FERPA-Konformität ist die Einhaltung einer Bundesverordnung, die Bildungseinrichtungen zum Schutz der Privatsphäre von Schülerdaten verpflichtet. Was besagt dieses Gesetz und welche Anforderungen stellt es?
Lass es uns herausfinden.
Was ist das Familienbildungsrecht und der Datenschutz (FERPA)?
Die Gesetz über Bildungsrechte und Datenschutz (FERPA), auch bekannt als Buckley Amendment, trat im November 1974 in Kraft. Jede Schule, jeder Schulbezirk oder jede Institution, die vom US-Bildungsministerium (DoE) finanziert wird, muss die FERPA-Anforderungen erfüllen.
Dieses Bundesgesetz regelt sämtliche Studentendaten, einschließlich persönlich identifizierbare Informationen (PII) und Verzeichnisinformationen und dient zwei Zwecken:
- Es gibt den Eltern des Schülers – oder dem Schüler, wenn dieser über 18 Jahre alt ist – das Recht, seine Schulunterlagen einzusehen. Sollten die Unterlagen fehlerhaft sein, können die Eltern eine Berichtigung verlangen. Lehnt die Schule dies ab, haben die Eltern Anspruch auf eine Anhörung.
- Es verhindert, dass die Schule Informationen über einen Schüler ohne die Erlaubnis der Eltern oder des berechtigten Schülers weitergibt.
An dieser Stelle ist es wichtig zu beachten, dass nicht jedes Dokument, das den Namen eines Schülers erwähnt, unter FERPA fällt. Das Gesetz gilt ausdrücklich nur für offizielle Schulunterlagen. Und diese Unterlagen müssen nicht unbedingt in Papierform vorliegen. Auch digitale Dokumente, E-Mails, Videos oder jedes andere Format fallen unter FERPA.
Die Verordnung unterscheidet zwischen PII und Verzeichnisinformationen. Sensible persönliche Informationen, wie Sozialversicherungsnummern, Noten und Disziplinarakten, können nicht weitergegeben werden ohne explizit schriftliche Genehmigung, außer in bestimmten Rechtssituationen.
Verzeichnisinformationen sind jedoch eher allgemeine Informationen, wie etwa der Name des Schülers, sein Abschlussjahr oder ob er an Sportveranstaltungen teilgenommen hat. Diese können ohne Erlaubnis weitergegeben werden, es sei denn, der Schüler oder seine Eltern haben dem widersprochen.
Das Gesetz überträgt außerdem automatisch die Rechte der Eltern auf den Schüler, sobald dieser 18 Jahre alt wird oder sich an einem College oder einer Universität einschreibt, je nachdem, was zuerst eintritt. Danach darf die Schule ohne die schriftliche Zustimmung des Schülers – außer in besonderen Fällen – keine Informationen mehr an die Eltern weitergeben, da dies als Verstoß gegen FERPA gilt.
Was ist nicht durch FERPA abgedeckt?
Wie bereits erwähnt, fallen nicht alle Dokumente, in denen der Student erwähnt wird, unter das FERPA. Hier ist eine Liste einiger Dokumente:
- Alle Aufzeichnungen, die von einem Lehrer, Professor oder Mitarbeiter für den eigenen Gebrauch erstellt und nicht an Dritte weitergegeben werden: Ausgenommen sind beispielsweise private Notizen eines Lehrers über einen Schüler. Teilt der Lehrer diese jedoch mit anderen Lehrern, werden die Notizen Teil der Schülerakten und fallen somit unter FERPA.
- Polizei- oder Sicherheitsaufzeichnungen, die von der Strafverfolgungsbehörde der Schule geführt werden: Es handelt sich hierbei nicht um Bildungsunterlagen, daher ist das Gesetz auf sie nicht anwendbar.
- Aufzeichnungen von Personen, die Mitarbeiter der Schule sind: Da es sich bei diesen Personen nicht um Studierende handelt, fallen diese unter das Arbeitsrecht. Ist der Mitarbeiter jedoch gleichzeitig Studierender, sind seine Unterlagen durch FERPA geschützt.
- Die vom Schulgesundheitsdienst erstellten Gesundheitsakten eines Schülers: Diese fallen unter HIPAA da es sich um medizinische Informationen handelt und keine Bildungsdaten.
