Mein Arbeitsplatz

Unverzügliche Löschung personenbezogener Daten (EU-DSGVO)

Das Recht auf Vergessenwerden

von Jost Baum

Dieser Fachbeitrag ist Teil des Themenspecials Schule digital

Sie wollen den kompletten Text lesen?

Worum es geht

Schulleiterinnen und Schulleiter erhalten gelegentlich Anfragen von ehemaligen Schülerinnen und Schülern, ob ihre Daten, nachdem sie die Schule verlassen haben, gelöscht worden sind. Das gilt auch für Eltern, deren Kinder die Schule gewechselt haben und die sich nun nicht mehr auf der Schulhomepage oder auf Verteilerlisten der Schule wiederfinden möchten. Diese Anfragen sind nach Artikel 17, Absatz 1 EU-DSGVO gerechtfertigt und dem muss sofort Folge geleistet werden. Hierfür haben die Schulaufsichtsbehörden Löschungsfristen und Löschungskonzepte vorgeschrieben, die entsprechend eingehalten werden müssen. Diese Löschungsfristen bzw. Konzepte müssen mit dem Auftragsdatenverarbeiter abgesprochen werden, der dann entsprechende Löschungsroutinen vorsieht.

1. Welche personenbezogenen Daten sind unverzüglich zu löschen?

Artikel 17 Abs. 1 der EU-DSGVO regelt das Recht von Personen auf unverzügliche Löschung der von ihnen gespeicherten Daten. In Schulen sind dafür die Schulleitungen oder die von ihnen beauftragten Personen in der Auftragsdatenverarbeitung verantwortlich.

Unverzüglich zu löschen sind personenbezogene Daten, wenn

  • sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dabei müssen die Löschungsfristen (siehe Link unten) für alle Schüler-, Lehrer- und Elterndaten eingehalten werden. Das gilt für Klassenarbeiten, Notenhefte ebenso, wie für Fotos, Zeugnisse etc.;
  • die betroffene Person ihre Einwilligung widerruft und es an eine anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Sind z. B. Personen auf Schulfesten, Klassenfahrten zu sehen und sollen z. B. auf der Homepage der Schule veröffentlicht werden, aber die Personen das nicht möchten, sind die Daten zu löschen. Gab es Einwilligungen für die Unterschriften auf Klassenlisten, Mailinglisten u. Ä, die die betroffenen Personen zurückziehen möchten, so muss die Schulleitung diesem Ansinnen Folge leisten und die Daten löschen;
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen ( s. o.);
  • sie unrechtmäßig verarbeitet wurden (z. B. keine Einwilligungserklärung vorlag);
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist (Verbot von Direktwerbung etc.);
  • die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, d. h. Internetangebote wie Medien, Webshops oder Online-Spiele, erhoben wurden (ein besonders sensibler Bereich, auf den die Schulleitung zu achten hat).

Weitere Informationen finden sich unter dem Link: https://www.datenschutzbeauftragter-info.de/das-recht-auf-vergessenwerden-bzw-die-loeschungspflicht-nach-dsgvo/

Beispielhaft für die Löschungsfristen bzw. das Löschungskonzept sei das von NRW genannt. Die anderen Bundesländer stellen ebenfalls diese Informationen zur Verfügung:

https://datenschutz-schule.info/tag/Loeschfrist/

2. Voraussetzungen zur Umsetzung des Rechtes auf Vergessenwerden in der Schule – Verfahrensverzeichnis

Die Umsetzung des Artikels 17. Abs. 1 kann aber nur erfolgen, wenn die Schulleitung als für den Datenschutz Verantwortliche darüber informiert ist, welche Daten von wem zu welchem Zweck erhoben und von wem verarbeitet werden. Weiterhin ist bedeutsam, ob von den Betroffenen (Lehrern, Eltern, Schülern) Einwilligungen zur Datenverarbeitung eingefordert wurden. Deshalb ist es zwingend erforderlich, dass die Schulen ein internes Verfahrensverzeichnis erarbeiten.

Inhalt des Verfahrensverzeichnisses

Aus dem Verfahrensverzeichnis muss Folgendes ersichtlich sein:

der Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

  • der Zweck der Verarbeitung;
  • die Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien für den Datenschutz sowie, wenn möglich,
  • vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien.