Rechtsgrundlage ist eine Einwilligung des Betroffenen. Wenn Sie Daten verarbeiten wollen, für die keine anderweitige Rechtsgrundlage vorliegt, ist es nötig, dass Sie eine Einwilligung einholen. Ein Beispiel hierfür kann sein, dass sich Eltern mit einem Passwort in Schulmanager Online anmelden und für die Verarbeitung des Passworts erst einmal keine Rechtsgrundlage in einem Schulgesetz o. ä. besteht. In diesem Fall kann die Schule von den Eltern die Einwilligung für die Speicherung des Passworts einholen. Dabei ist zu beachten, dass die Einwilligung freiwillig sein muss und von den Eltern widerrufen werden kann. Im Fall eines Widerrufs ist die Schule dazu verpflichtet, die Daten, die auf Basis einer Einwilligung verarbeitet werden, zu löschen – beispielsweise indem der Account gelöscht wird.

Ein solcher Widerspruch ist nicht möglich bei Daten, die aufgrund einer Rechtsvorschrift (z. B. Schulgesetz) verarbeitet werden. Wenn das für Sie geltende Schulgesetz also beispielsweise vorsieht, dass die Schule Krankmeldungen von Schülern verwaltet, können Eltern dieser Verarbeitung nicht widersprechen – unabhängig davon, ob diese auf Papier, in einer Excel-Datei oder mit einem Portal wie Schulmanager Online stattfindet.

2. Vertrag zur Auftragsverarbeitung

Neben der Rechtsgrundlage ist beim Einsatz von Schulmanager Online ein Vertrag über die Auftragsverarbeitung mit uns notwendig. Dies schreibt Art. 28 DSGVO vor. Ein solcher Vertrag regelt, wie wir die personenbezogenen Daten in Ihrem Auftrag, also für Sie, in unserer Anwendung verarbeiten dürfen. Da Sie weiterhin die Verantwortung tragen, aber hier die Verarbeitung der Daten auf uns übertragen, sollen durch einen solchen Auftragsverarbeitungsvertrag gegenseitige Pflichten vereinbart werden, um die datenschutzrechtlichen Anforderungen an eine Datenverarbeitung ausreichend zu regeln. Solche Regelungen umfassen zum Beispiel den vertraulichen Umgang mit den Daten oder welche technischen und organisatorischen Maßnahmen ergriffen werden, um die Daten ausreichend zu schützen.

Nach Anmeldung als Administrator finden Sie unseren vorformulierten Auftragsverarbeitungsvertrag innerhalb des Verwaltungsassistenten. Dieser Vertrag deckt die gesetzlichen Anforderungen nach Art. 28 DSGVO bereits ab.

Benötigen wir eine Einverständniserklärung von den Eltern, um Schulmanager Online zu nutzen?

Diese Frage lässt sich nicht allgemein beantworten.

Grundsätzlich braucht die Schule als verantwortliche Stelle für jede Datenverarbeitung (nicht nur für die Nutzung des Schulmanagers) eine Rechtsgrundlage. Eine Einwilligung ist eine mögliche Rechtsgrundlage, es kann aber viele weitere Rechtsgrundlagen geben (siehe Art. 6 DSGVO).

Für die Verwaltung von Schülerstammdaten im Schulverwaltungsprogramm oder das Erfassen von fehlenden Schülern im Klassenbuch beispielsweise muss in der Regel keine Einwilligung eingeholt werden, da es Gesetze bzw. Verordnungen gibt, in denen entweder festgehalten ist, dass die Schulen genau diese Daten verarbeiten dürfen oder dass sie Aufgaben erfüllen müssen (z. B. Schulpflicht kontrollieren), zu deren Erfüllung es notwendig ist, diese Daten zu verarbeiten.

Wenn Sie also im Schulmanager die Schüler aus Ihrer Schulverwaltungssoftware importieren und dann im Schulmanager Prozesse abbilden, die eine Schule zur Erfüllung ihrer Aufgaben durchführen muss, z. B. die Verwaltung von Fehlzeiten oder Noten, ist hierfür in der Regel keine Einwilligung der Eltern erforderlich, da schon eine Rechtsgrundlage in Form eines Gesetzes oder einer Verordnung besteht.

