Schulrecht : Was droht Lehrkräften bei Verstößen gegen den Datenschutz?

Deutsches Schulportal: Wann ist der Datenschutz in der Schule verletzt?
Thomas Böhm: Zu den größten Fehlern gehört die Erhebung, Speicherung und Verarbeitung von Eltern-, Schüler- und Lehrerdaten, die in den Vorgaben des jeweiligen Landes nicht aufgeführt sind, in die die Betroffenen gar nicht oder nicht wirksam eingewilligt haben und die zur Erfüllung des schulischen Auftrages nicht erforderlich sind. Für das, was „erforderlich“ ist, gilt ein strenger Maßstab, hinter dem die von Schulleitungen und Lehrkräften gelegentlich angeführte Nützlichkeit oder pädagogische Sinnhaftigkeit zurückbleibt. Zu den datenschutzrechtlich relevanten Fehlern gehören auch die Verwendung nicht sicherer Software oder die Nutzung datenschutzrechtlich nicht sicherer Übermittlungswege.

Darf der Vertretungsplan an der Schule zum Beispiel online einsehbar sein?
Die Zulässigkeit hängt von der Beschränkung der Zugangsmöglichkeiten und den übermittelten Daten ab. Er darf nicht für alle Schulangehörigen zugänglich sein, sondern nur für die von der Vertretung unmittelbar betroffenen Lehrkräfte, Schülerinnen und Schüler sowie Eltern. Im Vertretungsplan darf nicht der Vertretungsgrund angegeben sein, also zum Beispiel Krankheit oder Teilnahme an einer Fortbildung. Unterlassen sollte man möglichst auch die Angabe von Namen, es genügt, wenn deutlich ist, welches Fach entfällt und ob es eine fachbezogene Vertretung gibt oder stattdessen ein anderes Fach unterrichtet wird.

Die Nutzung privater Computer muss die Schulleitung genehmigen

Was gibt es zu beachten, wenn Schülerinnen und Schüler Leihgeräte nutzen?
In vielen Ländern gibt es Leihverträge und Nutzungsbedingungen, die von Schulträgern oder der Schulaufsicht als Muster zur Verfügung gestellt werden und die die Schulen ergänzen können. Es gibt auch von Schulen selbstständig entwickelte Leihverträge und Nutzungsbedingungen. In den Leihverträgen sollten beispielsweise die ausschließlich schulische Nutzung, die Haftung für Schäden und Verlust, das Verbot der Weitergabe an Dritte sowie die Verantwortlichkeit für die Geräte- und Datensicherheit geregelt sein. Zu den Nutzungsbedingungen gehört zum Beispiel das Verbot, verfassungsfeindliche, rassistische, gewaltverherrlichende oder pornografische Inhalte abzurufen, zu speichern oder zu verbreiten.

Und was ist mit dem Datenschutz, wenn Lehrkräfte ihre privaten Computer zu dienstlichen Zwecken verwenden?
Die Länder haben die Voraussetzungen für die Verarbeitung von Daten auf privaten digitalen Geräten der Lehrkräfte gesetzlich und in Vorschriften geregelt. Die Verarbeitung muss zur Erfüllung schulischer Aufgaben erforderlich sein, und es muss eine Genehmigung durch die Schulleitung vorliegen, für die es Vordrucke gibt, in denen die rechtlichen Vorgaben und die technischen Voraussetzungen aufgeführt sind, die erfüllt sein müssen. Einige der in den Genehmigungen genannten datenschutzrechtlichen und technischen Voraussetzungen sind aber nicht ohne Weiteres zu erfüllen. Lehrkräfte sollten daher darauf bestehen, dass ihnen ein dienstliches Gerät zur Verfügung gestellt wird.

Die meisten Lehrerinnen und Lehrer arbeiten auch zu Hause, korrigieren dort zum Beispiel Klassenarbeiten. Was heißt das für den Datenschutz?
Der Datenschutz gilt nicht nur für die elektronische, sondern auch für die analoge Datenverarbeitung. Die Klassenarbeiten müssen so aufbewahrt und bearbeitet werden, dass Dritte – dazu zählen auch andere Mitglieder des Haushaltes – keinen Zugang zu den Schülerdaten haben.

IT-Admin und Datenschutzbeauftragte sollten nicht dieselben Personen sein

Wer ist in der Schule verantwortlich dafür, dass der Datenschutz eingehalten wird?
Die Schulträger sind für die sächliche Ausstattung zuständig, zu der auch die IT–Ausstattung der Schulen gehört. Die Schulleitung ist als Leitung der Behörde Schule für die inneren Schulangelegenheiten zuständig. Zu diesen inneren schulischen Angelegenheiten gehört auch der Datenschutz. Die Schule ist nach den datenschutzrechtlichen Regelungen Verantwortlicher im Sinne der DSGVO, und sie wird von der Schulleitung vertreten. Die Schulleitung ist daher für die Einhaltung des Datenschutzes verantwortlich.

An vielen Schulen ist der IT-Admin zugleich auch der Datenschutzbeauftragte. Ist das erlaubt?
Datenschutzbeauftragte dürfen nicht mit Aufgaben betraut werden, die zu Interessenkonflikten führen können. Solche Interessenkonflikte kann es bei der gleichzeitigen Wahrnehmung der Aufgaben als IT-Admin und Datenschutzbeauftragter nach meiner Auffassung geben.

