ServatorWiki

Das ist leider wieder ein Artikel aus der Serie „Datenschutz und ich“ dessen Essenz ist, dass Sie Ihre bisherige Vorgehensweise in Teilen ändern müssen:
Bisher handhaben die meisten von uns E-Mail so, dass wir den oder die Empfänger einer E-Mail in das „An:“ oder das „CC:“ Feld setzen. „CC:“ wird meist in dem Zusammenhang genutzt „Zur Info, musst aber selbst nichts machen“, eine Unsitte mit der man meint, Entscheidungsprozesse demokratisieren zu können… Aber das ist ein anderes Thema.
Jetzt kommt das neue Datenschutzgesetz und baut hier Hürden auf. E-Mail Adressen, so fern sie keine dienstlichen d.h. von der Schule zur Verfügung gestellten Mailadressen sind, unterliegen dem Datenschutz und dürfen nur nach vorhergehender Einverständniserklärung fremden dritten bekannt gemacht werden.

Das könnte das im konkreten Fall so aussehen, dass Sie bei der konstituierenden Sitzung einen Erfassungsbogen und ein Merkblatt mit Belehrungen zum Datenschutz verteilen und diejenigen, die Ihre Daten hinterlassen, sich mit der Speicherung, Verarbeitung und ggf. auch Nennung einverstanden erklären. Jeweils mit Opt-In Feldern! Ggf. werden wir zu einem späteren Zeitpunkt ein solches Musterformular vorlegen.

Diese Erklärung müssen Sie für die Bestandsdaten vor den 25.05 von den Benutzern einholen oder wir müssen Ihnen dringend raten, von der Verwendung der E-Mail Adressen im „An:“ und im „CC:“ Feld Abstand zu nehmen!

Eine Alternative wäre, die Adressen in das „BCC:“ zu setzten. Das wäre auch der von uns präferierte Weg. Es erspart Ihnen zwar nicht, sich die Verwendung der E-Mail Adresse bestätigen zu lassen, aber das Feld mit der Freigabe für die Weitergabe an Dritte entfällt.
Ein anderer Weg wäre die Erstellung und Pflege eines E-Mail-Verteilers.

Wichtig ist, dass dies alles dokumentiert und idealerweise in einem Fachverfahren festgelegt wird. Weil spätestens beim Ausscheiden aus einer Funktion müssen Sie die personenbezogenen Daten löschen und dann wird es wichtig das Sie wissen, wo überall personenbezogene Daten gespeichert sind!

Ab und an taucht die Frage auf, in wie weit die dienstlichen E-Mail Adressen erstens angelegt und schließend veröffentlicht werden dürfen.

Ob jemand gezwungen werden kann, E-Mail zu verwenden weiß ich nicht. Wenn jemand von Ihnen hierzu Kenntnisse hat, teilen Sie bitte das Wissen mit uns.

Jetzt hat sich als Verfahren in den letzten Jahren eingebürgert, dass dienstliche E-Mails standardmäßig auf private Endgeräte weitergeleitet werden. Das ist laut dem Rheinland-Pfälzischen Datenschutzbeauftragten nicht gestattet.
Die Frage, ob und unter welchen Umständen das Einrichten eines dienstlichen E-Mail Kontos auf einem privaten Endgerät statthaft ist, habe ich noch keine finale Aussage. Ich kann mir vorstellen, dass dies unter Umständen statthaft ist, wenn:

1. Die Pin zum Entsperren der Geräte durch ein Passwort sicherer Länge ersetzt wird
2. Die automatische Sperrfunktion am Gerät aktiv ist (Sperren nach 5? Minuten inaktivität)
3. Die Geräteverschlüsselung inklusive der Verschlüsselung eingebauter Speicherkarten aktiv ist
4. die E-Mail Konten über ein separates Programm ohne Cloudspeicher abgerufen werden
5. Sicherheitssoftware wie Virenscanner auf dem Gerät installiert sind (kostenfreie Landesversion)
6. Oder Ein Diensthandy für den rein dienstlichen Gebrauch verwendet wird.

