Schuldatenschutz Handreichung für den Datenschutz an Schulen

Die Online-Handreichung des Bayerischen Staatsministeriums für Unterricht und Kultus zum Datenschutz an Schulen in Bayern befindet sich im Aufbau. Sie soll den Umgang mit Datenschutzfragen an der Schule erleichtern und zum sicheren Umgang mit praxisrelevanten Fragestellungen beitragen. 

Die Handreichung wird sukzessive um weitere Beiträge zu allgemeinen Fragen des Datenschutztes, Praxisbeispiele und Arbeitshilfen erweitert. Es ist eine Überführung der Handreichung in eine Dokumentation ("Wiki") vorgesehen, die Sie dann unter der Adresse www.schuldatenschutz.bayern.de erreichen können.

- Sonderinformationen zur Aufrechterhaltung des Lernangebots im Rahmen der Corona-Pandemie -

Aufrechterhaltung des Lernangebots im Rahmen der Corona-Pandemie

Der Einsatz privater Geräte, z.B. bei der Unterrichtsvorbereitung, gehört für viele Lehrkräfte zum beruflichen Alltag. Für die Verarbeitung personenbezogener Daten ist ihr Einsatz aber nur ausnahmsweise zulässig. Die virusbedingten Einschränkungen im Schulalltag machen nun in deutlich größerem Umfang elektronische Kommunikation zwingend erforderlich.

Allgemeine Hinweise zum Einsatz digitaler Kommunikationswerkzeuge im Rahmen der Corona-Pandemie

Die Sonderinformation des Bayerischen Landesbeauftragten für den Datenschutz zum mobilen Arbeiten mit Privatgeräten zur Bewältigung der Corona-Pandemie wurden angesichts der Aufhebung des Katastrophenfalls in Bayern am 16. Juni 2020 nicht weiter verlängert.

Das bedeutet, dass angesichts des geplanten Übergangs zum Schulregelbetrieb die erleichterten Maßstäbe hinsichtlich der Nutzung von Privatgeräten nicht weiter gelten.

Insbesondere die Nutzung von Privatgeräten ist daher grundsätzlich auf das vor Corona übliche Maß unter Beachtung der datenschutzrechtlichen Regelungen zu reduzieren.

Bitte beachten Sie auch die diesbezüglichen Ausführungen des Bayerischen Landesbeauftragten für den Datenschutz, die Sie hier abrufen können.  Dies gilt insbesondere bei der Verarbeitung sensibler Daten wie Gesundheitsdaten (vgl. Art. 9 DSGVO; z.B. in der Schulberatung). Nutzen Sie hierfür nur Kommunikationswege, deren Absicherung (z.B. Ende-zu-Ende-Verschlüsselung) dem jeweiligen Schutzbedarf entspricht.

Achten Sie bitte ferner beim Einsatz von Messenger- oder Cloudlösungen auf Folgendes:

  • Verwenden Sie möglichst datenschutzfreundliche Produkte und Einstellungen;
  • Stellen Sie alternative Kommunikationswege zur Verfügung;
  • Beschränken Sie den Einsatz auf den erforderlichen Inhalt und Umfang – dadurch entlasten Sie nicht zuletzt auch die technische Infrastruktur;
  • Vorzugswürdig sind Angebote, die eine Datenverarbeitung im Auftrag der Schule (Art. 28 DSGVO, sog. „Auftragsverarbeitung“) vorsehen, bei der die Schule „Herr der Daten“ bleibt;
  • Achten Sie auf den Hinweis, dass der Hersteller keine Nutzerdaten an Dritte weitergibt;
  • Weisen Sie insbesondere im Kollegium alle Nutzerinnen und Nutzer darauf hin, dass eine Verarbeitung sensibler Daten (Art. 9 DSGVO: „rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung“) in der Regel unterbleiben sollte (bzgl. Gesundheitsdaten siehe hierzu die bereits genannten Sonderinformationen des Bayerischen Landesbeauftragten für den Datenschutz);
  • Weisen Sie insbesondere im Kollegium alle Nutzerinnen und Nutzer außerdem darauf hin, dass eine Nutzung des Angebots ausschließlich zu schulischen Zwecken zulässig ist;
  • Sperren Sie – i. d. R. nach vorheriger Androhung – Accounts, wenn Sie den Eindruck haben, dass diese von Unbefugten genutzt werden;
  • Werden personenbezogene Daten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeitet, ist auf die Voraussetzungen des Art. 44 ff. DSGVO zu achten (z.B. Angemessenheitsbeschluss der Europäischen Kommission).

Vom Staatsministerium bereitgestelltes digitales Kommunikationswerkzeug und alternative digitale Kommunikationswerkzeuge im Rahmen des "Lernen zuhause"

Da der Unterrichtsbetrieb auch in den letzten Schulwochen nicht unter Normalbedingungen stattfinden wird, bietet das Staatsministerium den weiterführenden Schulen die Möglichkeit des temporären Einsatzes von Microsoft Teams for Education als mebis-ergänzendes digitales Werkzeug. Die Nutzung des vom Staatsministerium bereitgestellten digitalen Kommunikationswerkzeugs einschließlich begleitender zentraler Supportdienstleistungen steht den Schulen frei. Schulen können bei Bedarf auch auf alternative digitale Kommunikationswerkzeuge zurückgreifen, sofern die rechtlichen Rahmenbedingungen eingehalten werden. Ausführliche Informationen zum Einsatz von Teams for Education und alternativer digitaler Kommunikationswerkzeuge finden Sie hier.

In den unten aufgeführten weiterführenden Hinweisen finden Sie eine Auflistung an Informationen im Zusammenhang mit der Einstellung des Unterrichtsbetriebs an Bayerns Schulen.

Grundlagen und Grundbegriffe

Geltungsbereich der Datenschutzbestimmungen

Die Datenschutz-Grundverordnung (DSGVO)

Abrufbar unter eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:02016R0679-20160504.

Der Datenschutz soll Menschen („natürliche Personen“) davor schützen, dass die Verarbeitung ihrer personenbezogenen Daten ihr Persönlichkeitsrecht unzulässig beeinträchtigt. Dies ist wesentliches Ziel der Datenschutz-Grundverordnung der Europäischen Union (DSGVO).

Die DSGVO gilt als europäische Verordnung in allen Mitgliedstaaten unmittelbar (vgl. Art. 2 Abs. 1 DSGVO). Sie hat Vorrang gegenüber dem nationalen Recht (Bundes- und Landesrecht), das verbleibende Regelungsspielräume insbesondere für Konkretisierungen nutzt. Daher gelten ergänzend zur DSGVO das Bundesdatenschutzgesetz - BDSG (für nicht öffentliche Stellen, z.B. Privatschulen), das Bayerische Datenschutzgesetz – BayDSG (für öffentliche Stellen, z.B. öffentliche Schulen, Schulverwaltung; siehe Ausführungen unter Bayerisches Datenschutzgesetz) und bereichsspezifische Sondervorschriften, z.B. das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG; siehe Ausführungen unter Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen) und die Bayerische Schulordnung (BaySchO; siehe Ausführungen unter Bayerische Schulordnung).

Die Vorschriften der DSGVO sind sowohl bei automatisierten als auch bei nichtautomatisierten Verarbeitungen personenbezogener Daten (vgl. Art. 2 Abs. 1 DSGVO, Art. 2 BayDSG) anzuwenden. Die Vorschriften gelten also unabhängig vom Speichermedium für personenbezogene Daten, die digital verarbeitet, für personenbezogene Daten, die in Akten, verarbeitet werden.

Für Daten, die nicht digital verarbeitet werden oder in einem Dateisystem (z.B. Schülerakte) gespeichert werden (sollen), gilt die DSGVO ohne die Vorschriften über das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), die Datenschutzfolgenabschätzung (Art. 35 DSGVO) und die vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

Zur DSGVO siehe insbesondere folgende Normen:

Art. 4              Begriffsbestimmungen

Art. 5              Grundsätze der Verarbeitung

Art. 6              Rechtmäßigkeit der Verarbeitung

Art. 24            Verantwortung des Verantwortlichen

Art. 25, 32     technische und organisatorische Maßnahmen zum Datenschutz

Art. 28             Auftragsverarbeiter

Art. 37            Datenschutzbeauftragter

Art. 44 – 49   Übermittlung personenbezogener Daten an Drittländer oder an eine  internationale Organisation

Weitere Erläuterungen zur DSGVO finden Sie auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz (abrufbar unter www.datenschutz-bayern.de). Dort finden Sie im Bereich Datenschutzreform 2018 unter dem Punkt Überblick auch einen Überblick zur DSGVO.

 

Bayerisches Datenschutzgesetz (BayDSG)

Abrufbar unter www.gesetze-bayern.de/Content/Document/BayDSG/true.

Das Bayerische Datenschutzgesetz (BayDSG) konkretisiert und ergänzt die Bestimmungen der Datenschutzgrundverordnung.

Bereichsspezifische Vorschriften über die Verarbeitung personenbezogener Daten, z.B. im Schulrecht, gehen den allgemeinen Vorschriften des BayDSG vor (Art. 1 Abs. 5 BayDSG). Siehe insbesondere unter Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG).

Zum BayDSG siehe insbesondere folgende Normen:

Art. 3              Verantwortlicher

Art. 6              Zweckbindung

Art. 9              Informationspflicht

Art. 10            Auskunftsrecht

Art. 11            Datengeheimnis

Art. 12            Behördliche Datenschutzbeauftragte

Art. 15-16      Landesbeauftragter für den Datenschutz

Art. 24           Videoüberwachung

Weitere Erläuterungen zum Bayerischen Datenschutzgesetz finden Sie in der Veröffentlichung "Das neue Bayerische Datenschutzgesetz – Ein Überblick“ auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz (abrufbar unter www.datenschutz-bayern.de/datenschutzreform2018/ unter dem Punkt Überblick).

 

Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG)

Abrufbar unter www.gesetze-bayern.de/Content/Document/BayEUG/true.

Im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) gibt es zahlreiche Vorschriften zur Verarbeitung personenbezogener Daten an Schulen. Diese Regelungen gehen den allgemeinen Bestimmungen des BayDSG (siehe dazu Bayerisches Datenschutzgesetz) vor. Große Bedeutung hat im Schulbereich die Generalklausel des Art. 85 Abs. 1 BayEUG. Für weitere Sondervorschriften siehe insbesondere Art. 31, 85 Abs. 1a, Art. 85 Abs. 2, Art. 85 Abs. 3, 88a, 111, 113a, 113b, 113c BayEUG.

 

Bayerische Schulordnung (BaySchO)

Abrufbar unter www.gesetze-bayern.de/Content/Document/BaySchO2016/true.

Die Schulordnungen enthalten zahlreiche Bestimmungen über personenbezogene Daten (z. B. zu Aufbewahrungsfristen, zum Anmeldeverfahren, zu den Aufnahmevoraussetzungen, zum Schülerbogen, zu Erhebungen). Siehe insbesondere die Regelungen zur Aufbewahrung von Schülerunterlagen in § 37 ff. der Schulordnung für schulartübergreifende Regelungen an Schulen in Bayern (Bayerische Schulordnung – BaySchO).

 

Weiterführende Hinweise:

Neue Datenschutzbestimmungen in der BaySchO

Seit 1. August 2019 ist der Rahmen für bestimmte Verfahren zur Verarbeitung personenbezogener Daten an Schulen neu geregelt.

Die bisher in der Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzgesetzes (Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG – DVBayDSG-KM) vom 23. März 2001 beschriebenen Verfahren wurden an den Rechtsstand der DSGVO angepasst und  inhaltlich weiterentwickelt, um auch künftig die Erfordernisses des Schulalltags und den Schutz der Persönlichkeitsrechte bestmöglich in Einklang zu bringen.

Um die Schulen beim Einsatz von Verfahren, die personenbezogene Daten verarbeiten, auch weiterhin von Prüf- und Verwaltungsaufwand zu entlasten, wurden die bislang in der Durchführungsverordnung geregelten Verfahren daher in die Bayerische Schulordnung (BaySchO) überführt, genauer gesagt in Anlage 2 zu § 46 BaySchO. Die frühere Regelung entfällt.

Die wichtigsten Änderungen

  • Ausbau des Verfahrens "Notenverwaltungsprogramm" zum "Elektronischen Notenbogen"
  • Neues Verfahren "Klassentagebuch"
  • Digitale Fehlzeitenerfassung im "schulinternen passwortgeschützten Bereich"
  • Erweiterter Nutzerkreis in "passwortgeschützten Lernplattformen"

Wie wirkt sich § 46 BaySchO mit Anlage 2 auf die Beurteilung der Zulässigkeit bestimmter Verfahren aus?

Nach § 46 Abs. 1 BaySchO dürfen Schulen personenbezogene Daten in Verfahren verarbeiten, die nach Zweck, Umfang und Art den in Anlage 2 zu § 46 BaySchO geregelten Vorgaben entsprechen.

Neben den Vorgaben in Anlage 2 sind zur Beurteilung der Zulässigkeit von Verfahren stets die Anforderungen aus anderen Gesetzen, insbesondere der DSGVO und des BayDSG zu beachten (vgl. § 46 Abs. 1 S. 2 BaySchO). § 46 Abs. 1 S. 1 BaySchO stellt nämlich keine Rechtsgrundlage für die Verarbeitung der in Anlage 2 genannten Daten dar, sondern bezieht sich auf den Einsatz bestimmter Verfahren, also das „Wie“ des Einsatzes. Die Rechtsgrundlage zur Verarbeitung der Daten (das „Ob“ des Einsatzes) muss sich – entsprechend den allgemeinen Grundsätzen –  aus einer Verarbeitungsbefugnis nach Art. 6 Abs. 1 DSGVO ergeben (z.B. aus Art. 85 Abs. 1 BayEUG oder einer Einwilligung; siehe Zulässigkeit der Datenverarbeitung - Allgemeines).

Beispiele:

Eine Schule will eine Lern-App im Unterricht einsetzen. Anlage 2 Nr. 4 zu § 46 BaySchO (passwortgeschützte Lernplattform) liefert der Schule Hinweise, ob der Einsatz dieser App problemlos möglich ist. Hält die App den Rahmen der Anlage 2 Nr. 4 ein (unter anderem die Kategorien der verarbeiteten Daten), kann die Schule die App ohne gesonderte Rechtfertigung einsetzen, wenn zusätzlich eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten vorliegt (in der Regel eine Einwilligung der betroffenen Schülerinnen und Schüler bzw. deren Erziehungsberechtigten; siehe Zulässigkeit der Datenverarbeitung - Einwilligung).

An einer Schule soll zum Schutz vor Vandalismus eine Videoüberwachung eingerichtet werden.
Auch wenn die Anlage nur in dem Umfang betrieben werden soll, der in Anlage 2 Nr. 6 zu § 46 BaySchO geregelt ist, muss die Erforderlichkeit der Überwachungsmaßnahme (§ 24 BayDSG) durch eine Dokumentation der Gefährdungslage ("Vorfallsdokumentation") nachgewiesen werden.

Wie ist mit Verfahren umzugehen, die sich aus mehreren Verfahren der Anlage 2 zusammensetzen oder sich nur auf Teile dieser Verfahren beschränken?

 § 46 Abs. 1 BaySchO ist auch bei Verfahren anzuwenden, die sich aus mehreren Verfahren der Anlage 2 zusammensetzen oder sich auf Teile dieser Verfahren beschränken. Voraussetzung hierfür ist, dass die Regelungen der einzelnen Verfahren, die für den jeweiligen Verarbeitungszweck vorgesehen sind (vgl. die Nummern in Anlage 2), eingehalten werden (§ 46 Abs. 2 BaySchO). Das heißt, die Beurteilung von Verfahren nach Anlage 2 ist grundsätzlich auch dann möglich, wenn es sich um komplexere Schulverwaltungsprogramme handelt oder um Softwareprodukte mit überschneidenden Funktionalitäten.

 

Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).

Dies ist bei einer Datenverarbeitung durch die Schule und ihre Organe bzw. ihre Bediensteten und Beschäftigten (insbesondere Lehrkräfte) stets die jeweilige Schule.