- Alumni-Datensätze, die nach dem Abschluss des Studenten erstellt wurden: Das liegt auf der Hand: Sobald sie ihren Abschluss gemacht und die Hochschule verlassen haben, sind sie keine Studierenden mehr. Daher fallen alle Informationen, die ab diesem Zeitpunkt über sie gesammelt werden – Spendenhistorie der Alumni, Kontaktdaten nach dem Abschluss usw. – nicht unter FERPA. Aufzeichnungen aus ihrer Studienzeit sind jedoch weiterhin geschützt.
- Von Mitschülern benotete Arbeiten, bevor der Lehrer sie einsammelt und aufzeichnet: Von anderen Schülern bewertete Aufgaben oder Tests sind keine offiziellen Aufzeichnungen und unterliegen nicht dem FERPA-Gesetz. Sobald die Lehrkraft diese jedoch sammelt und offiziell aufzeichnet, sind sie gesetzlich geschützt.
Was ist FERPA-Konformität?
Die Anforderungen zur Einhaltung des FERPA sind relativ einfach. Sie lassen sich in die folgenden drei Kategorien unterteilen:
Zustimmung
Die wichtigste Voraussetzung des FERPA ist die Einwilligung. Eine Schule darf die personenbezogenen Daten eines Schülers aus dessen Bildungsunterlagen nicht ohne die ausdrückliche schriftliche Genehmigung der Eltern bzw. Erziehungsberechtigten oder des Schülers weitergeben, sofern dieser über 18 Jahre alt oder an einer Hochschule eingeschrieben ist. Dazu gehören:
- Noten, Zeugnisse oder Abschriften
- Disziplinarakten
- Aufzeichnungen zur Sonderpädagogik (z. B. IEPs)
- Gesundheitsakten von Schülern, sofern diese von der Schule und nicht von einer medizinischen Einrichtung geführt werden
- Unterlagen zu Finanzhilfen und Studiengebühren
Es gibt einige Ausnahmen, für die keine Zustimmung erforderlich ist. Informationen können weitergegeben werden an:
- Schulbeamte – wie Lehrer, Berater, Administratoren und IT-Mitarbeiter –, die die Informationen für ihre Arbeit benötigen
- Eine andere Schule, wenn der Student wechselt oder sich einschreibt und nach Unterlagen fragt
- Medizinisches Personal im Falle von Gesundheits- oder Sicherheitsnotfällen
- Finanzhilfestellen, die die Daten zur Bearbeitung von Zuschüssen, Darlehen und Stipendien benötigen
- Strafverfolgungsbehörden und Gerichte, wenn die Informationen aufgrund einer Vorladung oder eines Gerichtsverfahrens benötigt werden
- Der Staat oder die Jugendgerichtsbarkeit in bestimmten Rechtssituationen
- Die Eltern, wenn der Schüler unter 21 Jahre alt ist und ihm wegen Drogen- oder Alkoholmissbrauchs Disziplinarmaßnahmen drohen
Im Rahmen der FERPA-Konformität müssen Schulen Schülern oder deren Eltern außerdem das Recht einräumen, ihre offiziellen Unterlagen auf Anfrage innerhalb von 45 Tagen einzusehen und zu überprüfen. Der Betroffene kann bei fehlerhaften Informationen eine Korrektur verlangen.
Studierende können auf das Recht auf Akteneinsicht verzichten, müssen sich aber vorher beraten lassen. Dies schützt sie davor, auf ihre Rechte zu verzichten, ohne sich über die Folgen im Klaren zu sein.
Wie bereits erwähnt, können Verzeichnisinformationen wie Name, Adresse, Telefonnummer und Auszeichnungen des Schülers von der Schule ohne ausdrückliche Zustimmung der Eltern oder des Schülers weitergegeben werden. Der betroffenen Partei muss jedoch vorher die Möglichkeit gegeben werden, der Weitergabe zu widersprechen.