Aber ganz ehrlich: Das sind so hohe technische Hürden dass dies nur versierte Nutzer schaffen und auch hier bleibt die Frage der Kontrolle. Wer darf wann und unter welchen Umständen kontrollieren, ob die Sicherheitsvorkehrungen korrekt vorgenommen werden? Weil auch hierzu gibt es unterschiedliche aussagen, je nach dem wo Sie nachsehen.

Für meinen Geschmack sind das zu viele Unwägbarkeiten und damit zu viel Rechtsunsicherheit. Daher schlagen wir vor, dass sich die Mitarbeiter über das Web direkt mit ihrem Arbeitsplatz verbinden und darüber arbeiten.

Die Alternative OWA (Outlook Web Access) bietet auch nicht die vergleichbare Sicherheit, weil es uns noch nicht gelungen ist, zwei Faktor Authentifizierung hierfür zur Verfügung zu stellen. Da es aus meiner Sicht keinen Unterschied macht, ob ich mich via Web auf dem Terminalserver oder auf der OWA Oberfläche anmelde, legen wir auf 2FA für OWA im Moment nicht unseren Fokus. Sollten Sie dies anders sehen, müssen wir darüber sprechen.

Wie oben erwähnt möchte ich Sie bitten, hier Ihren Sachstand wenn möglich mit Quellen darzulegen.

Hier gebe ich meinen aktuellen Sachstand wieder. Sollten Ihnen andere Informationen (wenn möglich mit Quellenangabe) vorliegen, teilen Sie bitte Ihr Wissen hier.

Einer der Gründe für die Entwicklung der Virtuellen Schulverwaltung war, dass wir den rechtssicheren Umgang mit E-Mail gewährleisten wollten, ohne den Komfort allzu stark einzuschränken. Dabei arbeiteten wir folgende Fragen ab:

Um eine möglichst strikte Trennung von dienstlichen und privaten Daten vornehmen zu können und dadurch den Schutz personenbezogener Daten zu ermöglichen.
Außerdem erleichtert dies die Vereinbarung von Vertreterstellungen usw. d.h., sollte ein Lehrer ausfallen muss definiert sein, wer auf sein Mailkonto zugreifen darf. In der Regel ist das ein Mitglied der Schulleitung und ein Personalratsmitglied. Aber bitte denken Sie daran, dies zeitnah ggf. über eine Betriebsvereinbarung zu regeln. (Digitales Vermächtnis)

Um das Spamproblem kümmern wir von Servator uns, soweit das möglich ist.
Für das Mobbing Problem müssen Sie Strukturen schaffen respektive Ihre Strukturen um den Punkt E-Mail erweitern. Es kommt leider vor, dass in E-Mails richtig vom Leder gezogen wird was nicht nur empfindliche Naturen belastet. Betroffene brauchen für diese Fälle einen Ansprechpartner. Bitte stellen Sie das sicher.

Dazu zitiere ich aus www.datenschutz-rlp.de (Genaue Seite werde ich nachreichen, mir liegt dies nur als Ausdruck vor)

„ Angaben über die elektronische Erreichbarkeit (Name, Amts- und Funktionsbezeichnung, dienstliche E-Mail Adresse, öffentlicher Kryptografieschlüssel) unterliegen bei Angehörigen öffentlicher Stellen als Amtsträgerdaten nicht dem informationellen Selbstbestimmungsrecht.
Gegen die Veröffentlichung dienstlicher E-Mail-Adressen bestehen daher aus datenschutzrechtlicher Sicht keine Bedenken“

Dann gibt es noch ein Urteil des Verwaltungsgerichts Neustadt an der Weinstraße vom 06.02.2007:
„Allerdings gehören nach Auffassung des Verwaltungsgerichts nicht der Name eines Beamten, sein Zuständigkeitsbereich sowie seine dienstliche Telefonnummer und E-Mail Adresse“