Schuldatenschutz Handreichung für den Datenschutz an Schulen

Die Online-Handreichung des Bayerischen Staatsministeriums für Unterricht und Kultus zum Datenschutz an Schulen in Bayern befindet sich im Aufbau. Sie soll den Umgang mit Datenschutzfragen an der Schule erleichtern und zum sicheren Umgang mit praxisrelevanten Fragestellungen beitragen. 

Die Handreichung wird sukzessive um weitere Beiträge zu allgemeinen Fragen des Datenschutztes, Praxisbeispiele und Arbeitshilfen erweitert. Für Herbst 2019 ist eine Überführung der Handreichung in eine Dokumentation ("Wiki") vorgesehen, die Sie dann unter der Adresse www.schuldatenschutz.bayern.de erreichen können.

Grundlagen und Grundbegriffe

Geltungsbereich der Datenschutzbestimmungen

Die Datenschutz-Grundverordnung (DSGVO)

Abrufbar unter eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:02016R0679-20160504.

Der Datenschutz soll Menschen („natürliche Personen“) davor schützen, dass die Verarbeitung ihrer personenbezogenen Daten ihr Persönlichkeitsrecht unzulässig beeinträchtigt. Dies ist wesentliches Ziel der Datenschutz-Grundverordnung der Europäischen Union (DSGVO).

Die DSGVO gilt als europäische Verordnung in allen Mitgliedstaaten unmittelbar (vgl. Art. 2 Abs. 1 DSGVO). Sie hat Vorrang gegenüber dem nationalen Recht (Bundes- und Landesrecht), das verbleibende Regelungsspielräume insbesondere für Konkretisierungen nutzt. Daher gelten ergänzend zur DSGVO das Bundesdatenschutzgesetz - BDSG (für nicht öffentliche Stellen, z.B. Privatschulen), das Bayerische Datenschutzgesetz – BayDSG (für öffentliche Stellen, z.B. öffentliche Schulen, Schulverwaltung; siehe Ausführungen unter Bayerisches Datenschutzgesetz) und bereichsspezifische Sondervorschriften, z.B. das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG; siehe Ausführungen unter Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen) und die Bayerische Schulordnung (BaySchO; siehe Ausführungen unter Bayerische Schulordnung).

Die Vorschriften der DSGVO sind sowohl bei automatisierten als auch bei nichtautomatisierten Verarbeitungen personenbezogener Daten (vgl. Art. 2 Abs. 1 DSGVO, Art. 2 BayDSG) anzuwenden. Die Vorschriften gelten also unabhängig vom Speichermedium für personenbezogene Daten, die digital verarbeitet, für personenbezogene Daten, die in Akten, verarbeitet werden.

Für Daten, die nicht digital verarbeitet werden oder in einem Dateisystem (z.B. Schülerakte) gespeichert werden (sollen), gilt die DSGVO ohne die Vorschriften über das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), die Datenschutzfolgenabschätzung (Art. 35 DSGVO) und die vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

Zur DSGVO siehe insbesondere folgende Normen:

Art. 4              Begriffsbestimmungen

Art. 5              Grundsätze der Verarbeitung

Art. 6              Rechtmäßigkeit der Verarbeitung

Art. 24            Verantwortung des Verantwortlichen

Art. 25, 32     technische und organisatorische Maßnahmen zum Datenschutz

Art. 28             Auftragsverarbeiter

Art. 37            Datenschutzbeauftragter

Art. 44 – 49   Übermittlung personenbezogener Daten an Drittländer oder an eine  internationale Organisation

Weitere Erläuterungen zur DSGVO finden Sie auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz (abrufbar unter www.datenschutz-bayern.de). Dort finden Sie im Bereich Datenschutzreform 2018 unter dem Punkt Überblick auch einen Überblick zur DSGVO.

 

Bayerisches Datenschutzgesetz (BayDSG)

Abrufbar unter www.gesetze-bayern.de/Content/Document/BayDSG/true.

Das Bayerische Datenschutzgesetz (BayDSG) konkretisiert und ergänzt die Bestimmungen der Datenschutzgrundverordnung.

Bereichsspezifische Vorschriften über die Verarbeitung personenbezogener Daten, z.B. im Schulrecht, gehen den allgemeinen Vorschriften des BayDSG vor (Art. 1 Abs. 5 BayDSG). Siehe insbesondere unter Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG).

Zum BayDSG siehe insbesondere folgende Normen:

Art. 3              Verantwortlicher

Art. 6              Zweckbindung

Art. 9              Informationspflicht

Art. 10            Auskunftsrecht

Art. 11            Datengeheimnis

Art. 12            Behördliche Datenschutzbeauftragte

Art. 15-16      Landesbeauftragter für den Datenschutz

Art. 24           Videoüberwachung

Weitere Erläuterungen zum Bayerischen Datenschutzgesetz finden Sie in der Veröffentlichung "Das neue Bayerische Datenschutzgesetz – Ein Überblick“ auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz (abrufbar unter www.datenschutz-bayern.de/datenschutzreform2018/ unter dem Punkt Überblick).