Wenn sich dagegen Eltern im Schulmanager registrieren, werden in der Regel Daten verarbeitet, für die bisher keine Rechtsgrundlage besteht, beispielsweise das Login-Passwort. Weitere Informationen zum Umgang damit finden Sie im Abschnitt "Welche Voraussetzungen sind nötig, um eine Plattform wie Schulmanager Online datenschutzkonform zu betreiben?"

Zusammenfassend lässt sich sagen, dass für jede Verarbeitung eine Rechtsgrundlage nötig ist. Als Daumenregel kann man davon ausgehen, dass für alle Daten, die eine Schule rechtmäßig verarbeitet, egal ob in der Schulverwaltungssoftware, in einer Excel-Datei auf dem Sekretariatscomputer oder im Papier-Klassenbuch, eine solche Rechtsgrundlage bereits besteht. Wenn jedoch Daten verarbeitet werden sollen, für die noch keine andere Rechtsgrundlage besteht, ist es notwendig, eine Einwilligung einzuholen.

Werden die Daten verschlüsselt übertragen?

Ja, die Datenübertragung ist per TLS verschlüsselt.

Werden Daten Ende-zu-Ende verschlüsselt?

Nein, eine Ende-zu-Ende-Verschlüsselung bieten wir nicht an. In vielen Modulen wäre das aufgrund der Art der Anwendung, die auch eine Verarbeitung der Daten auf dem Server erfordert, technisch nicht umsetzbar.

Wie werden Löschfristen in Schulmanager Online umgesetzt?

Die Schule als verantwortliche Stelle für die Datenverarbeitung ist für die Umsetzung aller Löschfristen verantwortlich. Um die Schulen dabei zu unterstützen, bieten wir einen Löschassistenten an, mit dem die Daten von vergangenen Schuljahren mit wenigen Klicks gelöscht werden können. Den entsprechenden Button finden Sie als Administrator in der Verwaltung links unten. Achtung: der Button erscheint erst, sobald ein Schuljahr vorbei ist.

Bieten Sie den Abschluss eines Vertrags zur Auftragsverarbeitung an?

Ja, wir bieten den Abschluss eines Vertrags zur Auftragsverarbeitung an. Der Vertrag kann ausschließlich elektronisch abgeschlossen werden. Sie finden das entsprechende Formular nach dem Login als Administrator in der Verwaltung.

Können wir auch einen Vertrag zur Auftragsverarbeitung nach einem eigenen Muster, z. B. dem unseres Kultusministeriums, abschließen?

Nein, wir bieten ausschließlich den Abschluss eines Vertrags zur Auftragsverarbeitung nach unserem Muster an.

Können wir eine Zusatzvereinbarung zum kirchlichen Datenschutz abschließen?

Von katholischen bzw. evangelischen Schulen erhalten wir oft die Anfrage, eine Zusatzvereinbarung zum KDG (Gesetz über den Kirchlichen Datenschutz) bzw. dem DSG-EKD (EKD-Datenschutzgesetz) abzuschließen. Wir verweisen jedoch bereits unter § 8 unseres AV-Vertrags auf das KDG und das DSG-EKD. Daher sind solche Zusatzvereinbarungen aus unserer Sicht hinfällig. Da uns wichtig ist, mit allen Schulen die gleiche Vertragsgrundlage zu haben, bieten wir den Abschluss individueller Zusatzvereinbarungen nicht an.

Wie sind die Daten in Schulmanager Online gesichert?

Wir ergreifen verschiedene technische und organisatorische Maßnahmen, um die Daten in Schulmanager Online zu sichern. Diese Maßnahmen finden Sie als Anhang zu unserem Vertrag zur Auftragsverarbeitung (siehe oben).

Wo werden die Daten gespeichert?

Wir betreiben unsere Software ausschließlich auf Servern, die in Deutschland stehen. Die konkrete aktuelle Liste der Subunternehmer finden Sie als Anhang zu unserem Vertrag zur Auftragsverarbeitung (siehe oben).

