Datenschutz in der Schule am Beispiel Hessens
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DS-GVO) unmittelbar und in sämtlichen Mitgliedsstatten der Europäischen Union. Das bis dahin gültige Datenschutzrecht wurde damit harmonisiert und durch einen einheitlichen europäischen Rechtsrahmen ersetzt. Allerdings enthält die DS-GVO auch eine Vielzahl von Öffnungsklauseln, die dem nationalen Gesetzgeber einen bestimmten Spielraum hinsichtlich der Umsetzung der Vorschrift einräumen.
Um den Vorgaben der DS-GVO zu entsprechen, müssen die Schulen beispielsweise in Hessen als öffentliche Stellen bestehende Strukturen und Prozesse zeitnah anpassen und fortentwickeln.
Wesentliche Veränderungen sind am Beispiel Hessens nachfolgend zusammengefasst.
Erweitert wird der Umfang der Informations- und Auskunftspflichten gegenüber Schülern und Eltern (Art. 13-15 DS-GVO). Gem. Art. 12 Abs. 1 DS-GVO sind die Betroffenen (also hier: Eltern und Schüler) in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ über die Verarbeitung ihrer personenbezogenen Daten zu unterrichten.
Auch die sonstigen Rechte der Betroffenen werden gegenüber dem bisherigen Recht erweitert. Neu ist unter anderem das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).
Die DS-GVO sieht erweiterte Dokumentations- und Nachweispflichten vor. Dies betrifft unter anderem den Nachweis der Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 2 DS-GVO), die erforderlichen technischen und organisatorischen Maßnahmen (Art. 24 DS-GVO) und den Einsatz geeigneter Auftragsverarbeiter (Art. 28 DS-GVO). Weitere Dokumentationspflichten ergeben sich aus Art. 30 DS-GVO (Führung eines Verarbeitungsverzeichnisses) und Art. 33 DS-GVO (Dokumentation von Datenschutzvorfällen).
Hat eine Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der Schüler und Eltern, so muss die Schule künftig eine Datenschutz-Folgeabschätzung (Art. 35 DS-GVO) durchführen. Diese ist vom Verantwortlichen zu erstellen; der oder die Datenschutzbeauftragte hat hier nur noch eine beratende Funktion. Im Rahmen der Datenschutz-Folgeabschätzung sind unter anderem die Eintrittswahrscheinlichkeit und die Schwere der möglichen Risiken zu bewerten und Maßnahmen zur Eingrenzung der Risiken zu prüfen. Soweit erforderlich, muss die Schule zuvor die Aufsichtsbehörde konsultieren (Art. 36 DS-GVO).
Art. 25 DS-GVO regelt die Grundsätze des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen“. Demnach hat die Schule ihre IT-Systeme so auszugestalten, dass die Grundsätze des Art. 5 Abs. 1 DS-GVO (Grundsätze der Verarbeitung personenbezogener Daten) wirksam umgesetzt werden. Dies gilt insbesondere für das Gebot der Datenminimierung. Danach dürfen nur so viele Daten erhoben werden, wie zur Erfüllung des Zwecks benötigt sind. Zudem müssen IT-Systeme so voreingestellt werden, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden.
Das Instrument der Auftragsdatenverarbeitung bleibt bestehen (Art. 28 DS-GVO). Allerdings ändert sich die Rolle des Auftragsverarbeiters hinsichtlich einer möglichen eigenen Haftung und Bußgeldpflicht. Bestehende Verträge sollten möglichst zeitnah auf einen durch die DS-GVO ausgelösten Anpassungsbedarf überprüft werden.
Zudem wird durch Art. 82 DS-GVO die zivilrechtliche Haftung bei Datenschutzverstößen auch auf den Ersatz immaterieller Schäden erweitert.
Erstmals wird auch für öffentliche Stellen eine Melde- und Benachrichtigungspflicht eingeführt (Art. 33 ff DS-GVO).
Die Pflicht zu Bestellung einer oder eines Datenschutzbeauftragten sowie eines Vertreters bleibt für öffentliche Stellen und damit auch die Schulen zwingend erhalten (Art. 37 Abs. 1 DS-GVO). Dennoch ändert sich deren Rolle innerhalb der Schule: Während ihnen nach bisherigem Recht eine primär beratende und unterstützende Funktion im Hinblick auf die Einhaltung des Datenschutzes zukam, sieht Art. 39 Abs. 1 DS-GVO umfassende Pflichten zur Überwachung vor. Die eigentliche Umsetzungspflicht der datenschutzrechtlichen Vorgaben liegt jedoch nach wie vor bei der Schulleitung, welche einzelne Aufgaben delegieren kann.
Diese Einführung ist auf Basis des Textes „Schulen und die Datenschutz-Grundverordnung – was ändert sich?“ des Hessischen Beauftragten für Datenschutz und Informationsfreiheit entstanden. Für ausführlichere Informationen können Sie unter den folgenden Links recherchieren.
Weiterführende Links
„Datenschutzrechtliche Pflichten einer Schule nach der DS-GVO“ bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit
„28. Tätigkeitsbericht, Kapitel 11: Schulen und Hochschulen“ bei dem Bayerischen Landesbeauftragten für den Datenschutz
Themendossier „Schule“ bei dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit
„Hinweise zur Übermittlung personenbezogener Daten durch die Schule an andere Stellen“ bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit
„Hinweise zum schulischen Datenschutzbeauftragten nach Art. 37-39 DS-GVO“ bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit
„Meldepflicht bei Datenpannen (Artikel 33 und 34 DS-GVO)“ bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit
„Überprüfung der technischen und organisatorischen Maßnahmen an Schulen“ bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit
„Veröffentlichung von personenbezogenen Daten durch Schulen“ bei dem Bayerischen Landesbeauftragten für den Datenschutz
„Umsetzung der Datenschutz-Grundverordnung in den Schulen“ bei dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
„Schulen (FAQ)“ bei dem Bayerischen Landesbeauftragten für den Datenschutz
„Videoaufnahmen im Schulunterricht“ bei dem Bayerischen Landesbeauftragten für den Datenschutz
„Datenschutzrechtliche Anforderungen bei der Erstellung und Verwendung von Video- und Audiodateien an Schulen für wissenschaftliche und für Forschungszwecke“ bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit
„Erstellung und Verwendung von Schülerfotos“ bei dem Bayerischen Landesbeauftragten für den Datenschutz