Ausbildung
Es liegt in der Verantwortung der Schule, ihre Mitarbeiter in den FERPA-Regeln zu schulen. Dies umfasst unter anderem, was geschützt ist und was nicht, wann Informationen weitergegeben werden dürfen und wie mit Aufzeichnungen ordnungsgemäß umgegangen wird. Zu den Personen, die geschult werden müssen, gehören:
- Lehrer und Professoren, die wissen müssen, was sie teilen dürfen und was nicht
- Büro- und Verwaltungspersonal, da sie täglich mit Studierendenakten umgehen
- IT-Personal, da sie oft Datenbanken mit sensiblen Studenteninformationen verwalten
- Campus-Sicherheit, da sie die Beschränkungen des FERPA für Strafverfolgungsaufzeichnungen verstehen müssen
- Drittanbieter, wie z. B. Lernplattformen, die im Auftrag der Schule Schülerdaten verarbeiten
Alle Beteiligten müssen wissen, welche Schülerakten unter FERPA fallen. Lehrkräfte sollten beispielsweise wissen, dass es einen Verstoß darstellt, die schlechte Note eines Schülers mit einem anderen Schüler zu besprechen.
Sie sollten wissen, wie sie mit Anfragen zu Unterlagen umgehen und wann eine Einwilligung erforderlich ist. Wenn sie Anfragen von Eltern oder Schülern erhalten, sei es zur Einsichtnahme in die Unterlagen oder zur Korrektur von Ungenauigkeiten, sollten sie wissen, wie sie diese korrekt bearbeiten.
Entsorgen von Unterlagen Die Datenspeicherung ist ein ebenso wichtiger Bestandteil des Datenmanagements. Mitarbeiter sollten in der Vernichtung alter und nicht mehr benötigter Unterlagen geschult werden. Die Schulung sollte auch die Löschung oder Vernichtung der Unterlagen umfassen, um das Risiko einer unbeabsichtigten Offenlegung zu verringern.
Sicherheit
Wie bei anderen Datenschutzgesetzen verlangt die FERPA-Konformität von Schulen, Schülerakten angemessen zu schützen. Dies gilt sowohl für physische als auch für elektronische Formate.
Bei Papierunterlagen sollten die Aktenschränke abschließbar sein und in einem dafür vorgesehenen Bereich aufbewahrt werden, in dem Unbefugte keinen Zutritt haben. Nur Personen, die Zugriff benötigen, sollten Zutritt erhalten.
Für digitale Aufzeichnungen sollten entsprechende Cybersicherheitsmaßnahmen getroffen werden. Alle Informationen, beispielsweise in Datenbanken, müssen passwortgeschützt sein. Gespeicherte Daten sollten verschlüsselt sein, damit selbst Angreifer, die sich Zugang verschaffen, diese nicht ohne Weiteres lesen können.
Maßnahmen wie regelbasierte Zugriffskontrolle (RBAC) Das Prinzip der geringsten Privilegien sollte durchgesetzt werden. Dadurch wird sichergestellt, dass nur Mitarbeiter, die die Informationen benötigen, diese einsehen können. Vor allem sollten alle Cybersicherheitsprozesse regelmäßig überprüft werden, um ihre Wirksamkeit und Verbesserungsbedarf zu prüfen.
Wer muss FERPA einhalten?
Jede Bildungseinrichtung, Agentur oder jedes Programm, das Bundesmittel erhält, muss FERPA-konform sein. Daher fallen die meisten – aber nicht alle – öffentlichen Schulen, Schulbezirke und Universitäten unter die Regelung.
Wenn beispielsweise eine private Universität staatliche Darlehen annimmt, muss sie zum Schutz der Privatsphäre der Studierenden das FERPA einhalten. Eine privat finanzierte Schule ist dazu jedoch nicht verpflichtet.
Was ist die Strafe für FERPA-Verstöße?
Strafen für Schulen und Institutionen
Bildungseinrichtungen haben die ethische Verpflichtung, die personenbezogenen Daten ihrer Studierenden zu schützen. Die Verordnung macht dies jedoch auch zu einer rechtlichen Verpflichtung und sieht bei Verstößen strenge Strafen vor.
Wird eine Beschwerde gegen eine Bildungseinrichtung eingereicht, drohen ihr möglicherweise offizielle Untersuchungen hinsichtlich ihres Umgangs mit Daten und ihrer Mitarbeiterpraktiken. Außerdem kann sie vom Bildungsministerium, von Eltern oder Interessengruppen formelle Unterlassungsanordnungen erhalten, um unbefugte Offenlegungen zu verhindern.
Im Falle einer Verurteilung besteht eine der schwerwiegendsten Folgen der Nichteinhaltung des FERPA darin, dass die Schule die Finanzierung durch das Bildungsministerium und andere Bundesbehörden verlieren könnte. Da viele Hochschulen und Universitäten stark auf staatliche Studienbeihilfen angewiesen sind, ist dies eine erhebliche Strafe.
