Wie dem 29. Tätigkeitsbericht für das Jahr 2024 des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg ab S. 125 zu entnehmen, hat die Aufsichtsbehörde im Berichtsjahr stichprobenartig die Websites von 24 Schulen auf die Einhaltung datenschutzrechtlicher Vorschriften geprüft. In Orientierung an den FAQ zu Cookies und Tracking standen dabei sechs Aspekte im Fokus:
■ Einwilligungsbanner
■ Drittanbieter
■ Informationssicherheit
■ Datenschutzinformationen
■ Veröffentlichung von personenbezogenen Daten
Im Ergebnis kommt die Aufsichtsbehörde zu dem Schluss, „dass keine einzige der geprüften Schulen die Anforderungen vollumfänglich erfüllt hat.“ Im Detail fand man bei etwa der Hälfte der Schulen Einwilligungsbanner/ Cookie-Banner, die dann aber häufig nicht korrekt implementiert waren. Einige waren sogar überflüssig, da keine „einwilligungsbedürftige Datenverarbeitung stattfand.“ Die Aufsichtsbehörde vertritt die Auffassung, dass Schulen weder Cookie-Banner benötigen noch Daten an Dritte (Analyse Dienstleister, Social Media Anbieter) übermitteln sollten, zumal gerade die Einwilligung durch Schülerinnen und Schüler gegenüber der Schule rechtlich problematisch ist. Schulen sollten, so die Aufsichtsbehörde, grundsätzlich auf Einbindung von Drittanbietern, wie z.B. Google Maps, Google Fonts, YouTube und ähnlich verzichten, wenn sie nicht sicherstellen können, dass die Drittanbieter keine Daten zu eigenen Zwecken verarbeiten. Alternativ sollte man stattdessen auf datenschutzfreundliche Anbieter setzen wie etwa den staatlichen Kartendienst geoportal-bw.de. Social Media Plugins fanden sich auf keiner der 24 Schulwebsites. Probleme ermittelte die Aufsichtsbehörde auch bei Kontaktformularen, bei denen oft unklar war, an wen die eingegebenen Daten übermittelt werden. Vielfach fehlten die erforderlichen Auftragsverarbeitungsverträge mit den Dienstleistern, über welche die Kontaktformulare bereitgestellt wurden. Zudem wurden datenschutzwidrig umfangreiche Pflichtangaben verlangt, etwa vollständige Adressen, und erfolgte die Eingabe ohne die erforderliche https-Verschlüsselung. Die mangelhafte Informationssicherheit war laut Befund der Aufsichtsbehörde nicht nur auf die fehlende Verschlüsselung beim Kontaktformular beschränkt, sondern betraf auch die Sicherheit der Website insgesamt. Bei fast allen geprüften Websites waren Sicherheitsmechanismen wie Content Security Policy (CSP) und HTTP Strict Transport Security (HSTS) oft nicht oder falsch implementiert. Das kann auf Nutzer der Seite wie auch die Sicherheit der Seiteninhalte Auswirkungen haben. Die Content Security Policy (CSP) ist ein Sicherheitsmechanismus, der das Einschleusen von schädlichem Code in Webseiten verhindert und so z. B. vor Cross-Site-Scripting-Angriffen schützt. HTTP Strict Transport Security (HSTS) sorgt dafür, dass eine Webseite immer verschlüsselt (über HTTPS) aufgerufen wird, um Manipulationen und Abhören der Verbindung zu verhindern. Bezüglich der Datenschutzinformationen ermittelte die Aufsichtsbehörde, dass diese zwar meist auffindbar waren, teils jedoch unter ungeeigneten Menüpunkten eingebunden waren. Außerdem widersprachen die Angaben mitunter denen im Einwilligungsbanner. Mitunter wurden veraltete oder lückenhafte Vordrucke verwendet und die verwendeten Angaben waren nicht individuell an die tatsächliche Datenverarbeitung angepasst. Auch bezüglich der Veröffentlichung von personenbezogenen Daten fanden sich Mängel auf den Schulwebsites. In Baden Württemberg ist für die Veröffentlichung von personenbezogenen Daten auf einer Schulwebsite die Einwilligung der Betroffenen erforderlich. Eine Ausnahme bilden hier Namen und Kontaktdaten der Schulleitung. Bei Lehrkräften wird hingegen eine Einwilligung benötigt. Inwieweit Schulen diese bei ihren Lehrkräften eingeholt hatten, wurde nicht geprüft. Positiv fiel auf, dass keine Schule „einen Vertretungsplan auf ihrer Webseite ohne gesonderten Zugang (Intranet der Schule oder zu einem externen Anbieter)“ veröffentlichte.