 

Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG)

Abrufbar unter www.gesetze-bayern.de/Content/Document/BayEUG/true.

Im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) gibt es zahlreiche Vorschriften zur Verarbeitung personenbezogener Daten an Schulen. Diese Regelungen gehen den allgemeinen Bestimmungen des BayDSG (siehe dazu Bayerisches Datenschutzgesetz) vor. Große Bedeutung hat im Schulbereich die Generalklausel des Art. 85 Abs. 1 BayEUG. Für weitere Sondervorschriften siehe insbesondere Art. 31, 85 Abs. 1a, Art. 85 Abs. 2, Art. 85 Abs. 3, 88a, 111, 113a, 113b, 113c BayEUG.

 

Bayerische Schulordnung (BaySchO)

Abrufbar unter www.gesetze-bayern.de/Content/Document/BaySchO2016/true.

Die Schulordnungen enthalten zahlreiche Bestimmungen über personenbezogene Daten (z. B. zu Aufbewahrungsfristen, zum Anmeldeverfahren, zu den Aufnahmevoraussetzungen, zum Schülerbogen, zu Erhebungen). Siehe insbesondere die Regelungen zur Aufbewahrung von Schülerunterlagen in § 37 ff. der Schulordnung für schulartübergreifende Regelungen an Schulen in Bayern (Bayerische Schulordnung – BaySchO).

Neue Datenschutzbestimmungen in der BaySchO

Seit 1. August 2019 ist der Rahmen für bestimmte Verfahren zur Verarbeitung personenbezogener Daten an Schulen neu geregelt.

Die bisher in der Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzgesetzes (Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG – DVBayDSG-KM) vom 23. März 2001 beschriebenen Verfahren wurden an den Rechtsstand der DSGVO angepasst und  inhaltlich weiterentwickelt, um auch künftig die Erfordernisses des Schulalltags und den Schutz der Persönlichkeitsrechte bestmöglich in Einklang zu bringen.

Um die Schulen beim Einsatz von Verfahren, die personenbezogene Daten verarbeiten, auch weiterhin von Prüf- und Verwaltungsaufwand zu entlasten, wurden die bislang in der Durchführungsverordnung geregelten Verfahren daher in die Bayerische Schulordnung (BaySchO) überführt, genauer gesagt in Anlage 2 zu § 46 BaySchO. Die frühere Regelung entfällt.

Die wichtigsten Änderungen

  • Ausbau des Verfahrens "Notenverwaltungsprogramm" zum "Elektronischen Notenbogen"
  • Neues Verfahren "Klassentagebuch"
  • Digitale Fehlzeitenerfassung im "schulinternen passwortgeschützten Bereich"
  • Erweiterter Nutzerkreis in "passwortgeschützten Lernplattformen"

Wie wirkt sich § 46 BaySchO mit Anlage 2 auf die Beurteilung der Zulässigkeit bestimmter Verfahren aus?

Nach § 46 Abs. 1 BaySchO dürfen Schulen personenbezogene Daten in Verfahren verarbeiten, die nach Zweck, Umfang und Art den in Anlage 2 zu § 46 BaySchO geregelten Vorgaben entsprechen.

Neben den Vorgaben in Anlage 2 sind zur Beurteilung der Zulässigkeit von Verfahren stets die Anforderungen aus anderen Gesetzen, insbesondere der DSGVO und des BayDSG zu beachten (vgl. § 46 Abs. 1 S. 2 BaySchO). § 46 Abs. 1 S. 1 BaySchO stellt nämlich keine Rechtsgrundlage für die Verarbeitung der in Anlage 2 genannten Daten dar, sondern bezieht sich auf den Einsatz bestimmter Verfahren, also das „Wie“ des Einsatzes. Die Rechtsgrundlage zur Verarbeitung der Daten (das „Ob“ des Einsatzes) muss sich – entsprechend den allgemeinen Grundsätzen –  aus einer Verarbeitungsbefugnis nach Art. 6 Abs. 1 DSGVO ergeben (z.B. aus Art. 85 Abs. 1 BayEUG oder einer Einwilligung; siehe Zulässigkeit der Datenverarbeitung - Allgemeines).

Beispiele:

Eine Schule will eine Lern-App im Unterricht einsetzen. Anlage 2 Nr. 4 zu § 46 BaySchO (passwortgeschützte Lernplattform) liefert der Schule Hinweise, ob der Einsatz dieser App problemlos möglich ist. Hält die App den Rahmen der Anlage 2 Nr. 4 ein (unter anderem die Kategorien der verarbeiteten Daten), kann die Schule die App ohne gesonderte Rechtfertigung einsetzen, wenn zusätzlich eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten vorliegt (in der Regel eine Einwilligung der betroffenen Schülerinnen und Schüler bzw. deren Erziehungsberechtigten; siehe Zulässigkeit der Datenverarbeitung - Einwilligung).