Deshalb trägt die Schulleiterin bzw. der Schulleiter eine besondere Verantwortung für den Datenschutz an der Schule. Sie bzw. er muss die Einhaltung des Datenschutzes an der Schule auch durch geeignete organisatorische Maßnahmen sicherstellen. Hierbei wird sie bzw. er durch den oder die Datenschutzbeauftragten an der Schule bzw. am Schulamt und durch die Multiplikatoren für den Datenschutz an den Dienststellen der Ministerialbeauftragten bzw. an den Regierungen unterstützt. Weiterhin stellt das Staatsministerium für Unterricht und Kultus Material zur Verfügung, dass den Schulen die Umsetzung der Datenschutzbestimmungen erleichtert (z.B. Muster für Datenschutzhinweise im Internetauftritt der Schulen und Musterformulare zur Einwilligung in die Veröffentlichung von personenbezogenen Daten)

Auch bei einer Datenverarbeitung durch die Organe der Schule (z.B. Elternbeirat oder Schülermitverantwortung) ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung grundsätzlich die Schule und nicht das Organ (z.B. der Elternbeirat) oder seine einzelnen Mitglieder (z.B. die Elternbeiratsmitglieder).

Personenbezogene Daten

Die Datenschutz-Grundverordnung (DSGVO) gilt für die Verarbeitung von personenbezogenen Daten (Art. 2 Abs. 1 DSGVO; vgl. auch Art. 2 BayDSG).

Personenbezogene Daten im Sinne der Datenschutz-Grundverordnung sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ (Art. 4 Nr. 1 DSGVO)

Personenbezogen sind Daten also nicht nur dann, wenn eine natürliche Person direkt anhand bestimmter Daten (z.B. des Namens) bestimmt werden kann. Es genügt dabei, wenn eine Person indirekt anhand besonderer Merkmale, zum Beispiel Handschrift, Standortdaten oder IP-Adresse identifiziert werden kann. Bei der Feststellung, ob eine Identifizierung möglich ist, sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um eine natürliche Person zu bestimmen.

Daraus ergibt sich, dass eine Pseudonymisierung (Art. 4 Nr. 5 DSGVO) den Personenbezug grundsätzlich nicht entfallen lässt. Bei einer Pseudonymisierung kann der Verantwortliche oder ein beliebiger Dritter die betroffene Person nämlich durch zusätzliche Informationen (z.B. einer Kennnummer) identifizieren. Auch auf pseudonymisierte Daten ist die DSGVO daher grundsätzlich anwendbar.

Anonym sind Daten nur, wenn sie sich auch zusammen mit zusätzlichen Informationen keiner bestimmten Person zuordnen lassen.

Für den Personenbezug ist unbeachtlich, welches Speichermedium verwendet wird (Papier, Festplatte, DVD) und ob das Verfahren automatisiert oder händisch ist.

Beispiele für personenbezogene Daten, die an der Schule verarbeitet werden, finden sich in deren Datenschutzhinweisen (siehe hierzu die Ausführungen unter Datenschutzhinweise im Internetauftritt für Schulen in dieser Handreichung).

(vgl. auch die Muster-Datenschutzhinweise für Schulen).

Zulässigkeit der Datenverarbeitung

Allgemeines

Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine Rechtsgrundlage für die Verarbeitung vorliegt (vgl. Art. 6 Abs. 1 DSGVO). Die Datenverarbeitung muss also durch eine Rechtsvorschrift erlaubt oder angeordnet sein (z.B. durch Art. 85 Abs. 1 S. 1 BayEUG) oder die betroffene Person muss in die Verarbeitung wirksam eingewilligt haben (vgl. Art. 6 Abs. 1 DSGVO).

Neben dem Vorliegen einer Rechtsgrundlage müssen im Rahmen der Zulässigkeit einer Datenverarbeitung stets die Grundsätze des Art. 5 DSGVO eingehalten werden. Zu beachten sind hier insbesondere der Grundsatz der Zweckbindung, der Datenminimierung und der Transparenz (siehe dortige Ausführungen).

Weiterführende Hinweise:

Erforderlichkeit

Der Grundsatz der Erforderlichkeit ist einer der zentralen Grundsätze des Datenschutzes.

Nach Art. 85 Abs. 1 S. 1 BayEUG dürfen Schulen die zur Erfüllung ihnen durch Rechtsvorschrift zugewiesenen Aufgaben erforderlichen Daten verarbeiten.  Ob eine Datenverarbeitung zur Aufgabenerfüllung der Schule erforderlich ist, muss in jedem Einzelfall mit Blick auf die konkret zugewiesene Aufgabe beurteilt werden.

Die Aufgabenzuweisung ergibt sich aus den einschlägigen Spezialregelungen, vor allem dem BayEUG, den Schulordnungen, dem Bayerischen Schulfinanzierungsgesetz (BaySchFG), dem Bayerischen Beamtengesetz (BayBG), dem Beamtenstatusgesetz (BeamtStG), etc. In den Rechtsvorschriften müssen die zur Verarbeitung zulässigen Daten nicht einzeln aufgeführt sein. Dies darf jedoch nicht dazu führen, dass wahllos Daten verarbeitet werden, die an der Schule vielleicht irgendwann einmal zur Erfüllung ihrer Aufgaben benötigt werden könnten - das wäre eine unzulässige Datensammlung auf Vorrat. Die Schulen haben vielmehr bei jedem Datum konkret zu prüfen, auf Grundlage welcher Rechtsvorschrift im Einzelnen seine Verarbeitung zulässig ist und ob seine Verarbeitung für die Erfüllung der Aufgabe der Schule schon jetzt tatsächlich erforderlich ist.

Einwilligung

Ohne eine ausdrückliche Befugnis durch eine Rechtsvorschrift (z.B. Art. 85 Abs. 1 S. 1 BayEUG) dürfen personenbezogene Daten nur verarbeitet werden, wenn die betroffene Person wirksam eingewilligt hat (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst a DSGVO).

Der Begriff der Einwilligung ist in Art. 4 Nr. 11 DSGVO definiert:

„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Eine wirksame Einwilligung muss folgende Voraussetzungen erfüllen (siehe auch Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO):

  • sie muss freiwillig sein: die betroffenen Personen müssen eine echte und freie Wahl haben, ihre Zustimmung zu erteilen, ohne dass ein (sozialer) Druck entsteht; bei der Einholung von Einwilligungen für den Unterricht ist die Freiwilligkeit aufgrund der Schulpflicht der Schülerinnen und Schüler kritisch; daher ist sicherzustellen, dass diese keinem faktischen Druck ausgesetzt sind, zuzustimmen; Nichtzustimmende dürfen keine Nachteile haben, insbesondere nicht in eine andere Klasse versetzt oder vom Unterricht ausgeschlossen werden (Beschulungsrecht der Schülerinnen und Schüler)
  • sie muss informiert erfolgen; insbesondere müssen betroffene Personen wissen, dass und in welchem Umfang die Einwilligung erteilt wird, wer verantwortlich ist, zu welchem Zweck die Daten verarbeitet werden und bei einer Übermittlung der Daten an Dritte weitere Punkte hierzu;
  • sie muss sich auf einen oder mehrere bestimmte Zwecke beziehen (Zweckbindung);
  • sie muss sich auf eine bestimmte Verarbeitung beziehen, insbesondere auf alle Schritte der Datenverarbeitung (z.B. nicht nur auf die Erhebung der Daten, sondern auch auf die Veröffentlichung);
  • sie muss jederzeit, mit Wirkung für die Zukunft widerrufen werden können (Widerrufsrecht); über die Möglichkeit des Widerrufs ist in der Einwilligung zu informieren;
  • aus Gründen der Nachweispflicht der Schule sollte eine Einwilligung nur schriftlich eingeholt werden (vgl. Art. 7 Abs. 1 DSGVO).

Bei minderjährigen Schülerinnen und Schülern bis zur Vollendung des 14. Lebensjahres muss mindestens eine erziehungsberechtigte Person einwilligen, bei minderjährigen Schülerinnen und Schülern ab Vollendung des 14. Lebensjahres zusätzlich diese selbst.

Im schulischen Bereich sollte eine Einwilligung der Schülerinnen und Schüler nur eingeholt werden, wenn die Verarbeitung der personenbezogenen Daten in den schulischen Aufgabenbereich fällt und einen Bezug zu schulischen Aufgaben hat. Dabei haben Schulen stets zu berücksichtigen, dass die Voraussetzungen der vom Gesetzgeber verfassten Rechtsgrundlagen zur Datenverarbeitung (insbesondere Art. 85 Abs. 1 S. 1 BayEUG) nicht beliebig durch die Einholung einer Einwilligung umgangen werden dürfen. Je tiefer der schulische Eingriff in die Rechte der betroffenen Personen ist, desto eher verbietet sich das Einholen einer Einwilligung.

Musterformulare zur Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) im Rahmen der Öffentlichkeitsarbeit der Schule; für staatliche Schulen verbindlich:

Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürften nicht für andere Zwecke weiterverarbeitet werden, die mit diesen Zwecken unvereinbar sind („Zweckbindung“, Art. 5 Abs. 1 Buchst. b DSGVO).

Daher legen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten meist ausdrücklich einen bestimmten Zweck fest. Die Schulen dürfen auf Grundlage von Art. 85 Abs. 1 S. 1 BayEUG zum Beispiel die personenbezogenen Daten nur zur Erfüllung der Aufgaben verarbeiten, die ihnen durch Rechtsvorschriften zugewiesen sind.

Auch eine Einwilligung in die Verarbeitung personenbezogener Daten ist immer an bestimmte Zwecke gebunden.

Datenminimierung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn sie für den Zweck der Verarbeitung angemessen und erheblich sind und die Verarbeitung auf das notwendige Maß beschränkt ist („Grundsatz der Datenminimierung“; Art. 5 Abs. 1 Buchst. c DSGVO).

Personenbezogene Daten dürfen insbesondere nur dann verarbeitet werden, wenn sich der Zweck der Verarbeitung nicht auf andere zumutbare Weise erreichen lässt (vgl. DSGVO, EG 39).

Lässt sich der Verarbeitungszweck z.B. in zumutbarer Weise auch durch eine anonyme Verarbeitung von Daten erreichen, ist diese Form der Verarbeitung einer personenbezogenen Verarbeitung vorzuziehen.

Transparenz

Für die betroffene Person muss nachvollziehbar sein, wie ihre Daten verarbeitet werden („Grundsatz der Transparenz“, Art. 5 Abs. 1 Buchst. a DSGVO). Alle Informationen zur Verarbeitung personenbezogener Daten sollen leicht zugänglich, verständlich und in klarer und einfacher Sprache verfasst sein (DSGVO, EG 39). Nur so können betroffene Personen die Verarbeitung ihrer Daten überprüfen und ihre Betroffenenrechte ausüben.

Aus dem Grundsatz der Transparenz ergeben sich unter anderem die Informationspflichten des Verantwortlichen nach Art. 13 bzw. Art. 14 DSGVO (siehe dazu die Ausführungen unter Informationspflichten in dieser Handreichung).

Informationspflichten

Allgemeines

Der Verantwortliche muss personenbezogene Daten transparent verarbeiten (siehe oben unter Transparenz). Aus diesem Transparenz-Grundsatz ergeben sich die Informationspflichten des Verantwortlichen nach Art. 13 bzw. Art. 14 DSGVO. Die Informationspflichten werden in der Praxis in der Regel durch Bereitstellung sog. „Datenschutzhinweise“ erfüllt (vgl. das vom Staatsministerium für Unterricht und Kultus zur Verfügung gestellte Muster für Datenschutzhinweise im Internetauftritt staatlicher Schulen in Bayern und die Anwendungshinweise hierzu; siehe dazu unten unter Datenschutzhinweise im Internetauftritt staatlicher Schulen).

Den Nachweis der Erfüllung der Informationspflichten hat die Schule als verantwortliche Stelle zu erbringen.

Weiterführende Hinweise:

Wann muss informiert werden?

Die Informationspflichten werden in drei Fällen ausgelöst:

  • personenbezogene Daten werden direkt bei der betroffenen Person erhoben (Art. 13 DSGVO)
  • personenbezogene Daten werden nicht bei der betroffenen Person erhoben (also z.B. bei Dritten oder aus öffentlich zugänglichen Quellen, Art. 14 DSGVO)
  • der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten beim Betroffenen erhoben wurden (Art. 13 Abs. 3 DSGVO) oder sonst erlangt wurden (Art. 14 Abs. 4 DSGVO)

Erfolgt eine Erhebung bei der betroffenen Person, sind die Informationen zum Zeitpunkt der Erhebung mitzuteilen (z.B. auf dem Erhebungsformular). Bei Erhebung personenbezogener Daten nicht bei der betroffenen Person sind die Informationen innerhalb einer angemessenen Frist, spätestens innerhalb eines Monats, bereitzustellen. Bei beabsichtigter Zweckänderung ist die betroffene Person vorab zu informieren (Art. 13 Abs. 3 DSGVO).

Worüber muss informiert werden?

Der Inhalt der Informationspflichten ergibt sich aus Art. 13 Abs. 1 und Abs. 2 DSGVO.

Die verantwortliche Schule hat demnach insbesondere Name und Kontaktdaten der Schule, die Kontaktdaten des örtlichen Datenschutzbeauftragten der Schule, Rechtsgrundlage und Zweck der Verarbeitung, sowie etwaige Empfänger von Daten anzugeben (vgl. im Übrigen Art. 13 Abs. 1 DSGVO). Zur Sicherstellung einer transparenten Verarbeitung sind stets auch die Informationen des Art. 13 Abs. 2 DSGVO anzugeben, z.B. die konkrete Speicherdauer der Daten, die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde. Diejenigen Informationen, die der betroffenen Person bereits bereitgestellt worden sind, z.B. im Rahmen der Einschulung, können später als bekannt vorausgesetzt werden (vgl. Art. 13 Abs. 4 DSGVO und die Anwendungshinweise zum Muster für Datenschutzhinweise im Internetauftritt staatlicher Schulen in Bayern).

Bei einer Zweckänderung sind Informationen über den anderen Zweck und alle weiteren maßgeblichen Informationen bereitzustellen (Art. 13 Abs. 3 DSGVO).

Wie werden die Informationspflichten umgesetzt?

Die verantwortliche Schule muss die Informationen den betroffenen Personen in leicht zugänglicher Form zur Verfügung stellen. Hierfür gibt es grundsätzlich zwei Möglichkeiten:

1. Vollständige Information auf dem Erhebungsformular

Die Schule kann die Informationen direkt und vollständig auf dem Erhebungsformular bereitstellen

2. Aufteilen der Informationen in Grundinformationen und weitergehende Informationen

Die Informationen müssen in der Regel nicht vollständig im Erhebungsformular aufgeführt werden, sondern können auch wie folgt aufgeteilt werden:

  • in Grundinformationen, die die Schule direkt auf dem Erhebungsformular bereitstellt (z.B. Verantwortlicher, Verarbeitungszweck, Rechtsgrundlage, Empfänger der Daten, Speicherfristen) und

  • in weitergehende Informationen, die die Schule in ihren Datenschutzhinweisen im Internetauftritt zur Verfügung stellt (z.B. Kontaktdaten der bzw. des Datenschutzbeauftragten, Betroffenenrechte, Beschwerderecht bei der Aufsichtsbehörde)

    Werden die weitergehenden Informationen durch einen Verweis auf Datenschutzhinweise im Internetauftritt bereitgestellt, hat die Schule den betroffenen Personen mitzuteilen, wo genau im Internet die Informationen zum Datenschutz eingesehen werden können. Sie hat den betroffenen Personen also entweder einen Direktlink auf die Datenschutzhinweise im Internetauftritt oder einen einfach zu befolgenden Navigationshinweis zur Verfügung zu stellen. Für den Verweis kann z.B. folgender Satz gewählt werden:

    „Ergänzende Hinweise zum Datenschutz finden Sie unter https://www.musterschulexy.de/datenschutzerklaerung.“

    Im Falle eines „Medienbruchs“, wenn also Datenerhebung und Informationen nach Art. 13 DSGVO mittels unterschiedlicher Medien erfolgen sollen, hat die verantwortliche Schule betroffenen Personen in der Regel alternative Möglichkeiten für den Bezug der Informationen aufzuzeigen, um die Informationen leicht zugänglich zu machen. Will eine Schule Daten z.B. auf dem Papierweg erheben, werden die Informationen aber auf einem anderen Medium (Homepage) bereitgestellt, kann nicht davon ausgegangen werden, dass jede betroffene Person die Informationen über einen Internetzugang abrufen kann. Daher muss die Schule in solchen Fällen zusätzlich zur Online-Bereitstellung noch eine alternative Bezugsmöglichkeit der Informationen vorsehen (z.B. die Möglichkeit, einen entsprechenden Abdruck der Informationen bei einem benannten Ansprechpartner anzufordern).

    Formulierungsbeispiel für den Fall eines oben geschilderten Medienbruchs (Datenerhebung mittels eines Papierformulars und Bereitstellung der Datenschutzhinweise auf der Homepage):

    „Ergänzende Hinweise zum Datenschutz finden Sie unter https://www.musterschulexy.de/datenschutzerklaerung oder können Sie bei Person x unter den oben angegebenen Kontaktdaten der Schule anfordern.“

    Damit staatliche Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können, stellt das Staatsministerium für Unterricht und Kultus ihnen ein verbindliches Muster für Datenschutzhinweise im Internetauftritt zur Verfügung (siehe Ausführungen unten unter Datenschutzhinweise im Internetauftritt staatlicher Schulen).

Datenschutzhinweise im Internetauftritt staatlicher Schulen

Damit die Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können (siehe oben unter Informationspflichten ), stellt das Staatsministerium für Unterricht und Kultus ein Muster für Datenschutzhinweise im Internetauftritt zur Verfügung. Wenn die Schule das Muster an die Verhältnisse vor Ort anpasst und auf ihrer Homepage einstellt, erfüllt sie damit ihre Informationspflichten für die an allen Schulen üblichen Datenverarbeitungen.

Für Datenverarbeitungen, die nicht von dem Muster erfasst sind, können die Datenschutzhinweise ergänzt werden.

Bei Bedarf kann die Schule gesonderte, auf den Einzelfall angepasste Informationen nach Art. 13 DSGVO bereitstellen und ergänzend auf ihre allgemeienn Datenschutzhinweise verweisen. Dabei empfiehlt es sich, Informationen in Grundinformationen und weitergehende Informationen aufzuteilen (für genaue Erläuterungen siehe oben unter Informationspflichten). So wird es sich z.B. im Rahmen einer Anmeldung zur Klassenfahrt in der Regel anbieten, Informationen zum Verantwortlichen, zum Verarbeitungszweck, zur Rechtsgrundlage der Verarbeitung, zu etwaigen Empfängern der Daten und zu Speicherfristen im Anmeldeformular selbst darzustellen (Grundinformationen) und im Übrigen (z.B. Kontaktdaten der bzw. des Datenschutzbeauftragten, Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde) auf das Muster im Internetauftritt der Schule zu verweisen (weitergehende Informationen).

Abrufbar ist das Muster mit den Anwendungsvorgaben in dieser Handreichung unter Formulare und Muster - Muster-Datenschutzhinweise für Schulen.

Für staatliche Schulen ist das Muster verbindlich, kommunalen und privaten Schulen wird eine Orientierung an diesem Muster empfohlen.

Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten ("Datenpannen")

Allgemeines

Bei einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) besteht nach Maßgabe von Art. 33 DSGVO gegenüber der Datenschutzaufsichtsbehörde eine Meldepflicht und nach Maßgabe von Art. 34 DSGVO  gegenüber der betroffenen Person (Art. 34 DSGVO) eine  Benachrichtigungspflicht.

Nach Art. 4 Nr. 12 DSGVO liegt eine Verletzung des Schutzes personenbezogener Daten vor, wenn eine Verletzung der Sicherheit zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Auch unbeabsichtigte Verletzungen können zur Meldung verpflichten.

Weiterführende Hinweise:

Meldung an die Datenschutzaufsichtsbehörde (Art. 33 DSGVO)

Eine Verletzung des Schutzes personenbezogener Daten ("Datenpanne") an öffentlichen (staatlichen und kommunalen) Schulen in Bayern muss unter den Voraussetzungen des Art. 33 DSGVO dem Bayerischen Landesbeauftragten für den Datenschutz als zuständige Datenschutzaufsichtsbehörde gemeldet werden. Eine Meldung ist nicht erforderlich, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Wann ein Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt, hängt vom Einzelfall ab. Ein meldepflichtiges Risiko besteht insbesondere, wenn die "Datenpanne" zu erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, beispielsweise zu Diskriminierung, Identitätsdiebstahl oder -betrug, unbefugter Aufhebung der Pseudonymisierung, Rufschädigung oder Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten (vgl. Erwägungsgrund 85).

Beispiel:

Die im Rahmen der Impfberatung an einer Schule eingesammelten Impfausweise gehen verloren.

Die Meldung an die Aufsichtsbehörde muss alle Informationen nach Art. 33 Abs. 3 DSGVO enthalten, also insbesondere eine Beschreibung der Art der Verletzung und die ungefähre Anzahl an betroffenen Personen.

Außerdem hat die Meldung unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, zu erfolgen. Erfolgt die Meldung nicht innerhalb von 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen (Art. 33 Abs. 1 Satz 2 DSGVO).

Zusätzlich zur Meldepflicht besteht eine Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO. Hiernach hat die verantwortliche Schule Verletzungen des Schutzes personenbezogener Daten, alle damit zusammenhängenden Fakten, die Auswirkungen und die ergriffenen Abhilfemaßnahmen zu dokumentieren.

Der Bayerische Landesbeauftragte für den Datenschutz hat ein Online-Meldeformular bereitgestellt, das die nötigen Angaben enthält und dessen Benutzung den bayerischen öffentlichen Stellen daher empfohlen wird:

Meldung an die betroffene Person (Art. 34 DSGVO)

Hat die Verletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss gemäß Art. 34 DSGVO neben der Meldung an die Datenschutzaufsichtsbehörde auch die betroffene Person benachrichtigt werden. Auch hier ist zur Bewertung des Risikos eine Einzelfallbeurteilung erforderlich (vergleiche oben). Durch die Wahl des Begriffs „hohes Risiko“ wird klar, dass nicht schon bei jeder Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) auch eine Meldung an den Betroffenen (Art. 34 DSGVO) erforderlich ist. Vielmehr muss das Risiko im Rahmen des Art. 34 DSGVO schwerer wiegen als das „einfache“ Risiko im Rahmen des Art. 33 DSGVO.

Die Benachrichtigung an die betroffene Person muss in klarer und einfacher Sprache erfolgen und die in Art. 34 Abs. 2 DSGVO aufgeführten Informationen enthalten. Art. 34 Abs. 3 DSGVO zählt Bedingungen auf, unter denen keine Benachrichtigung erforderlich ist.

Die Benachrichtigung der betroffenen Person hat unverzüglich zu erfolgen. Weitere Aussagen zur Meldefrist werden in Art. 34 DSGVO nicht getroffen. Erwägungsgrund 86 führt jedoch aus, dass die Meldung an den Betroffenen stets so schnell wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde, erfolgen soll. Beispielsweise kann zur Minderung des Risikos eines unmittelbaren Schadens eine sofortige Benachrichtigung erforderlich sein. In weniger akuten Fällen kann auch eine längere Frist gerechtfertigt sein.

Formulare und Muster

Musterformulare zur Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos)

Das Staatsministerium für Unterricht und Kultus stellt staatlichen Schulen verbindliche Musterformulare zur Einholung von Einwilligungen  in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) im Rahmen der Öffentlichkeitsarbeit der jeweiligen Schule zur Verfügung (siehe oben unter Einwilligung). Die Formulare sind für neue Einwilligungen stets in der jeweils aktuellsten vorliegenden Fassung zu verwenden; bestehende Einwilligungen auf älteren Formularen bleiben grundsätzlich wirksam.

Kommunalen und privaten Schulen wird empfohlen, sich an den Mustern für staatliche Schulen zu orientieren.

Eine Abänderung der vom Staatsministerium zur Verfügung gestellten Mustereinwilligungserklärungen durch die Schulen ist, abgesehen von den vorgegebenen Optionen wie Angabe der Schulhomepage, nicht vorgesehen.

Soweit Sachverhalte nicht von den Mustern erfasst sind, kann die Schule in eigener Verantwortung Einwilligungen im Einzelfall einholen. Hierbei sind die Voraussetzungen und Maßgaben unter dem Punkt Einwilligung in dieser Handreichung zu beachten, insbesondere sollte eine Einwilligung im schulischen Bereich nur eingeholt werden, wenn die Verarbeitung der personenbezogenen Daten in den schulischen Aufgabenbereich fällt und einen Bezug zu schulischen Aufgaben hat.

