Datenschutz im System Schule
von Karsten Steinkühler //
Nach der großen Aufregung und dem damit verbundenen Aktionismus seit Inkrafttreten der DSGVO im Mai 2018 ist es ruhig geworden um das Thema Datenschutz in öffentlichen Verwaltungen und damit auch in Schulen.
Abgesehen von Diskussionen um den datenschutzkonformen Einsatz von bestimmten Softwareangeboten wie z.B. MS 365/Teams oder um das Anfertigen von Fotos bei Einschulungsveranstaltungen, entsteht der Eindruck, dass das Thema abgearbeitet ist und Schulen in Sachen Datenschutz gut aufgestellt sind.
Zur Einordnung der Realität sind zunächst folgende Informationen hilfreich, die sich aus den entsprechenden Gesetzen ableiten lassen:
- In Bezug auf die Verarbeitung von personenbezogenen Daten gilt eine Schule in öffentlicher Trägerschaft als öffentliche Stelle.
- Gemäß Art. 37 Abs. 1 Buchst. a der Datenschutz-Grundverordnung (DSGVO) sind Behörden und öffentliche Stellen verpflichtet, einen behördlichen Datenschutzbeauftragten zu benennen.
- Verantwortlich für den Datenschutz i.S. der DSGVO ist die Schulleitung (§ 5 Abs. 1 LDSG und § 1 Abs. 5 der VO-DV II).
- Gemäß §43 BDSG werden gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 keine Geldbußen verhängt.
Aus o.a. Punkten lässt sich ableiten, dass die Bearbeitung des Datenschutzes vor allem in den Händen der Schulleitungen liegt.
Die Realität sieht in vielen Fällen anders aus:
Grundlegende Dokumentationen wie Verzeichnisse der Verarbeitungstätigkeiten oder der technisch-organisatorischen Maßnahmen fehlen, vorgeschriebene Informationen gem. Art. 13ff DSGVO sind nicht vorhanden und viele Webseiten von Schulen sind nicht datenschutzkonform. Lehrerinnen und Lehrer kommunizieren mit Kindern und Eltern über WhatsApp und erarbeiten Zeugnisse, Notenlisten und Gutachten auf privaten Endgeräten und versenden diese Dokumente anschließend in offenen E-Mails.
Darüber hinaus verarbeiten Schulen nicht erst seit Beginn der COVID-19-Pandemie z.B. durch die Impflicht im Masernschutzgesetz auch Gesundheitsdaten von Schülerinnen, Schülern und Lehrpersonal.
Was fehlt sind Datenschutzmanagementsysteme und eine ernsthafte Beschäftigung mit dem Thema Datenschutz.
Die Schuld den Schulen und den Lehrern in die Schuhe zu schieben ist aber zu kurz gesprungen: es fehlt an Beratungen, Schulungen und Information für Schulleitungen und Kollegien. Niemand kann ernsthaft erwarten, dass Schulleitungen, Lehrerinnen und Lehrer sich in Eigenverantwortung in das Thema Datenschutz einarbeiten. Die Unterstützung des Verantwortlichen ist die klassische Aufgabe des Datenschutzbeauftragten.
Gemäß Art. 37 Abs. 1 Buchst. a der Datenschutz-Grundverordnung (DSGVO) sind Behörden und öffentliche Stellen verpflichtet, einen behördlichen Datenschutzbeauftragten zu benennen.
Die bestellten behördlichen Datenschutzbeauftragten kommen wegen totaler Überlastung allerdings ihren in Art. 39 DSGVO festgelegten Aufgaben nicht nach.
So gibt es Landkreise, in denen bei ca. 45.000 Schülerinnen und Schülern und ca. 5.000 Lehrerinnen und Lehrern allen Schulen lediglich EIN Datenschutzbeauftragter zur Verfügung steht. Die dringend notwendige qualifizierte Beratung und Unterstützung der Schulen findet nicht statt, die in Art. 39 DSGVO vorgeschriebenen Aufgaben des Datenschutzbeauftragten werden nicht erfüllt.
Aufgrund des o.a. § 43 BDSG drohen wegen Verstößen gegen die DSGVO oder bei Datenpannen keine Bußgelder und anlasslose Prüfungen durch die Aufsichtsbehörden sind nicht zu befürchten. Bei Beschwerden von Betroffenen sind Aufsichtsbehörden allerdings gezwungen, tätig zu werden.
Die Aufsichtsbehörden haben die Befugnis, eine Reihe von unmittelbaren Maßnahmen bis hin zum Verbot der Verarbeitung in Bezug auf die Verarbeitung von personenbezogenen Daten anzuordnen. Wird die Schule zu einer Stellungnahme aufgefordert, muss sie diese auch in Kopie an die zuständige Bezirksregierung weiterleiten.
Die für die Datenverarbeitung und damit auch für den Datenschutz verantwortlichen Schulleitungen sollten aufgrund der beschriebenen Punkte darüber nachdenken, externe Beratung in Anspruch zu nehmen, um zumindest die dringendsten Fragen zu klären, grundlegende Dokumentationen zu erstellen und das Bewusstsein für Datenschutz im Kollegium zu verankern. Schulträger sollten die Schulen dabei unterstützen und ggf. Budgets für Datenschutz bereitstellen.
Bild: skylarvision Köln auf pixabay.com