An einer Schule soll zum Schutz vor Vandalismus eine Videoüberwachung eingerichtet werden.
Auch wenn die Anlage nur in dem Umfang betrieben werden soll, der in Anlage 2 Nr. 6 zu § 46 BaySchO geregelt ist, muss die Erforderlichkeit der Überwachungsmaßnahme (§ 24 BayDSG) durch eine Dokumentation der Gefährdungslage ("Vorfallsdokumentation") nachgewiesen werden.

Wie ist mit Verfahren umzugehen, die sich aus mehreren Verfahren der Anlage 2 zusammensetzen oder sich nur auf Teile dieser Verfahren beschränken?

 § 46 Abs. 1 BaySchO ist auch bei Verfahren anzuwenden, die sich aus mehreren Verfahren der Anlage 2 zusammensetzen oder sich auf Teile dieser Verfahren beschränken. Voraussetzung hierfür ist, dass die Regelungen der einzelnen Verfahren, die für den jeweiligen Verarbeitungszweck vorgesehen sind (vgl. die Nummern in Anlage 2), eingehalten werden (§ 46 Abs. 2 BaySchO). Das heißt, die Beurteilung von Verfahren nach Anlage 2 ist grundsätzlich auch dann möglich, wenn es sich um komplexere Schulverwaltungsprogramme handelt oder um Softwareprodukte mit überschneidenden Funktionalitäten.

 

Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).

Dies ist bei einer Datenverarbeitung durch die Schule und ihre Organe bzw. ihre Bediensteten und Beschäftigten (insbesondere Lehrkräfte) stets die jeweilige Schule.

Deshalb trägt die Schulleiterin bzw. der Schulleiter eine besondere Verantwortung für den Datenschutz an der Schule. Sie bzw. er muss die Einhaltung des Datenschutzes an der Schule auch durch geeignete organisatorische Maßnahmen sicherstellen. Hierbei wird sie bzw. er durch den oder die Datenschutzbeauftragten an der Schule bzw. am Schulamt und durch die Multiplikatoren für den Datenschutz an den Dienststellen der Ministerialbeauftragten bzw. an den Regierungen unterstützt. Weiterhin stellt das Staatsministerium für Unterricht und Kultus Material zur Verfügung, dass den Schulen die Umsetzung der Datenschutzbestimmungen erleichtert (z.B. Muster für Datenschutzhinweise im Internetauftritt der Schulen und Musterformulare zur Einwilligung in die Veröffentlichung von personenbezogenen Daten)

Auch bei einer Datenverarbeitung durch die Organe der Schule (z.B. Elternbeirat oder Schülermitverantwortung) ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung grundsätzlich die Schule und nicht das Organ (z.B. der Elternbeirat) oder seine einzelnen Mitglieder (z.B. die Elternbeiratsmitglieder).

Personenbezogene Daten

Die Datenschutz-Grundverordnung (DSGVO) gilt für die Verarbeitung von personenbezogenen Daten (Art. 2 Abs. 1 DSGVO; vgl. auch Art. 2 BayDSG).

Personenbezogene Daten im Sinne der Datenschutz-Grundverordnung sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ (Art. 4 Nr. 1 DSGVO)

Personenbezogen sind Daten also nicht nur dann, wenn eine natürliche Person direkt anhand bestimmter Daten (z.B. des Namens) bestimmt werden kann. Es genügt dabei, wenn eine Person indirekt anhand besonderer Merkmale, zum Beispiel Handschrift, Standortdaten oder IP-Adresse identifiziert werden kann. Bei der Feststellung, ob eine Identifizierung möglich ist, sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um eine natürliche Person zu bestimmen.

Daraus ergibt sich, dass eine Pseudonymisierung (Art. 4 Nr. 5 DSGVO) den Personenbezug grundsätzlich nicht entfallen lässt. Bei einer Pseudonymisierung kann der Verantwortliche oder ein beliebiger Dritter die betroffene Person nämlich durch zusätzliche Informationen (z.B. einer Kennnummer) identifizieren. Auch auf pseudonymisierte Daten ist die DSGVO daher grundsätzlich anwendbar.

Anonym sind Daten nur, wenn sie sich auch zusammen mit zusätzlichen Informationen keiner bestimmten Person zuordnen lassen.

Für den Personenbezug ist unbeachtlich, welches Speichermedium verwendet wird (Papier, Festplatte, DVD) und ob das Verfahren automatisiert oder händisch ist.

Beispiele für personenbezogene Daten, die an der Schule verarbeitet werden, finden sich in deren Datenschutzhinweisen (siehe hierzu die Ausführungen unter Datenschutzhinweise im Internetauftritt für Schulen in dieser Handreichung).

(vgl. auch die Muster-Datenschutzhinweise für Schulen).

Zulässigkeit der Datenverarbeitung

Allgemeines

Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine Rechtsgrundlage für die Verarbeitung vorliegt (vgl. Art. 6 Abs. 1 DSGVO). Die Datenverarbeitung muss also durch eine Rechtsvorschrift erlaubt oder angeordnet sein (z.B. durch Art. 85 Abs. 1 S. 1 BayEUG) oder die betroffene Person muss in die Verarbeitung wirksam eingewilligt haben (vgl. Art. 6 Abs. 1 DSGVO).

Neben dem Vorliegen einer Rechtsgrundlage müssen im Rahmen der Zulässigkeit einer Datenverarbeitung stets die Grundsätze des Art. 5 DSGVO eingehalten werden. Zu beachten sind hier insbesondere der Grundsatz der Zweckbindung, der Datenminimierung und der Transparenz (siehe dortige Ausführungen).

Weitere Ausführungen zur Rechtmäßigkeit der Datenverarbeitung und den Grundsätzen nach Art. 5 DSGVO finden Sie auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz (abrufbar unter www.datenschutz-bayern.de/datenschutzreform2018/ unter dem Punkt Überblick).

Erforderlichkeit

Der Grundsatz der Erforderlichkeit ist einer der zentralen Grundsätze des Datenschutzes.

Nach Art. 85 Abs. 1 S. 1 BayEUG dürfen Schulen die zur Erfüllung ihnen durch Rechtsvorschrift zugewiesenen Aufgaben erforderlichen Daten verarbeiten.  Ob eine Datenverarbeitung zur Aufgabenerfüllung der Schule erforderlich ist, muss in jedem Einzelfall mit Blick auf die konkret zugewiesene Aufgabe beurteilt werden.

Die Aufgabenzuweisung ergibt sich aus den einschlägigen Spezialregelungen, vor allem dem BayEUG, den Schulordnungen, dem Bayerischen Schulfinanzierungsgesetz (BaySchFG), dem Bayerischen Beamtengesetz (BayBG), dem Beamtenstatusgesetz (BeamtStG), etc. In den Rechtsvorschriften müssen die zur Verarbeitung zulässigen Daten nicht einzeln aufgeführt sein. Dies darf jedoch nicht dazu führen, dass wahllos Daten verarbeitet werden, die an der Schule vielleicht irgendwann einmal zur Erfüllung ihrer Aufgaben benötigt werden könnten - das wäre eine unzulässige Datensammlung auf Vorrat. Die Schulen haben vielmehr bei jedem Datum konkret zu prüfen, auf Grundlage welcher Rechtsvorschrift im Einzelnen seine Verarbeitung zulässig ist und ob seine Verarbeitung für die Erfüllung der Aufgabe der Schule schon jetzt tatsächlich erforderlich ist.

Einwilligung

Ohne eine ausdrückliche Befugnis durch eine Rechtsvorschrift (z.B. Art. 85 Abs. 1 S. 1 BayEUG) dürfen personenbezogene Daten nur verarbeitet werden, wenn die betroffene Person wirksam eingewilligt hat (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst a DSGVO).

Der Begriff der Einwilligung ist in Art. 4 Nr. 11 DSGVO definiert:

„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Eine wirksame Einwilligung muss folgende Voraussetzungen erfüllen (siehe auch Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO):

  • sie muss freiwillig sein: die betroffenen Personen müssen eine echte und freie Wahl haben, ihre Zustimmung zu erteilen, ohne dass ein (sozialer) Druck entsteht; bei der Einholung von Einwilligungen für den Unterricht ist die Freiwilligkeit aufgrund der Schulpflicht der Schülerinnen und Schüler kritisch; daher ist sicherzustellen, dass diese keinem faktischen Druck ausgesetzt sind, zuzustimmen; Nichtzustimmende dürfen keine Nachteile haben, insbesondere nicht in eine andere Klasse versetzt oder vom Unterricht ausgeschlossen werden (Beschulungsrecht der Schülerinnen und Schüler)
  • sie muss informiert erfolgen; insbesondere müssen betroffene Personen wissen, dass und in welchem Umfang die Einwilligung erteilt wird, wer verantwortlich ist, zu welchem Zweck die Daten verarbeitet werden und bei einer Übermittlung der Daten an Dritte weitere Punkte hierzu;
  • sie muss sich auf einen oder mehrere bestimmte Zwecke beziehen (Zweckbindung);
  • sie muss sich auf eine bestimmte Verarbeitung beziehen, insbesondere auf alle Schritte der Datenverarbeitung (z.B. nicht nur auf die Erhebung der Daten, sondern auch auf die Veröffentlichung);
  • sie muss jederzeit, mit Wirkung für die Zukunft widerrufen werden können (Widerrufsrecht); über die Möglichkeit des Widerrufs ist in der Einwilligung zu informieren;
  • aus Gründen der Nachweispflicht der Schule sollte eine Einwilligung nur schriftlich eingeholt werden (vgl. Art. 7 Abs. 1 DSGVO).