Aus dem Gesamtbild, das sich für die Aufsichtsbehörde ergab, sowie aus den Rückmeldungen der Schulen lässt sich ein dringender Unterstützungsbedarf ableiten; Schulen benötigen gezielte fachliche und organisatorische Hilfe, um ihre Webseiten datenschutzkonform betreiben zu können und diese geht über den Datenschutz hinaus und betrifft auch Bereiche wie Urheberrecht, Barrierefreiheit und weitere.
Bewertung
Aus der eigenen Beratungspraxis sind dem Verfasser des Beitrags die von der Aufsichtsbehörde ermittelten Probleme im Zusammenhang mit Schulwebsites geläufig. Die Ursachen für die Probleme sind vielfältig. Weit verbreitete Content Management Systeme (CMS) wie WordPress erlauben auch engagierten Laien, eine Website zu basteln. Auch die Homepage Baukästen großer namhafter Hoster bieten Baukästensysteme an. Vielfach nutzen angebotene Module und Bausteine Bestandteile, die mit Blick auf Datenschutz nicht mit den für Schulen geltenden Vorgaben vereinbar sind. Das können Google Fonts sein, welche beim Aufruf der Schulwebsite von einem Google Server abgerufen werden und dabei Informationen über den Nutzer an Google zurückmelden. Es können auch Kontaktformulare sein, welche über in den USA sitzende Drittanbieter betrieben werden können. Mangels Finanzierung werden von Schulen mitunter kostenlose Anbieter genutzt wie etwa Weebly in einem eigenen Beratungsfall. Der Schule war dabei nicht einmal bewusst, dass es sich um einen US Anbieter mit Servern in den USA handelt, der sich seine „kostenlose“ Dienstleistung mit den Daten der die Schulwebsite besuchenden Nutzer (Eltern, Schüler, Interessierte) bezahlen ließ.
Schulen, welche ihre Website bezüglich der Sicherheit und auch der Einbindung von externen Schriftarten und des Setzens von Cookies durch Drittanbieter prüfen möchten, können dieses sicher und kostenlos über Webbkoll, einen Dienst von der 5. Juli-Stiftung in Schweden, tun. Man gibt dort die URL der Schulwebsite ein und erhält einen ausführlichen Bericht. Je nach Ergebnis sollte die Schule sich gegebenenfalls professionelle Hilfe holen.
Ein Hinweis für NRW. Anders als in Baden Württemberg ist die Veröffentlichung der dienstlichen Kontaktdaten von Lehrkräften hier durch das Informationsfreiheitsgesetz NRW gedeckt. Lehrkräfte müssen jedoch vorab von der geplanten Veröffentlichung informiert werden, so dass sie berechtigte Einwände geltend machen können.
Schulen nutzen für die Erstellung der Datenschutzerklärung ihrer Schulwebsite häufig bekannte Datenschutzgeneratoren. Teils nutzen auch Firmen diese, wenn sie Websites für Schulen erstellen. Bei der Nutzung von Generatoren für Datenschutzerklärungen sind vor allem drei Dinge zu beachten. Die ausgewählten Inhalte sollten der tatsächlichen Verarbeitung auf der Schulwebsite entsprechen. Ein Hinweis auf die Verarbeitung in einem Kontaktformular oder die Verarbeitung von Daten zu Analysezwecken oder zur Erfüllung eines Vertrags mit einem Kunden, welche es nicht gibt, sind irreführend und verwirren Besucher. Gleiches gilt für die Angabe von Rechtsgrundlagen wie die Verarbeitung für berechtigte Interessen, welche für Schulen als öffentliche Stellen nicht möglich ist, wie die Verarbeitung zur Erfüllung eines Vertrages. Besonders wichtig ist die Einhaltung der Nutzungsvorgaben des Inhabers des Generators für die Datenschutzerklärung. In der Regel wird genau beschrieben, welche Urheberrechtsangaben hierbei zu machen sind. Diese sollten exakt so übernommen werden. Wer hier Fehler macht muss mit Rechtsfolgen rechnen, die Kosten nach sich ziehen können. Für diese wird in der Regel zwar das Land eintreten, doch den Ärger kann man sich ersparen.