Wenn wir eines gelernt haben (sollten) im Rahmen der DSGVO-Umsetzung, dann ist es das: Es bleibt alles anders. Das trifft nicht nur uns „Datenschutz-Erklärer“, sondern auch Lehranstalten. Schulverwaltungen und öffentliche Schulen in den einzelnen Bundesländern verarbeiten täglich zahlreiche personenbezogene und teils sehr sensible Daten. Die rechtlichen Änderungen auf europäischer Ebene ziehen daher notwendigerweise Anpassungen auch für Bildungseinrichtungen nach sich. Der nachfolgende Beitrag bietet einen Abriss der relevantesten Informationen für den Schulbereich.
Der Inhalt im Überblick
Rechtsquellen: Wo steht was und was gilt?
Als Verordnung gilt die DSGVO unmittelbar, es bedarf keines nationalen Umsetzungsgesetzes. Die DSGVO gilt daher für Schulen direkt wie ein nationales Gesetz. Als „Grund“verordnung ermöglicht es die DSGVO dem nationalen Gesetzgeber aber über sog. Öffnungsklauseln, in bestimmten Bereichen auch eigene Regelungen zu treffen. Es wird also weiterhin auch ein bereichsspezifisches Datenschutzrecht für den Schulbereich geben. Schulrecht ist Ländersache, daher werden entsprechende Regelungen in den Schulgesetzen und in Verordnungen und Verwaltungsvorschriften der einzelnen Bundesländer getroffen. Ergänzend sind die Landesdatenschutzgesetze heranzuziehen.
Schulen sind Verantwortliche
Schulen sind Verantwortliche i.S.v. Art. 4 Ziff. 7 DSGVO und als solche in datenschutzrechtlicher Hinsicht rechenschaftspflichtig. Das heißt: Die einzelne Schule muss nachweisen, dass sie die datenschutzrechtlichen Grundsätze gemäß Art. 5 Abs. 1 DSGVO einhält. Diese Grundsätze sind nicht neu, nur neu gefasst: Die Verarbeitung personenbezogener Daten muss rechtmäßig sein und nach Treu und Glauben erfolgen, sie muss transparent sein und die Zwecke der Verarbeitung müssen eindeutig festgelegt sein. Die Verarbeitung muss auf das erforderliche Maß beschränkt sein und es darf nicht ohne Grund endlos gespeichert werden. Nicht zuletzt müssen Sicherheit und Richtigkeit der Daten gewährleistet werden. Einen ausführlicheren Beitrag hierzu finden Sie hier.
Was sind die für Schulen wesentlichen Regelungen?
Datenschutzbeauftragte/r
Unverändert bleibt die Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten. Jede Schule kann einen Datenschutzbeauftragten bestellen, mehrere Schulen können aber auch gemeinsam einen Datenschutzbeauftragten bestellen. Dessen Aufgaben sind in Art. 39 DSGVO beschrieben.
Verarbeitungsverzeichnis
Die Umsetzung der Grundsätze muss dokumentiert werden. Hierzu dient das Verarbeitungsverzeichnis nach Art. 30 DSGVO, welches das alte Verfahrensverzeichnis ersetzt. Schulen müssen darin alle Vorgänge und Prozesse eintragen, bei denen in der Schule personenbezogene Daten verarbeitet werden. Dabei ist der Zweck der Datenverarbeitung und die Kategorien der verarbeiteten personenbezogenen Daten festzuhalten. Die verschiedenen Aufsichtsbehörden bieten auf ihren Webseiten Muster an, als Beispiel sei auf die Seite des Bayrischen Landesamtes für Datenschutzaufsicht verwiesen. Auch über die Kultusministerien wird Hilfestellung angeboten (z.B. über Lehrerfortbildungsseiten wie hier). Das Verzeichnis muss fortlaufend aktualisiert werden. Die Verantwortung für das Führen des Verzeichnisses liegt bei der Schulleitung, welche einzelne Aufgaben delegieren kann.
Datenschutz-Folgenabschätzung
Hat eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, ist vorab schriftlich eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durchzuführen. Dies ist insbesondere bei Verwendung neuer Technologien wie sog. Smart-Technologien, Big Data-Technik, Trackingsystem und neuen Sicherheits- und Überwachungstechniken der Fall. Schulen müssen also eine Datenschutz-Folgenabschätzung durchführen, wenn sie Videoüberwachung einführen möchte. Erkennt die Schule aufgrund der Folgenabschätzung, dass die geplante Datenverarbeitung ohne entsprechende „Gegenmaßnahmen“ ein hohes Risiko zur Folge hätte, muss sie vor Beginn der Verarbeitung die Datenschutz-Aufsichtsbehörde konsultieren.
Melde- und Benachrichtigungspflicht
Eine wesentliche Neuerung besteht darin, dass auch für Schulen eine Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen an die Datenschutzaufsichtsbehörde besteht. Für Anleitung, auf welche Art und Weise solche Meldungen in der Praxis erfolgen sollen, sollte direkt auf die mittlerweile online bereitgestellten Informationen und Meldebögen der zuständigen Aufsichtsbehörde zurückgegriffen werden.