Bei minderjährigen Schülerinnen und Schülern bis zur Vollendung des 14. Lebensjahres muss mindestens eine erziehungsberechtigte Person einwilligen, bei minderjährigen Schülerinnen und Schülern ab Vollendung des 14. Lebensjahres zusätzlich diese selbst.

Im schulischen Bereich sollte eine Einwilligung der Schülerinnen und Schüler nur eingeholt werden, wenn die Verarbeitung der personenbezogenen Daten in den schulischen Aufgabenbereich fällt und einen Bezug zu schulischen Aufgaben hat. Dabei haben Schulen stets zu berücksichtigen, dass die Voraussetzungen der vom Gesetzgeber verfassten Rechtsgrundlagen zur Datenverarbeitung (insbesondere Art. 85 Abs. 1 S. 1 BayEUG) nicht beliebig durch die Einholung einer Einwilligung umgangen werden dürfen. Je tiefer der schulische Eingriff in die Rechte der betroffenen Personen ist, desto eher verbietet sich das Einholen einer Einwilligung.

Musterformulare zur Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) im Rahmen der Öffentlichkeitsarbeit der Schule; für staatliche Schulen verbindlich:

Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürften nicht für andere Zwecke weiterverarbeitet werden, die mit diesen Zwecken unvereinbar sind („Zweckbindung“, Art. 5 Abs. 1 Buchst. b DSGVO).

Daher legen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten meist ausdrücklich einen bestimmten Zweck fest. Die Schulen dürfen auf Grundlage von Art. 85 Abs. 1 S. 1 BayEUG zum Beispiel die personenbezogenen Daten nur zur Erfüllung der Aufgaben verarbeiten, die ihnen durch Rechtsvorschriften zugewiesen sind.

Auch eine Einwilligung in die Verarbeitung personenbezogener Daten ist immer an bestimmte Zwecke gebunden.

Datenminimierung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn sie für den Zweck der Verarbeitung angemessen und erheblich sind und die Verarbeitung auf das notwendige Maß beschränkt ist („Grundsatz der Datenminimierung“; Art. 5 Abs. 1 Buchst. c DSGVO).

Personenbezogene Daten dürfen insbesondere nur dann verarbeitet werden, wenn sich der Zweck der Verarbeitung nicht auf andere zumutbare Weise erreichen lässt (vgl. DSGVO, EG 39).

Lässt sich der Verarbeitungszweck z.B. in zumutbarer Weise auch durch eine anonyme Verarbeitung von Daten erreichen, ist diese Form der Verarbeitung einer personenbezogenen Verarbeitung vorzuziehen.

Transparenz

Für die betroffene Person muss nachvollziehbar sein, wie ihre Daten verarbeitet werden („Grundsatz der Transparenz“, Art. 5 Abs. 1 Buchst. a DSGVO). Alle Informationen zur Verarbeitung personenbezogener Daten sollen leicht zugänglich, verständlich und in klarer und einfacher Sprache verfasst sein (DSGVO, EG 39). Nur so können betroffene Personen die Verarbeitung ihrer Daten überprüfen und ihre Betroffenenrechte ausüben.

Aus dem Grundsatz der Transparenz ergeben sich unter anderem die Informationspflichten des Verantwortlichen nach Art. 13 bzw. Art. 14 DSGVO (siehe dazu die Ausführungen unter Informationspflichten in dieser Handreichung).

Informationspflichten

Allgemeines

Der Verantwortliche muss personenbezogene Daten transparent verarbeiten (siehe oben unter Transparenz). Aus diesem Transparenz-Grundsatz ergeben sich die Informationspflichten des Verantwortlichen nach Art. 13 bzw. Art. 14 DSGVO. Die Informationspflichten werden in der Praxis in der Regel durch Bereitstellung sog. „Datenschutzhinweise“ erfüllt (vgl. das vom Staatsministerium für Unterricht und Kultus zur Verfügung gestellte Muster für Datenschutzhinweise im Internetauftritt staatlicher Schulen in Bayern und die Anwendungshinweise hierzu; siehe dazu unten unten unter Datenschutzhinweise im Internetauftritt staatlicher Schulen).

Den Nachweis der Erfüllung der Informationspflichten hat die Schule als verantwortliche Stelle zu erbringen.

Weitere Ausführungen zu den Informationspflichten finden Sie auch in der Orientierungshilfe „Informationspflichten“ auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz (abrufbar unter www.datenschutz-bayern.de/datenschutzreform2018/ unter dem Punkt Informationspflichten). 

Wann muss informiert werden?

