Schülerdaten über Mailadressen verschicken

25. Oktober 2018


Frage:

Hin und wieder ist es in unserem Schulalltag erforderlich, dass Daten, die meine Schüler betreffen, an Kollegen oder Eltern weitergegeben werden müssen. Kann ich diese Daten per E-Mail versenden? Ist das überhaupt datenschutzkonform?

Antwort:

Beim Versand von personenbezogenen Daten per E-Mail sind nach der DSGVO technische und organisatorische Anforderungen zu beachten.

So steht´s im Gesetz

So sind geeignete und angemessene Maßnahmen zu treffen, um die Sicherheit der Verarbeitung personenbezogener Daten und damit auch deren Vertraulichkeit sicherzustellen, z.B. durch eine Verschlüsselung.

Allerdings verlangt die DSGVO eine Verschlüsselungstechnik nur, wenn dies möglich und angemessen ist. Dabei sind der Stand der Technik und die Kosten der Implementierung zu berücksichtigen.

Dem gegenüber zu stellen ist

  • wie häufig und welche personenbezogenen Daten zu welchem Zweck übersandt werden,
  • die Wahrscheinlichkeit, das personenbezogene Daten beim Versand per E-Mail mitgelesen werden und
  • welche Folgen dies für Ihre Schüler haben kann.

Ein Datenschützer kommt bei Abwägung dieser Punkte zu einem anderen Ergebnis kommen wie Sie. Die Landesdatenschutzbehörden verlangen im Regelfall die Verschlüsselung. Nur in der Frage welche Verschlüsslungsart ausreichend ist wird unterschieden:

Daten mit hohem Schutzbedarf

Dies betrifft die nach der DSGVO besonders geschützte Kategorien personenbezogene Daten. Das sind z.B. rassische und ethnische Herkunft, politische Meinungen oder religiöse oder weltanschauliche Überzeugungen Ihrer Schüler und Schülerinnen. Aber auch bei der Übermittlung von Noten, Fehlverhalten oder ähnlichem, ist von einem hohen Schutzbedarf auszugehen.

Hier wird eine Ende-zu-Ende-Verschlüsselung verlangt. Da Metadaten einer E-Mail (Absender, Betreff) nicht durch Ende-zu-Ende-Verschlüsselung geschützt werden, ist sicherzustellen, dass sie neutral verfasst werden. Insbesondere ist der Betreff neutral zu wählen, beispielsweise „Neue Information“ statt „schulischer Entwicklungsstand Ihres Sohnes“.

Daten mit geringem Schutzbedarf

Wollen Sie nur eine aktuelle Adresse per E-Mail versenden oder das Geburtsdatum, dann ist ein von einem niedrigeren Schutzbedarf auszugehen. Als Mindeststandard wird eine Transportverschlüsselung gefordert.

Fazit
Eine umfassende Absicherung der E-Mail-Kommunikation erfordert nach Ansicht der Landesdatenschutzbehörden den Aufbau einer E-Mail-Infrastruktur in Ihrer Schule. Den technischen Standard dazu stellt eine Richtlinie des Bundesamts für Sicherheit in der Informationstechnologie zur Verfügung.

Alternativen dazu sind die Übermittlung der Daten per Telefon, per Post oder im persönlichen Gespräch. Diese Wege sind natürlich auch nicht sicher, da Telefongespräche genauso abgehört werden können wie Briefe von Unberechtigten gelesen werden könne. Das ist dann aber keine Verarbeitung von Daten und unterliegt nicht der DSGVO.


ANZEIGEN:
Diese Seite verwendet Cookies gemäß unserer Datenschutz-Bestimmungen.