Die Einwilligung muss aktiv erklärt werden sein. Stillschweigen ist keine Einwilligung. Aus diesem Grund müssen Schülerinnen und Schüler, die das 14. bzw. 18. Lebensjahr vollenden, die nunmehr von ihnen benötigte Einwilligung aktiv erteilen.

Muster-Datenschutzhinweise für Schulen

Wie alle anderen "Verantwortlichen" im Sinne der Datenschutz-Grundverordnung (DSGVO) müssen auch die Schulen darüber informieren, wie sie personenbezogene Daten verarbeiten.

Das hier als Download bereitgestellte Muster für Online-Datenschutzhinweiese staatliche Schulen ist mit dem Bayerischen Landesbeauftragten für den Datenschutz abgestimmt. Es weist auf die wesentlichen Datenverarbeitungen im Schulbetrieb hin und hilft den Schulen, rechtssicher ihrer Informationspflicht nach Art. 13 Datenschutzgrundverordnung (DSGVO) nachzukommen. Die beigefügten Anwendungsvorgaben sind zu beachten. Die Datenschutzhinweise ersetzen nicht das Impressum nach § 5 Telemediengesetz (TMG).

Den kommunalen und den staatlich anerkannten Schulen gemäß Art. 100 BayEUG wird empfohlen, sich an dem Muster für staatliche Schulen zu orientieren.

Datenschutz-FAQ

Betroffenenrechte der DSGVO

Auskunftsrecht nach Art. 15 DSGVO

Informationen zum Umgang mit dem Auskunftsrecht nach Art. 15 DSGVO finden Sie  in der folgenden Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz:

Identifizierung bei der Geltendmachung von Betroffenenrechten

Macht ein Antragsteller bzw. eine Antragstellerin ein Betroffenenrecht der DSGVO geltend, ist nicht immer klar, ob es sich bei dieser Person tatsächlich um die betroffene Person im Sinne der Art. 12 ff. DSGVO handelt. Zur Identifizierung des Antragstellers bzw. der Antragstellerin können daher ggf. weitere Maßnahmen erforderlich sein. Genauere Ausführungen hierzu finden Sie auf der Homepage des Bayerischen Landesbeauftragten für den Datenschutz.

Weiterführende Hinweise:

Datenschutzbeauftragter der Schule

Muss für jede Schule ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte bestellt werden?

Bereits bisher sind für alle staatlichen Schulen Datenschutzbeauftragte bestellt, die für eine oder mehrere Schulen zuständig sind. Weitere Ausführungen zu dem behördlichen Datenschutzbeauftragten an öffentlichen Stellen, insbesondere zu dessen Aufgaben, finden Sie in der Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz.

Weiterführende Hinweise:

Elternbeirat

Wer ist für die Einhaltung des Datenschutzes im Elternbeirat „Verantwortlicher"?

Der Elternbeirat, wie ihn das Schulrecht vorsieht ist ein Organ der Schule (Art. 64 ff. BayEUG). „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung (DSGVO) ist damit die Schule, nicht der oder die Elternbeiratsvorsitzende.  Für den gewissenhaften Umgang mit den ihnen anvertrauten Daten sind, wie schon bisher, im Rahmen ihrer Aufgaben die Mitglieder des Elternbeirats verantwortlich.

Von der Arbeit des Elternbeirats zu unterscheiden ist der private Austausch unter Erziehungsberechtigten, auf den die DSGVO keine Anwendung findet.

Müssen Elternbeiratsmitglieder Geldbußen nach der DSGVO fürchten?

Die DSGVO sieht zwar erhebliche Geldbußen vor. Diese richten sich aber - soweit sie überhaupt auf Schulen anwendbar sind - nicht gegen einzelne Personen, sondern gegen "Verantwortliche", also die Schule selbst.

Förderverein

Welche Konsequenzen ergeben sich aus der DSGVO für den Förderverein?

Fördervereine stehen außerhalb der schulischen Organisation. Informationen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) im Verein finden Sie auf der Homepage des Bayerischen Landesamts für Datenschutzaufsicht unter www.lda.bayern.de/de/datenschutz_eu.html.

Wer ist „Verantwortlicher“ eines Fördervereins etc.?

Fördervereine und andere Vereine im schulischen Umfeld sind von der Schule getrennte Einrichtungen, die selbst datenschutzrechtlich verantwortlich sind.

Das Landesamt für Datenschutzaufsicht hält für Vereine ein vielfältiges Beratungsangebot bereit.

Muss der Förderverein einer Schule einen eigenen Datenschutzbeauftragten bestellen?

Fördervereine von Schulen sind von den Vorgaben der DSGVO nicht anders betroffen als andere Vereine.

In der Regel – weniger als 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten, keine Verarbeitung sensibler Daten als Kerntätigkeit – ist die Bestellung eines Datenschutzbeauftragten nicht erforderlich.

Geldbußen nach der DSGVO

Müssen Lehrkräfte und Elternbeiratsmitglieder Geldbußen nach der DSGVO fürchten?

Einzelne Lehrkräfte und Elternbeiratsmitglieder müssen keine Geldbußen nach der Datenschutz-Grundverordnung (DSGVO) fürchten. Die DSGVO sieht zwar erhebliche Geldbußen vor. Diese richten sich aber - soweit sie überhaupt auf Schulen anwendbar sind - nicht gegen einzelne Personen, sondern gegen "Verantwortliche", also die Schule selbst.

Internetauftritt der Schule

Wie kommen Schulen im Rahmen ihres Internetauftritts ihren nach der DSGVO erforderlichen Informationspflichten nach?

Damit staatliche Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können, stellt das Staatsministerium für Unterricht und Kultus ihnen ein verbindliches Muster für Datenschutzhinweise im Internetauftritt zur Verfügung (siehe Ausführungen unter Datenschutzhinweise im Internetauftritt staatlicher Schulen).

Steigt durch die DSGVO für Schulen die Gefahr von Abmahnungen wegen ihres Internetauftritts?

Die neuen Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) verlangen eine Ergänzung der bisher schon erforderlichen Datenschutzerklärung im Internetauftritt von Schulen. In diesem Zusammenhang ist immer wieder die Sorge vor "Abmahnwellen" zu vernehmen.

Solche Abmahnungen sind in aller Regel mit Vorschriften aus dem Gebiet des Verbraucherschutzes oder des Wettbewerbsrechts begründet, die die Schulen nicht betreffen. Schulen müssen daher grundsätzlich derartige Abmahnungen nicht fürchten.

An der Notwendigkeit eines datenschutzkonformen Internetauftritts ändert das nichts! Wer die Vorgaben der DSGVO noch nicht umgesetzt hat, sollte das schnellstens nachholen - auch ohne Abmahnung.

Private Schulen

Wer ist „Verantwortlicher“ bei einer privaten oder kirchlichen Schule?

Verantwortlich für die Datenverarbeitung zur Erfüllung der schulischen Aufgaben sind die jeweiligen Schulen, vertreten durch die Schulleitung.

Welche Stelle ist für die Datenschutzaufsicht über private Schulen zuständig?

Bei der Datenschutzaufsicht über Schulen in freier Trägerschaft, auch staatlich anerkannten,  ist nach den jeweiligen Trägern zu unterscheiden.