Die Informationspflichten werden in drei Fällen ausgelöst:

  • personenbezogene Daten werden direkt bei der betroffenen Person erhoben (Art. 13 DSGVO)
  • personenbezogene Daten werden nicht bei der betroffenen Person erhoben (also z.B. bei Dritten oder aus öffentlich zugänglichen Quellen, Art. 14 DSGVO)
  • der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten beim Betroffenen erhoben wurden (Art. 13 Abs. 3 DSGVO) oder sonst erlangt wurden (Art. 14 Abs. 4 DSGVO)

Erfolgt eine Erhebung bei der betroffenen Person, sind die Informationen zum Zeitpunkt der Erhebung mitzuteilen (z.B. auf dem Erhebungsformular). Bei Erhebung personenbezogener Daten nicht bei der betroffenen Person sind die Informationen innerhalb einer angemessenen Frist, spätestens innerhalb eines Monats, bereitzustellen. Bei beabsichtigter Zweckänderung ist die betroffene Person vorab zu informieren (Art. 13 Abs. 3 DSGVO).

Worüber muss informiert werden?

Der Inhalt der Informationspflichten ergibt sich aus Art. 13 Abs. 1 und Abs. 2 DSGVO.

Die verantwortliche Schule hat demnach insbesondere Name und Kontaktdaten der Schule, die Kontaktdaten des örtlichen Datenschutzbeauftragten der Schule, Rechtsgrundlage und Zweck der Verarbeitung, sowie etwaige Empfänger von Daten anzugeben (vgl. im Übrigen Art. 13 Abs. 1 DSGVO). Zur Sicherstellung einer transparenten Verarbeitung sind stets auch die Informationen des Art. 13 Abs. 2 DSGVO anzugeben, z.B. die konkrete Speicherdauer der Daten, die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde. Diejenigen Informationen, die der betroffenen Person bereits bereitgestellt worden sind, z.B. im Rahmen der Einschulung, können später als bekannt vorausgesetzt werden (vgl. Art. 13 Abs. 4 DSGVO und die Anwendungshinweise zum Muster für Datenschutzhinweise im Internetauftritt staatlicher Schulen in Bayern).

Bei einer Zweckänderung sind Informationen über den anderen Zweck und alle weiteren maßgeblichen Informationen bereitzustellen (Art. 13 Abs. 3 DSGVO).

Wie werden die Informationspflichten umgesetzt?

Die verantwortliche Schule muss die Informationen den betroffenen Personen in leicht zugänglicher Form zur Verfügung stellen. Hierfür gibt es grundsätzlich zwei Möglichkeiten:

1. Vollständige Information auf dem Erhebungsformular

Die Schule kann die Informationen direkt und vollständig auf dem Erhebungsformular bereitstellen

2. Aufteilen der Informationen in Grundinformationen und weitergehende Informationen

Die Informationen müssen in der Regel nicht vollständig im Erhebungsformular aufgeführt werden, sondern können auch wie folgt aufgeteilt werden:

  • in Grundinformationen, die die Schule direkt auf dem Erhebungsformular bereitstellt (z.B. Verantwortlicher, Verarbeitungszweck, Rechtsgrundlage, Empfänger der Daten, Speicherfristen) und

  • in weitergehende Informationen, die die Schule in ihren Datenschutzhinweisen im Internetauftritt zur Verfügung stellt (z.B. Kontaktdaten der bzw. des Datenschutzbeauftragten, Betroffenenrechte, Beschwerderecht bei der Aufsichtsbehörde)

    Werden die weitergehenden Informationen durch einen Verweis auf Datenschutzhinweise im Internetauftritt bereitgestellt, hat die Schule den betroffenen Personen mitzuteilen, wo genau im Internet die Informationen zum Datenschutz eingesehen werden können. Sie hat den betroffenen Personen also entweder einen Direktlink auf die Datenschutzhinweise im Internetauftritt oder einen einfach zu befolgenden Navigationshinweis zur Verfügung zu stellen. Für den Verweis kann z.B. folgender Satz gewählt werden:

    „Ergänzende Hinweise zum Datenschutz finden Sie unter https://www.musterschulexy.de/datenschutzerklaerung.“

    Im Falle eines „Medienbruchs“, wenn also Datenerhebung und Informationen nach Art. 13 DSGVO mittels unterschiedlicher Medien erfolgen sollen, hat die verantwortliche Schule betroffenen Personen in der Regel alternative Möglichkeiten für den Bezug der Informationen aufzuzeigen, um die Informationen leicht zugänglich zu machen. Will eine Schule Daten z.B. auf dem Papierweg erheben, werden die Informationen aber auf einem anderen Medium (Homepage) bereitgestellt, kann nicht davon ausgegangen werden, dass jede betroffene Person die Informationen über einen Internetzugang abrufen kann. Daher muss die Schule in solchen Fällen zusätzlich zur Online-Bereitstellung noch eine alternative Bezugsmöglichkeit der Informationen vorsehen (z.B. die Möglichkeit, einen entsprechenden Abdruck der Informationen bei einem benannten Ansprechpartner anzufordern).

