Das Kultusministerium empfiehlt:
Alle personenbezogenen Daten von Schülerinnen und Schülern (Notenprogramme, Vermerke, pädagogische Erziehungsmaßnahmen, Maßnahmen zum § 90 Schulgesetz, etc.) sind grundsätzlich zu verschlüsseln.
Generell gilt, dass solche personenbezogenen Daten auf allen Speichergeräten (z.B.: interne Festplatten, externe portable Festplatten (2,5' und 3,5'), USB-Sticks und andere Speichermedien) zu verschlüsseln sind. Dazu ist die Verschlüsselungssoftware VeraCrypt geeignet. Hinweise zur Installation und zum Einsatz von VeraCrypt finden Sie hier.
Des Weiteren ist der Zugriff Dritter auf diese Speichermedien zu erschweren. Auf privaten Endgeräten (PC, Laptop, I-Book, I-Pad, etc.) sollten die Daten in passwortgeschützten Profilen hinterlegt sein. Auch im privaten Bereich sollten Sie eine Verschlüsselung der Daten vornehmen.
Wichtig ist zudem, dass aufgrund des portablen Charakters von Laptops und ähnlichen Geräten diese nicht nur mit einem passwortgeschützten Profil abzusichern sind, sondern auch alle auf dem Gerät vorhandenen personenbezogenen Daten immer zu verschlüsseln sind.
Auch verschlüsselte personenbezogene Daten unterlegen den Vorschriften des LDSG. Ist beabsichtigt, verschlüsselte
personenbezogene Daten beispielsweise in einer Cloud abzulegen, sind die Vorgaben des Art. 28 EU-DSGVO zu beachten, weil eine sog.
Auftragsverarbeitung stattfindet. Informationen zum Inhalt des Vertrages sowie Vertragsvorlagen, die Schulen verwenden können, finden
Sie auf dem Lehrerfortbildungsserver und im Intranet der Kultusverwaltung.
Die meisten Anbieter von Cloud Computing oder Online-Ablagesystemen ermöglichen es nicht, die datenschutzrechtlichen Bestimmungen des
LDSG einzuhalten. Oftmals ist es nur möglich, vorhandenen AGBs oder Nutzungsbedingungen zuzustimmen. Diese lassen dem Anbieter in
vielen Fällen die Möglichkeit offen, diese einseitig zu ändern. Auch ist bei vielen Anbietern eine wirksame
Verfügbarkeitskontrolle nicht möglich, denn die Anbieter behalten sich oft vor, die abgelegten Daten ohne vorherige
Ankündigung zu löschen oder ihren Service ganz einzustellen.
Eine Speicherung bei solchen Diensteanbietern ist daher - auch wenn die Daten dort verschlüsselt abgelegt werden - schon deshalb
unzulässig.