Schulen in katholischer Trägerschaft

Die Schulen in katholischer Trägerschaft unterliegen dem Gesetz über den Kirchlichen Datenschutz für den Verband der Diözesen Deutschlands und die Dienststellen und Einrichtungen der Deutschen Bischofskonferenz (KDG-VDD). Damit gelten für die Verarbeitung personenbezogener Daten die Bestimmungen dieses Gesetzes sowie die sonstigen anzuwendenden kirchlichen und staatlichen Datenschutzvorschriften. Zuständig für die Datenschutzaufsicht ist

Der Diözesandatenschutzbeauftragte für die bayerischen (Erz-)Diözesen
Jupp Joachimski
Kapellenstr. 4
80333 München
JJoachimski@eomuc.de

Das Gesetz über den Kirchlichen Datenschutz finden Sie unter:
https://dbk.de/ueber-uns/verband-der-dioezesen-deutschlands-vdd/dokumente/

Schulen in evangelischer Trägerschaft

Die Schulen in evangelischer Trägerschaft unterliegen dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Damit gelten für die Verarbeitung personenbezogener Daten die Bestimmungen dieses Gesetzes sowie die sonstigen anzuwendenden kirchlichen und staatlichen Datenschutzvorschriften. Zuständig für die Datenschutzaufsicht ist

Der Beauftragte für den Datenschutz der EKD
Außenstelle Ulm
Hafenbad 22
89073 Ulm
sued@datenschutz.ekd.de
https://datenschutz.ekd.de

Alle übrigen Schulen in freier Trägerschaft

Zuständig für die Datenschutzaufsicht über alle übrigen Schulen in freier Trägerschaft ist:

Das Bayerische Landesamt für Datenschutzaufsicht
Promenade 27
91522 Ansbach
poststelle@lda.bayern.de
https://www.lda.bayern.de

Videoaufnahmen im Schulunterricht

Ausführungen des Bayerischen Landesbeauftragten für den Datenschutz zu Videoaufnahmen im Schulunterricht finden sich auf dessen Homepage. Ergänzende Ausführungen des Staatsministeriums sind in Vorbereitung.

Zum Einsatz von Videokonferenztools für die Zeit der Corona-bedingten Einschränkungen im Schulalltag siehe  die Sonderinformationen zur Aufrechterhaltung des Lernangebots im Rahmen der Corona-Pandemie in dieser Handreichung.

Weiterführende Hinweise:

Videoüberwachung an Schulen

Unter welchen Voraussetzungen ist eine Videoüberwachung an Schulen möglich?

Personenbezogene Daten können auch mit Hilfe optisch-elektronischer Einrichtungen verarbeitet werden (Videoüberwachung). Eine Videoüberwachung an Schulen ist mit Blick auf den erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung der betroffenen Personen restriktiv zu handhaben. Ob eine Videoüberwachung durch öffentliche Stellen zulässig ist, regelt das Bayerische Datenschutzgesetz (Art. 24 BayDSG). Konkretisierungen hierzu werden in der Bayerischen Schulordnung getroffen (Anlage 2 Nr. 6 zu § 46 BaySchO).

Eine personalvertretungsrechtliche Mitbestimmungspflichtigkeit bleibt von den Regelungen zur Videoüberwachung in der BaySchO und dem BayDSG unberührt (Art. 75a Abs. 1 Nr. 1 BayPVG).

 

1. Voraussetzungen der Videoüberwachung

Die Videoüberwachung muss im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts im konkreten Fall

  • zum Schutz von Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich der Schule oder in deren unmittelbarer Nähe aufhalten (Art. 24 Abs. 1 Nr. 1 BayDSG) oder

  • zum Schutz der baulichen Anlagen öffentlicher Schulen oder der unmittelbar in ihrer Nähe befindlichen Sachen (Art. 24 Abs. 1 Nr. 2 BayDSG)

    erforderlich sein.

Aus der Gesetzesformulierung ergibt sich, dass die Videoüberwachung der Abwehr von Gefahren dient, also präventiven Zwecken. Die Aufklärung von Straftaten oder Ordnungswidrigkeiten ist lediglich eine beiläufige Komponente der Videoüberwachung.

Die für die Videoüberwachung erforderliche Gefahrsituation ist anhand einer Einzelfallprognose zu beurteilen. Daher ist eine Gefährdungsanalyse vorzunehmen.

Allein die Möglichkeit einer Gefahr rechtfertigt grundsätzlich noch keine Videoüberwachung. Von einer relevanten Gefahr ist in der Regel nur auszugehen, wenn Erfahrungswerte aus der Vergangenheit oder Gegenwart vorliegen, die im Vorfeld der Entscheidung über die Einrichtung einer Überwachungsanlage in einer Vorfallsdokumentation festgehalten werden und den Schluss zulassen, dass eine Verletzung der genannten Schutzgüter in Zukunft hinreichend wahrscheinlich ist. Im Rahmen der Vorfallsdokumentation sind die tatsächlichen Indizien darzustellen, die Grundlage der Einzelfallprognose sind, insbesondere sind die einzelnen Vorfälle und ihre Auswirkungen auf die relevanten Schutzgüter (Art. 24 Abs. 1 Nr. 1 und Nr. 2 BayDSG) zu dokumentieren. Weiterhin sollten der Vorfallsdokumentation zum Nachweis der Vorfälle Belege beigefügt werden.

Beispiel:

In der Vergangenheit, insbesondere wiederholt, aufgetretene bedeutsame Fälle von  etwa Diebstahl, ,  Hausfriedensbruch oder Körperverletzung an der Schule können ein Indiz dafür sein, dass solche Vorfälle in Zukunft wieder auftreten werden. Bei einem einmaligen Vorfall müssen hingegen typischerweise weitere Umstände (z.B. glaubwürdige Drohungen o.ä.) hinzukommen (und dokumentiert werden), um überhaupt eine Wiederholung annehmen zu können. Zur Erleichterung der Gefahrenprognose sind die Vorfälle im Rahmen einer Vorfalldokumentation zu berücksichtigen, zeitlich und örtlich einzuordnen und zusammen mit ihren Auswirkungen auf Personen im Bereich der Schule oder in deren unmittelbaren Nähe oder ihren Auswirkungen auf öffentliche Anlagen bzw. in deren unmittelbaren Nähe befindlichen Sachen festzuhalten. Beigefügt werden sollten Nachweise wie polizeiliche Ermittlungsberichte, Anzeigen oder Beschwerden. An die Wahrscheinlichkeit eines Schadenseintritts können bei einer Gefahrenprognose im Hinblick auf Leben und Gesundheit von Menschen grundsätzlich geringere Anforderungen gestellt werden als im Hinblick auf Eigentumsschäden.

 

2. Entscheidung für Videoüberwachung (Verhältnismäßigkeitsgrundsatz)

Sind die unter 1. aufgeführten Voraussetzungen gegeben, hat die Entscheidung für eine Videoüberwachung nach pflichtgemäßem Ermessen des Verantwortlichen zu erfolgen. Die Entscheidung muss verhältnismäßig sein – insbesondere sind alle schutzwürdigen Belange der Beteiligten ihrer Bedeutung entsprechend zu berücksichtigen.

Die für die Entscheidung maßgeblichen Umstände sind aus Nachweisgründen zu dokumentieren.

a) Geeignetheit

Zunächst muss die Videoüberwachung geeignet sein, die gesetzlich genannten Interessen zu schützen (Art. 24 Abs. 1 Nr. 1 bzw. Nr. 2 BayDSG). Das heißt, vor einer Videoüberwachung ist nachvollziehbar darzulegen und zu dokumentieren, dass sie ein geeignetes Mittel zur Abwehr der prognostizierten Gefahr ist.

b) Erforderlichkeit

Vor einer Videoüberwachung ist weiterhin nachvollziehbar darzulegen und zu dokumentieren, dass die Videoüberwachung zur Abwehr der prognostizierten Gefahr erforderlich ist und andere – mildere, weniger eingreifende Aufsichts- und Überwachungsmaßnahmen – nicht in Betracht kommen, da sie die entsprechenden Rechtsgüter weniger effektiv schützen. Dabei muss nicht nur die Datenerhebung an sich erforderlich sein, sondern auch der Einsatz von Überwachungskameras als konkretes Mittel.

Als mildere Mittel, die weniger intensiv in die Rechte der betroffenen Personen eingreifen, kommen z.B. Folgende in Betracht: Hinweise an die Schülerschaft, Wertgegenstände nicht unbeaufsichtigt im Flur zu belassen; Einsatz von graffitiabweisender Wandfarbe; Einbau von bruchsicherem Fensterglas; Sicherung des Schulgeländes gegen unberechtigten Zugang, insbesondere durch bauliche Maßnahmen; Verstärkung der Schul-/Pausenaufsicht; Verstärkung der Zugangskontrolle (Pförtner); aufklärende bzw. erzieherische Schulprojekte (etwa gegen Gewalt) usw.