    Formulierungsbeispiel für den Fall eines oben geschilderten Medienbruchs (Datenerhebung mittels eines Papierformulars und Bereitstellung der Datenschutzhinweise auf der Homepage):

    „Ergänzende Hinweise zum Datenschutz finden Sie unter https://www.musterschulexy.de/datenschutzerklaerung oder können Sie bei Person x unter den oben angegebenen Kontaktdaten der Schule anfordern.“

    Damit staatliche Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können, stellt das Staatsministerium für Unterricht und Kultus ihnen ein verbindliches Muster für Datenschutzhinweise im Internetauftritt zur Verfügung (siehe Ausführungen unten unter Datenschutzhinweise im Internetauftritt staatlicher Schulen).

Datenschutzhinweise im Internetauftritt staatlicher Schulen

Damit die Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können (siehe oben unter Informationspflichten ), stellt das Staatsministerium für Unterricht und Kultus ein Muster für Datenschutzhinweise im Internetauftritt zur Verfügung. Wenn die Schule das Muster an die Verhältnisse vor Ort anpasst und auf ihrer Homepage einstellt, erfüllt sie damit ihre Informationspflichten für die an allen Schulen üblichen Datenverarbeitungen.

Für Datenverarbeitungen, die nicht von dem Muster erfasst sind, können die Datenschutzhinweise ergänzt werden.

Bei Bedarf kann die Schule gesonderte, auf den Einzelfall angepasste Informationen nach Art. 13 DSGVO bereitstellen und ergänzend auf ihre allgemeienn Datenschutzhinweise verweisen. Dabei empfiehlt es sich, Informationen in Grundinformationen und weitergehende Informationen aufzuteilen (für genaue Erläuterungen siehe oben unter Informationspflichten). So wird es sich z.B. im Rahmen einer Anmeldung zur Klassenfahrt in der Regel anbieten, Informationen zum Verantwortlichen, zum Verarbeitungszweck, zur Rechtsgrundlage der Verarbeitung, zu etwaigen Empfängern der Daten und zu Speicherfristen im Anmeldeformular selbst darzustellen (Grundinformationen) und im Übrigen (z.B. Kontaktdaten der bzw. des Datenschutzbeauftragten, Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde) auf das Muster im Internetauftritt der Schule zu verweisen (weitergehende Informationen).

Abrufbar ist das Muster mit den Anwendungsvorgaben unter: www.km.bayern.de/ministerium/recht/datenschutz.html.

Für staatliche Schulen ist das Muster verbindlich, kommunalen und privaten Schulen wird eine Orientierung an diesem Muster empfohlen.

Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten ("Datenpannen")

Allgemeines

Bei einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) besteht nach Maßgabe von Art. 33 DSGVO gegenüber der Datenschutzaufsichtsbehörde eine Meldepflicht und nach Maßgabe von Art. 34 DSGVO  gegenüber der betroffenen Person (Art. 34 DSGVO) eine  Benachrichtigungspflicht.

Nach Art. 4 Nr. 12 DSGVO liegt eine Verletzung des Schutzes personenbezogener Daten vor, wenn eine Verletzung der Sicherheit zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Auch unbeabsichtigte Verletzungen können zur Meldung verpflichten.

Weiterführende Hinweise:

Meldung an die Datenschutzaufsichtsbehörde (Art. 33 DSGVO)

Eine Verletzung des Schutzes personenbezogener Daten ("Datenpanne") an öffentlichen (staatlichen und kommunalen) Schulen in Bayern muss unter den Voraussetzungen des Art. 33 DSGVO dem Bayerischen Landesbeauftragten für den Datenschutz als zuständige Datenschutzaufsichtsbehörde gemeldet werden. Eine Meldung ist nicht erforderlich, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Wann ein Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt, hängt vom Einzelfall ab. Ein meldepflichtiges Risiko besteht insbesondere, wenn die "Datenpanne" zu erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, beispielsweise zu Diskriminierung, Identitätsdiebstahl oder -betrug, unbefugter Aufhebung der Pseudonymisierung, Rufschädigung oder Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten (vgl. Erwägungsgrund 85).

Beispiel:

Die im Rahmen der Impfberatung an einer Schule eingesammelten Impfausweise gehen verloren.

Die Meldung an die Aufsichtsbehörde muss alle Informationen nach Art. 33 Abs. 3 DSGVO enthalten, also insbesondere eine Beschreibung der Art der Verletzung und die ungefähre Anzahl an betroffenen Personen.

Außerdem hat die Meldung unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, zu erfolgen. Erfolgt die Meldung nicht innerhalb von 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen (Art. 33 Abs. 1 Satz 2 DSGVO).