Können die Mitarbeiter:innen von Schulmanager Online GmbH auf unsere Daten zugreifen?

Grundsätzlich können unsere Mitarbeiter:innen nicht auf die Daten, die Sie in Schulmanager Online eingeben, zugreifen.

Da wir die Software selbst betreiben, ist es nötig, dass ein kleiner Kreis von technischen Mitarbeiter:innen Zugriff auf die Serversysteme hat, auf denen die Software läuft. Hierüber wäre es theoretisch möglich, auf die Daten der Schulen zuzugreifen. Wir verpflichten uns jedoch im Vertrag zur Auftragsverarbeitung, dies nur auf explizite Weisung der Schule zu tun. Ein solcher Zugriff erfordert mehrere gezielte Schritte – unsere Mitarbeiter:innen werden also nicht in der täglichen Arbeit "über Ihre Daten stolpern". Um Missbrauch zu verhindern, schränken wir diesen Zugriff auf einen kleinen Kreis an Mitarbeiter:innen ein und verpflichten alle Mitarbeiter:innen parallel zur Unterschrift des Arbeitsvertrags auch, die Datenschutzbestimmungen einzuhalten.

Dürfen wir Schulmanager Online bzw. eine bestimmte Funktion davon (in unserem Bundesland) datenschutzrechtlich verwenden?

Diese Frage bekommen wir immer wieder, beispielsweise wenn es um das Notenmodul geht oder den Versand von Noten im Nachrichtenmodul.

Da hier immer die individuellen Gegebenheiten der Schule betrachtet werden müssen (z. B. Besonderheiten der Schule, schulart- und bundeslandspezifische Gesetze/Verordnungen, Erlasse, Dienstvorschriften, etc.) wäre eine Aussage hierzu nur mit individueller Rechtsberatung möglich. Diese können wir nicht erbringen. Daher wenden Sie sich mit solchen Fragen bitte an den für Ihre Schule zuständigen Datenschutzbeauftragten. Wenn dieser technische Fragen hat, kann er sich gerne an uns wenden.

Allgemein sind uns keine Fälle bekannt, in denen Schulmanager Online oder bestimmte Funktionen unserer Plattform aufgrund von Datenschutzbestimmungen nicht genutzt werden dürfen.

Ist Schulmanager Online bzw. eine bestimmte Funktion davon (in unserem Bundesland) zugelassen?

Diese Frage bekommen wir immer wieder, beispielsweise wenn es um das Notenmodul geht oder den Versand von Noten im Nachrichtenmodul.

Soweit uns bekannt ist, gibt es seitens der Bundesländer/Kultusministerien/Datenschutzbehörden grundsätzlich keine offiziellen Zulassungen für bestimmte Programme. Weder für andere Produkte, noch für den Schulmanager. Insofern erübrigt sich die Frage, ob der Schulmanager offiziell zugelassen ist.

Werden bei Nutzung der App Daten dauerhaft auf dem Gerät gespeichert?

Bei Nutzung unserer App unter iOS und Android werden ausschließlich Daten, die für den Login bzw. die Authentifizierung des eingeloggten Benutzers notwendig sind, dauerhaft auf dem Gerät gespeichert. Darüber hinaus werden Daten nur temporär auf dem Gerät vorgehalten, während die App geöffnet ist, jedoch nicht dauerhaft gespeichert.

Welche Arten von Daten werden im Rahmen der Nutzung von Schulmanager Online verarbeitet?

Welche Daten im Rahmen von Schulmanager Online verarbeitet werden, bestimmt die Schule dadurch, welche Daten sie importiert bzw. eingibt. Daher kann nur die Schule diese Frage beantworten, wir können keine allgemeine Antwort liefern.

Wenn Sie eine Antwort auf diese Frage suchen, überlegen Sie sich bitte, welche Daten Sie in den Schulmanager planen zu importieren (z. B. Namen, Stundenpläne, ...) oder einzugeben (z. B. Passwörter), sowie welche Daten bei der Nutzung der von Ihnen gewünschten Module anfallen (z. B. Schülerfehlzeiten im Modul "Fehlzeiten").