Weiterhin muss die konkrete Umsetzung der Videoüberwachung räumlich, zeitlich und technisch erforderlich sein. Die BaySchO trifft hier für den schulischen Bereich in der BaySchO konkrete Vorgaben (Anlage 2 Nr. 6 zu § 46 BaySchO). Demnach ist eine Videoüberwachung typischerweise nur dann räumlich und zeitlich erforderlich, wenn sie nur Personen betrifft,  die sich im Eingangsbereich der Schule aufhalten oder sich zwischen 22:00 Uhr und 6:30 Uhr außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen auf dem Schulgelände befinden sowie Personen, die sich außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen an Feiertagen, Wochenenden oder in den Ferien auf dem Schulgelände befinden. Maßnahmen, die den in Anlage 2 Nr. 6 aufgeführte Rahmen der Videoüberwachung überschreiten, können nur in Ausnahmefällen verhältnismäßig sein und bedürfen einer gesonderten Begründung.

c) Angemessenheit:

Es dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden (Art. 24 Abs. 1 BayDSG). Das heißt, das Interesse der Schule an der Videoüberwachung ist mit den Interessen der betroffenen Personen abzuwägen. Hierfür sind die Interessen der Beteiligten herauszuarbeiten und zu gewichten. Seitens der Schule besteht in der Regel das Interesse am Schutz der im Gesetz genannten Rechtsgüter (Art. 24 Abs. 1 Nr. 1 bzw. Nr. 2 BayDSG). Auf der Seite der betroffenen Personen ist insbesondere das Recht auf informationelle Selbstbestimmung schützenswert, also das Recht, unbeobachtet zu bleiben. Nach der Gewichtung der einzelnen Interessen hat die Schule sodann genau darzulegen, welchen Interessen sie im konkreten Fall aus welchen Gründen den Vorrang einräumt.

 

3. Videobeobachtung oder Videoaufzeichnung

Ob eine Videobeobachtung oder eine Videoaufzeichnung eingesetzt werden soll, ist im Rahmen der Entscheidungsfindung (siehe oben unter 2.) zu berücksichtigen. Bei der Videobeobachtung werden die bewegten Bilder in Echtzeit auf einen Monitor übertragen. Dagegen wird das Bildmaterial bei einer Videoaufzeichnung gespeichert. Grundsätzlich stellt eine Videobeobachtung im Vergleich zur Videoaufzeichnung das mildere, datensparsamere Mittel dar. Allerdings kann – statt oder zusätzlich zur bloßen Beobachtung – auch die Speicherung des Bildmaterials und damit eine Videoaufzeichnung zulässig sein, wenn der konkrete Einsatz verhältnismäßig ist. Insbesondere ist also darzulegen, wieso sich die Ziele der Überwachung im konkreten Fall nur durch eine Speicherung des Bildmaterials verwirklichen lassen.

 

4. Transparenzgebot
Die Videoüberwachung ist durch geeignete Maßnahmen erkennbar zu machen (Art. 24 Abs. 2 BayDSG). In der Regel müssen aussagekräftige und für die betroffenen Personen gut sichtbare Hinweisschilder angebracht werden. Hier kann insbesondere auf Hinweisschilder mit entsprechenden Piktogrammen zurückgegriffen werden. Dabei ist der Verantwortliche anzugeben, soweit dieser nicht aus den Umständen hervorgeht. Daneben ist es empfehlenswert, im Rahmen des Hinweisschildes auf die Datenschutzhinweise des Verantwortlichen hinzuweisen, z.B. durch einen Verweis auf entsprechende Datenschutzhinweise im Internetauftritt der Schule.

 

5. Zugriffsberechtigung und Zweckbindung
Nur die Schulleitung und von der Schulleitung beauftragte Angehörige des Lehr- und Verwaltungspersonals dürfen Zugriff auf die personenbezogenen Daten der Videoaufzeichnung haben (Anlage 2 Nr. 6 - Ziffer 4 zu § 46 BaySchO).

Die Daten dürfen nur dann für einen anderen Zweck als den ursprünglichen Erhebungszweck verarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist (Art. 24 Abs. 3 BayDSG). Unter diesen Voraussetzungen ist insbesondere eine Übermittlung der Daten an die zur Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Stellen zulässig.

 

6. Löschungsfrist

Die gespeicherten Daten sind jeweils spätestens drei Wochen nach Aufzeichnung zu löschen, soweit sie nicht zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden (Anlage 2 Nr. 6 – Ziff. 5 zu § 46 BaySchO).

 

7. Unterrichtung des behördlichen Datenschutzbeauftragten

Der örtliche Datenschutzbeauftragte der Schule muss rechtzeitig vor dem Einsatz einer Videoüberwachung informiert werden und die Möglichkeit zur Stellungnahme bekommen (Art. 24 Abs. 5 BayDSG). Der Datenschutzbeauftragte ist dabei über folgende Details der Videoüberwachung zu informieren: den Zweck, die räumliche Ausdehnung und Dauer der Videoüberwachung, den betroffenen Personenkreis, die geeigneten Maßnahmen zur Erkennbarkeit der Videoüberwachung (Art. 24 Abs. 2 BayDSG) und die vorgesehenen Auswertungen. Der Datenschutzbeauftragte muss so rechtzeitig vor dem Einsatz der Videoüberwachung informiert werden, dass es ihm möglich ist, den Sachverhalt umfassend einschätzen zu können.

Wird eine bestehende Videoüberwachung wesentlich geändert, ist dem Datenschutzbeauftragten ebenfalls Gelegenheit zur Stellungnahme zu geben (vgl. Art. 12 Abs. 1 S. 1 Nr. 2 BayDSG).

 

8. Wegfall des Gefährdungstatbestands

Während der Videoüberwachung ist regelmäßig zu überprüfen, ob der Gefährdungstatbestand, der die Überwachung rechtfertigt, noch vorliegt. Hierauf hat der Verantwortliche hinzuwirken. Für den Fall, dass der Gefährdungstatbestand, weswegen die Kameras angebracht wurden, nicht mehr vorliegt, ist die Videoüberwachung nicht mehr von den gesetzlichen Voraussetzungen gedeckt und damit nicht mehr zulässig (Art. 24 Abs. 1 BayDSG). Die Kameras sind daher auszuschalten. Bereits bei der Überlegung der Anschaffung einer Videoüberwachung ist mithin zu bedenken, dass die Videoüberwachung daher keine dauerhafte Einrichtung sein könnte.

Da auch eine inaktive Kamera den Anschein einer Überwachung haben und dadurch das Verhalten der vermeintlich überwachten Personen beeinflussenkann, sind geeignete Maßnahmen zu ergreifen, um diese verhaltenslenkende Wirkung zu vermeiden. Eine solche Maßnahme ist in der Regel der Abbau der Kamera(s) einschließlich der zugehörigen Hinweisschilder, was aber – aus technischen und finanziellen Gründen und auch wegen einer Abstimmung mit dem Sachaufwandsträger – oft nicht ohne weiteres möglich ist. Je nach den örtlichen Gegebenheiten kann es auch Alternativen zu der Demontage einer Kamera geben, z.B. das Abdecken/Verhängen der Kamera. Im Ergebnis muss genauso zweifelsfrei und offensichtlich wie bei einer eine Demontage der Kamera erkennbar sein, dass eine Überwachung durch die betreffende Kamera nicht (mehr) stattfindet.

Ist eine Audioüberwachung zulässig?

Audioübertragungen oder -aufzeichnungen im Rahmen der Videoüberwachung sind mangels Rechtsgrundlage hierfür unzulässig. Eine entsprechend vorhandene Funktion muss deaktiviert werden.

Weiterführende Hinweise

Weiterführende Hinweise zur Videoüberwachung enthält die Orientierungshilfe Videoüberwachung durch bayerische öffentliche Stellen – Erläuterungen zu Art. 24 Bayerisches Datenschutzgesetz des Bayerischen Landesbeauftragten für den Datenschutz. Diese ist auf dessen Homepage (https://www.datenschutz-bayern.de) unter der Rubrik Datenschutzreform 2018, Unterrubrik Orientierungs- und Praxishilfen, frei abrufbar. Dort finden sich auch Formulare für einen Prüfbogen für eine Videoüberwachung durch eine bayerische öffentliche Stelle sowie für eine Vorfallsdokumentation für eine Videoüberwachung durch eine bayerische öffentliche Stelle.

Vorlese-Funktion