Technische und organisatorische Maßnahmen
Jede Schule muss geeignete technische und organisatorische Datenschutzmaßnahmen treffen, um die Sicherheit der von ihr verarbeiteten personenbezogen Daten zu gewährleisten. Dazu zählen beispielsweise Zugriffskontrolle, das regelmäßige Erstellen von Back-ups sowie Pseudonymisierung und Verschlüsselung von personenbezogenen Daten. In diesem Zusammenhang sei auch auf Art. 25 DSGVO hingewiesen, der die Grundsätze des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen regelt. Schulen müssen ihre IT-Systeme so gestalten, dass die oben angesprochenen Grundsätze des Datenschutzes wie etwa Datenminimierung wirksam umgesetzt werden.
Betroffenenrechte
Die Rechte der betroffenen Personen sind erweitert worden, Art. 12 ff. DSGVO. Während einige der neuen Rechte in der Praxis für Schulen weniger interessant sein dürften (z.B. das neue Recht auf Datenübertragbarkeit), sind insbesondere die Informationspflichten gemäß Art. 13 DSGVO für Schulen relevant. Bei Verwendung von Formularen z. B. zur Aufnahme von Schülern, müssen die erforderlichen Informationen direkt im Formular enthalten oder beigefügt sein. Entsprechende Informationen sollten zudem auf der Homepage der Schule veröffentlicht werden. Informieren Sie klar und verständlich, gerade wenn Sie sich an Kinder richten. Das Recht auf Auskunft gegenüber Betroffenen (Eltern, Schüler und Beschäftigte) gemäß Art. 15 DSGVO wird für Schulen ebenfalls eine Rolle spielen. Hier sind organisatorische Vorkehrungen zu treffen, um fristgerecht reagieren zu können.
Schulalltag und Datenschutz: Einzelfragen
Der Teufel steckt im Detail, daher kommen in der Praxis häufig Einzelfragen auf, die in einem allgemeinen Beitrag wie diesem kaum zu beantworten sind. Einige Fragestellungen zum Datenschutz im Schulalltag tauchen im Zuge der DSGVO-Umsetzung jedoch immer wieder auf:
Was ist mit der Website?
Auch wenn Schulen vom Schreckgespenst der wettbewerbsrechtlichen Abmahnung nicht betroffen sind, ist die Website der Schule zu überarbeiten. Veröffentlichen Sie eine Datenschutzerklärung, die der DSGVO entspricht. Ein Muster bietet z.B. die Niedersächsische Landesschulbehörde.
Dürfen jetzt keine Fotos mehr von Schülerinnen und Schülern im Internet veröffentlicht werden?
Die Veröffentlichung von Fotos von Schülerinnen und Schülern ist – wie bisher – zulässig, wenn eine informierte, freiwillige Einwilligung von den Schülerinnen und Schülern bzw. von deren Eltern vorliegt. Die Betroffenen müssen vorher über die Risiken (z.B. weltweite Abrufbarkeit und Nutzung in anderen Zusammenhängen), die mit der Veröffentlichung personenbezogener Daten im Internet verbunden sind, ausreichend informiert werden. Und: Blanko-Einwilligungen für alle Veröffentlichungen der Schule reichen definitiv nicht aus.
Was ist mit der Nutzung von WhatsApp/Facebook?
Die Antwort ist erwartbar. Es ist Lehrkräften derzeit davon abzuraten, zur Kommunikation mit Schülerinnen und Schülern die Dienste von WhatsApp und Facebook zu nutzen. Keinesfalls dürfen schulbezogene, personenbezogene Daten über diese Dienste ausgetauscht werden. Es empfiehlt sich für Schulen, Social Media Richtlinien zu erstellen, die von allen Beschäftigten anzuwenden sind.
Ich arbeite in einer privaten Sprachschule als freiberuflicher Deutschlehrer. Die Geschäftsleitung möchte, dass ich eine sogenannte „Vertraulichkeitsverpflichtungserklärung für Trainer“ unterschreibe mit einem Merkblatt „Gesetzliche Grundlagen“, in dem bei Verstößen Geldbußen von bis zu 10.000.000 EUR bzw. 20.000.000 EUR verhängt werden. Muss ich das wirklich unterschreiben?
Die Verpflichtungserklärung ist möglicherweise missverständlich gestaltet. Vielleicht hilft Ihnen dieser Artikel weiter: https://www.dr-datenschutz.de/uebertragung-der-haftung-nach-dsgvo-auf-den-arbeitnehmer/ ?
Ob die Erklärung insgesamt in Ordnung ist, kann ich nicht sagen. Strafen ergeben sich jedoch direkt aus dem Gesetz und wenn Sie freiberuflich tätig sind, müssen Sie sich ohnehin die DSGVO halten. Die Verpflichtungserklärung dient dem Arbeitgeber als Nachweis darüber, dass er den Arbeitnehmer entsprechend belehrt hat.