Zusätzlich zur Meldepflicht besteht eine Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO. Hiernach hat die verantwortliche Schule Verletzungen des Schutzes personenbezogener Daten, alle damit zusammenhängenden Fakten, die Auswirkungen und die ergriffenen Abhilfemaßnahmen zu dokumentieren.

Der Bayerische Landesbeauftragte für den Datenschutz hat ein Online-Meldeformular bereitgestellt, das die nötigen Angaben enthält und dessen Benutzung den bayerischen öffentlichen Stellen daher empfohlen wird:

Meldung an die betroffene Person (Art. 34 DSGVO)

Hat die Verletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss gemäß Art. 34 DSGVO neben der Meldung an die Datenschutzaufsichtsbehörde auch die betroffene Person benachrichtigt werden. Auch hier ist zur Bewertung des Risikos eine Einzelfallbeurteilung erforderlich (vergleiche oben). Durch die Wahl des Begriffs „hohes Risiko“ wird klar, dass nicht schon bei jeder Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) auch eine Meldung an den Betroffenen (Art. 34 DSGVO) erforderlich ist. Vielmehr muss das Risiko im Rahmen des Art. 34 DSGVO schwerer wiegen als das „einfache“ Risiko im Rahmen des Art. 33 DSGVO.

Die Benachrichtigung an die betroffene Person muss in klarer und einfacher Sprache erfolgen und die in Art. 34 Abs. 2 DSGVO aufgeführten Informationen enthalten. Art. 34 Abs. 3 DSGVO zählt Bedingungen auf, unter denen keine Benachrichtigung erforderlich ist.

Die Benachrichtigung der betroffenen Person hat unverzüglich zu erfolgen. Weitere Aussagen zur Meldefrist werden in Art. 34 DSGVO nicht getroffen. Erwägungsgrund 86 führt jedoch aus, dass die Meldung an den Betroffenen stets so schnell wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde, erfolgen soll. Beispielsweise kann zur Minderung des Risikos eines unmittelbaren Schadens eine sofortige Benachrichtigung erforderlich sein. In weniger akuten Fällen kann auch eine längere Frist gerechtfertigt sein.

Formulare und Muster

Musterformulare zur Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos)

Das Staatsministerium für Unterricht und Kultus stellt staatlichen Schulen verbindliche Musterformulare zur Einholung von Einwilligungen  in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) im Rahmen der Öffentlichkeitsarbeit der jeweiligen Schule zur Verfügung (siehe oben unter Einwilligung). Die Formulare sind für neue Einwilligungen stets in der jeweils aktuellsten vorliegenden Fassung zu verwenden; bestehende Einwilligungen auf älteren Formularen bleiben grundsätzlich wirksam.

Kommunalen und privaten Schulen wird empfohlen, sich an den Mustern für staatliche Schulen zu orientieren.

Eine Abänderung der vom Staatsministerium zur Verfügung gestellten Mustereinwilligungserklärungen durch die Schulen ist, abgesehen von den vorgegebenen Optionen wie Angabe der Schulhomepage, nicht vorgesehen.

Soweit Sachverhalte nicht von den Mustern erfasst sind, kann die Schule in eigener Verantwortung Einwilligungen im Einzelfall einholen. Hierbei sind die Voraussetzungen und Maßgaben unter dem Punkt Einwilligung in dieser Handreichung zu beachten, insbesondere sollte eine Einwilligung im schulischen Bereich nur eingeholt werden, wenn die Verarbeitung der personenbezogenen Daten in den schulischen Aufgabenbereich fällt und einen Bezug zu schulischen Aufgaben hat.

Die Einwilligung muss aktiv erklärt werden sein. Stillschweigen ist keine Einwilligung. Aus diesem Grund müssen Schülerinnen und Schüler, die das 14. bzw. 18. Lebensjahr vollenden, die nunmehr von ihnen benötigte Einwilligung aktiv erteilen.

Muster-Datenschutzhinweise für Schulen

Wie alle anderen "Verantwortlichen" im Sinne der Datenschutz-Grundverordnung (DSGVO) müssen auch die Schulen darüber informieren, wie sie personenbezogene Daten verarbeiten.

Das hier als Download bereitgestellte Muster für Online-Datenschutzhinweiese staatliche Schulen ist mit dem Bayerischen Landesbeauftragten für den Datenschutz abgestimmt. Es weist auf die wesentlichen Datenverarbeitungen im Schulbetrieb hin und hilft den Schulen, rechtssicher ihrer Informationspflicht nach Art. 13 Datenschutzgrundverordnung (DSGVO) nachzukommen. Die beigefügten Anwendungsvorgaben sind zu beachten. Die Datenschutzhinweise ersetzen nicht das Impressum nach § 5 Telemediengesetz (TMG).

Den kommunalen und den staatlich anerkannten Schulen gemäß Art. 100 BayEUG wird empfohlen, sich an dem Muster für staatliche Schulen zu orientieren.

Vorlese-Funktion