Darüber hinaus gibt es die bundesstaatlichen Datenschutzgesetze. Verstößt der FERPA-Verstoß auch gegen ein Landesgesetz, drohen zusätzliche Strafen.
Solche Verstöße führen häufig zu negativer Presse und Gerichtsverfahren, die den Ruf der Einrichtung schädigen und oft zu einem Glaubwürdigkeitsverlust bei Schülern, Eltern und Mitarbeitern führen. Schließlich kann die Schulleitung vorübergehend suspendiert oder ersetzt werden.
Strafen für Mitarbeiter
Jeder Mitarbeiter der Bildungseinrichtung, der für die unbefugte Weitergabe geschützter Informationen eines Schülers verantwortlich ist, kann seinen Job verlieren. Gegen ihn kann eine interne Untersuchung eingeleitet und ihm der Zugriff auf Schulsysteme und -unterlagen verweigert werden.
Obwohl FERPA keine privaten Klagen zulässt, können sie nach anderen Gesetzen, beispielsweise wegen Betrug oder Identitätsdiebstahl, strafrechtlich verfolgt werden. Schließlich müssen sie bei Verstößen gegen FERPA möglicherweise Geldstrafen zahlen.
Strafen für Drittanbieter
Wenn ein Anbieter die Schülerdaten nicht ausreichend schützt, können die Schulen den Vertrag kündigen. Sie könnten auch wegen Datenschutzverletzungen nach Vertragsrecht oder den staatlichen Datenschutzgesetzen verklagt werden, wie zum Beispiel dem Datenschutzgesetz von Virginia oder die ICDPADa dies zudem ihren Ruf beeinträchtigt, könnten auch andere Schulen und Institutionen den Vertrag kündigen.
Häufige Beispiele für FERPA-Verstöße
Nicht alle FERPA-Verstöße sind vorsätzlich; manche können unbeabsichtigt sein, haben aber die gleichen Konsequenzen, einschließlich der Möglichkeit, dass Eltern und Schüler eine Beschwerde einreichen. Hier sind einige häufige Beispiele für Verstöße, sowohl vorsätzliche als auch unbeabsichtigte:
Empfehlungsschreiben
Dieser Verstoß ist heikel, denn obwohl Empfehlungsschreiben Teil der persönlichen Daten eines Schülers sind, kann eine Schule sie ohne Zustimmung an andere Bildungseinrichtungen weiterleiten. Diese Ausnahme gilt jedoch nicht für Einrichtungen, die nicht im Bildungsbereich tätig sind, wie beispielsweise potenzielle Arbeitgeber. Dies ist ein wichtiger Unterschied, den das Verwaltungspersonal beachten sollte.
E-Mails an mehrere Empfänger
Wenn eine Institution E-Mails an eine Gruppe von Studierenden sendet, kann die Identität aller unbeabsichtigt preisgegeben werden, wenn vergessen wird, BCC für die E-Mails der Studierenden zu verwenden. Dies stellt möglicherweise keinen FERPA-Verstoß dar, wenn der Inhalt der E-Mail nur Verzeichnisinformationen enthält. Enthält die E-Mail jedoch vertrauliche Informationen über die Studierenden, wie beispielsweise ihren Bewährungsstatus, ist dies problematisch. Das Senden individueller E-Mails an jeden Studierenden oder die Verwendung eines sicheren Portals für private Nachrichten kann dazu beitragen, diese Situation zu vermeiden.
Erklärung der Abwesenheit eines Schülers
Nehmen wir an, ein Schüler kann aufgrund seiner schulischen Leistungen nicht an einer Aktivität teilnehmen. Wenn ein Lehrer in diesem Fall den Grund in einem lockeren Gespräch mit einem anderen Schüler erwähnt, stellt dies einen Verstoß gegen FERPA dar. Auch hier hilft die Schulung des Lehrpersonals in Bezug auf die Offenlegung von Informationen und die Nichtoffenlegung, solche Vorfälle zu reduzieren.
Fehler eines Drittanbieters
Schulen und Bildungseinrichtungen arbeiten häufig mit Drittanbietern zusammen und gewähren ihnen Zugriff auf Schülerdaten. Gibt der Anbieter die Informationen versehentlich oder absichtlich an eine Person weiter, die nicht zur Einsicht berechtigt ist, verstößt er gegen das FERPA. Ebenso verstößt er gegen das FERPA, wenn der Anbieter Data Mining für kommerzielle Zwecke nutzt.
Wer für den Verstoß haftet, hängt davon ab, ob die Schule den Auftragnehmer ordnungsgemäß geprüft und Datenschutzklauseln in den Vertrag aufgenommen hat. Hat die Schule ihre Sorgfaltspflicht erfüllt und eine Klausel zur Einhaltung der FERPA-Vorschriften in den Vertrag aufgenommen, haftet der Auftragnehmer. Andernfalls droht der Schule eine Strafe.
Freigabe von Unterlagen an die Eltern eines erwachsenen Schülers
Gemäß FERPA geht das Eigentum an den Daten eines Schülers auf ihn über, sobald er 18 Jahre alt ist oder sich an einem College oder einer Universität einschreibt. In diesem Fall stellt die Weitergabe der Daten an die Eltern ohne schriftliche Zustimmung einen Verstoß gegen FERPA dar.
Die Eltern sollten über die FERPA-Übertragungsregeln informiert werden, wenn der Schüler die Volljährigkeit erreicht. Wenn sie die Informationen des Schülers erhalten müssen, muss dies mit Zustimmung des Beteiligten geschehen.
Öffentliche Weitergabe vertraulicher Studenteninformationen
Wenn ein Schulbeamter mit einem Journalisten spricht oder in den sozialen Medien einen Vorfall oder ein Update an der Schule postet und dabei die schulischen Leistungen, den Gesundheitszustand oder sogar disziplinarische Maßnahmen eines Schülers erwähnt, verstößt er gegen FERPA.
Wenn Testergebnisse mit den entsprechenden Noten und Namen oder Ausweisen veröffentlicht würden, würden sie einen Teil der persönlichen Bildungsdaten der einzelnen Schüler offenlegen. Auch hier trägt die Schulung der Mitarbeiter darüber, was sie weitergeben dürfen und was nicht, dazu bei, solche Fälle zu reduzieren. Die Nutzung sicherer Studierendenportale für die Kommunikation mit Studierenden anstelle öffentlicher Ankündigungen verringert zudem die versehentliche Offenlegung von Studierendendaten.
Weitergabe von Informationen am Telefon
Wenn jemand die Schule anruft und sich als Elternteil eines Schülers ausgibt und nach Informationen fragt, die unter das FERPA-Gesetz fallen, ist die Schule dafür verantwortlich, die Identität der Person zu überprüfen und zu prüfen, ob sie zum Empfang der Informationen berechtigt ist. Dazu gehört auch die Überprüfung, ob der Schüler über 18 Jahre alt ist und ob er der Weitergabe der Informationen an seine Eltern zugestimmt hat.
FERPA-Konformität mit BigID
Studentendaten müssen, wie alle anderen Datentypen, ordnungsgemäß verwaltet und kontrolliert werden. Deshalb BigID ist eine perfekte Lösung für Ihre Schule oder Bildungseinrichtung.
Unsere Plattform bietet Entdeckung und Klassifizierung von Daten, damit Sie wissen, welche Informationen Sie haben und wie sensibel diese sind. Es hilft Ihnen auch dabei, Datenminimierung umzusetzen und durchzusetzen, damit Sie keine unnötigen Informationen speichern.
BigID hilft auch bei Datenrechteverwaltung, wodurch es für Sie einfacher wird, die Zustimmung der Schüler einzuholen und auf ihre – oder die Anfragen ihrer Eltern – zur Einsicht ihrer Informationen zu reagieren.
Schließlich bietet unsere umfassende Plattform KI-gestützte Datensicherheits-Statusmanagement Dank dieser Funktionen sind alle Ihre Daten sicher, egal ob vor Ort oder in der Cloud. Sie können damit auch Ihr Datenrisiko bewerten und Audits durchführen.
Während die Schulung Ihrer Mitarbeiter weiterhin in Ihrer Verantwortung liegt, kann BigID den Prozess des Einwilligungsmanagements und der Datensicherheit zur Einhaltung des FERPA erheblich vereinfachen. Vereinbaren Sie eine 1:1-Demo Kontaktieren Sie noch heute unsere Datenschutzexperten!
Autor