Muss ein Verstoß gegen den Datenschutz gemeldet werden, und wenn ja, wem muss er gemeldet werden?
Der für die Datenverarbeitung Verantwortliche, also in der Schule die Schulleitung, muss eine Datenschutzverletzung unverzüglich der zuständigen Aufsichtsbehörde – das ist in der Regel der Landesdatenschutzbeauftragte – melden, es sei denn, die Datenschutzverletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen. Zu melden sind also schwerwiegende Datenschutzverletzungen.

Schulleitungen und Lehrkräfte erfüllen sicherlich nicht die Voraussetzungen für Verstöße gegen den Datenschutz, die mit einer Freiheitsstrafe oder einer Geldstrafe geahndet werden.

Was ist ein Verstoß gegen den Datenschutz – eine Ordnungswidrigkeit, eine Straftat? Und was bedeutet das jeweils?
Verstöße gegen den Datenschutz können strafbar sein oder als Ordnungswidrigkeit mit Bußgeldern geahndet werden. Es sind Freiheitsstrafen bis zu drei Jahren oder Geldstrafen möglich, oder es können Bußgelder in geringer Höhe oder in Millionenhöhe ausgesprochen werden.

Mit welchen Konsequenzen müssen Lehrkräfte und Schulleitungen tatsächlich rechnen?
Schulleitungen und Lehrkräfte erfüllen sicherlich nicht die Voraussetzungen für Verstöße gegen den Datenschutz, die mit einer Freiheitsstrafe oder einer Geldstrafe geahndet werden. Sie müssten dann beispielsweise gewerbsmäßig handeln oder gegen Entgelt oder in der Absicht, sich zu bereichern oder andere zu schädigen.

Auch eine Geldbuße gegen Lehrkräfte oder Schulleitungen ist unwahrscheinlich, denn sie setzt vorsätzliches Handeln voraus. Schon an diesem Vorsatz wird es häufig fehlen. Außerdem erfolgt selbst bei einem vorsätzlichen Verstoß die Ahndung mit einer Geldbuße nicht zwangsläufig, sondern „kann“ lediglich erfolgen.

Gegen die Schule als Behörde können keine Bußgelder verhängt werden, da die DSGVO es den Mitgliedstaaten freistellt, ob und in welchem Umfang sie die Verhängung von Geldbußen gegen Behörden zulassen. Deutschland lässt Bußgelder gegen Behörden nicht zu.

Und möglich sind auch Schadensersatzansprüche nach der DSGVO oder dem BGB. Schadensersatzansprüche setzen einen materiellen oder immateriellen Schaden voraus und sind auch bei fahrlässigem Handeln möglich. In der Schule wird in der Regel kein Schaden vorliegen. Außerdem haften Lehrer und Schulleitungen für fahrlässig verursachte Schäden bei dienstlichen Tätigkeiten nicht.

Denkbar sind schließlich dienstrechtliche Konsequenzen. Die in den Gesetzen und Vorgaben der Länder für den Schulbereich enthaltenen Vorgaben zum Datenschutz sind in jedem Fall zu beachten. Die Schulaufsicht wird bei Verstößen vor allem mit Hinweisen und Weisungen reagieren und nur in schwerwiegenden Fällen und Uneinsichtigkeit mit disziplinarrechtlichen Maßnahmen.

Betroffene können sich bei Verstößen gegen den Datenschutz an die Schulaufsicht wenden

Wer prüft den Datenschutz an Schulen, und kann bei einem Verstoß gegen den Datenschutz gegen die Schule oder die Lehrkraft vorgehen?
Nach der DSGVO und den gesetzlichen Regelungen der Länder haben Eltern, Schülerinnen und Schüler sowie Lehrkräfte als Betroffene ein Recht auf Auskunft in Bezug auf ihre gespeicherten Daten, ein Recht auf Berichtigung und gegebenenfalls Löschung, sie können eine Einschränkung oder Unterlassung der Datenverarbeitung verlangen oder ihre Daten übertragen lassen.

Betroffene können sich an die behördlichen Datenschutzbeauftragten, die je nach Länderregelung für einzelne oder mehrere Schulen durch die Schulaufsicht bestellt werden, oder an die Landesdatenschutzbeauftragten wenden, und sie können sich bei der Schulaufsicht beschweren.

Soweit die Theorie – und wie werden Datenschutzverstöße im Kontext Schule in der Praxis, in der Rechtsprechung gehandhabt?
Wurde gegen den Datenschutz verstoßen, reagieren nach meinen Erfahrungen die Schulaufsicht und die Datenschutzbeauftragten angemessen, indem sie bei vorhandener Einsicht eine Weisung zur Änderung des schulischen Handelns oder Hinweise zu einer datenschutzrechtlich unbedenklichen Verfahrensweise erteilen. Ändert die Schule ihre Verfahrensweise, ist das Ziel erreicht, und es erübrigen sich weitere Schritte.

Aus der Rechtsprechung sind mir keine Verurteilungen von Lehrkräften oder Schulleitungen bekannt. Ich kenne auch keine Disziplinarverfahren oder Schadensersatzklagen gegen Schulleitungen und Lehrkräfte.