Mein Arbeitsplatz

Aufgaben der Schulleitung

Herausforderung Europäische Datenschutzgrundverordnung (EU-DSGVO)

von Jost Baum

Dieser Fachbeitrag ist Teil des Themenspecials Schule digital

Sie wollen den kompletten Text lesen?

Worum es geht

Bisherige Grundlage für den Datenschutz in den Ländern der Bundesrepublik Deutschland waren die Landesdatenschutzgesetze, die das Bundesdatenschutzgesetz zur Grundlage hatten und die in ihren konkreten Regelungen unterschiedlich ausgestaltet waren. Hinzu kamen für die Schulen die nachgeordneten Regelungen der Kultusministerien. Nun, nach Inkrafttreten der EU-DSGVO müssen die Mitgliedsstaaten der Europäischen Union ihre landesgesetzlichen Regelungen und Ausführungsbestimmungen entsprechend ändern bzw. prüfen, inwieweit ihre Regelungen der neuen Grundverordnung bereits entsprechen. Das ist teilweise bereits geschehen, doch der Prozess wird noch einige Zeit andauern.

Um bestehende Unsicherheiten an den Schulen zu mindern, werden im Beitrag einige wichtige Konsequenzen für Schulleitungen dargestellt.

1. Geltungsbereich der EU-DSGVO

Ab dem 25. Mai 2018 gilt die EU-DSGVO unmittelbar in sämtlichen Mitgliedsstaaten der Europäischen Union. Damit wird das bestehende Datenschutzrecht harmonisiert und durch einen einheitlichen europäischen Rechtsrahmen ersetzt, der aber auch eine Vielzahl von Öffnungsklauseln und Regelungsaufträge für den nationalen Gesetzgeber enthält. Dies betrifft insbesondere die Möglichkeit der Schaffung fachspezifischer Normen für bestimmte Bereiche, wie z. B. für die Schulen der einzelnen Mitgliedsländer. Die EU-DSGVO gilt also unter anderem für die Schulen der 16 Bundesländer, in denen jeweils unterschiedliche Schulgesetze gelten, die alle entsprechend angepasst werden müssen. Die An-passung der entsprechenden fachspezifischen Datenschutzbestimmungen für die Schulen an die unmittelbar geltende EU-DSGVO ist in der Regel erfolgt und sind am 1. August 2018 in Kraft getreten.

2. Wer ist für die Umsetzung verantwortlich?

Die EU-DSGVO und die daran angepassten fachspezifischen Bestimmungen der Schulgesetze, sind die wesentliche gesetzliche Grundlage für den Datenschutz an Schulen. Um den Vorgaben der EU-DSGVO zu entsprechen, müssen die Schulen als öffentliche Stellen bestehende Strukturen und Prozesse zeitnah anpassen und fortentwickeln. Verantwortlich für die Umsetzung der EU-DSGVO ist die Schulleitung der jeweiligen Schule. Hieraus ergeben sich neue Aufgaben, die nur zum Teil delegiert werden können. Für die Einhaltung der datenschutzrechtlichen Regelungen ist in jedem Fall die Schulleitung verantwortlich.

3. Konsequenzen für die Schulleitungen

Die wesentlichen Veränderungen der EU-DSGVO gegenüber dem geltenden Recht und die daraus resultierenden Anforderungen an die verantwortlichen Stellen (Schulleitung) betreffen folgende Bereiche:

  • Die EU-DSGVO sieht erweiterte Dokumentations- und Nachweispflichten vor. Dies betrifft u. a. den Nachweis der Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 2 EU-DSGVO), der erforderlichen technisch-organisatorischen Maßnahmen (Art. 24 EU-DSGVO) und den Einsatz geeigneter Auftragsverarbeiter (Art. 28 EU-DSGVO). Weitere Dokumentationspflichten folgen aus Art. 30 EU-DSGVO (Führung eines Verarbeitungsverzeichnisses) und Art. 33 EU-DSGVO (Dokumentation von Datenschutzvorfällen)
  • Erweitert wird auch der Umfang der Informations- und Auskunftspflichten gegenüber den Betroffenen (Art. 13 – 15 EU-DSGVO). Gemäß Art. 12 Abs. 1 EU-DSGVO sind die Betroffenen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ von der Verarbeitung ihrer personenbezogenen Daten zu unterrichten.
  • Auch die sonstigen Betroffenenrechte werden gegenüber dem bisherigen Recht erweitert. Neu ist u. a. das Recht auf Datenübertragbarkeit (Art. 20 EU-DSGVO).
  • Hat eine Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge, so muss der Verantwortliche zukünftig eine Datenschutz-Folgeabschätzung (Art. 35 EU-DSGVO) durchführen. Die Datenschutz-Folgeabschätzung setzt das Instrument der Vorabkontrolle in einer neuen Ausprägung fort. Diese ist vom Verantwortlichen (Schulleitung und Auftragsdatenverarbeiter) zu erstellen; der oder die Datenschutzbeauftragte hat nur noch eine beratende Funktion. Hierbei sind insbesondere Eintrittswahrscheinlichkeit und Schwere der möglichen Risiken zu bewerten und Maßnahmen zur Eindämmung der Risiken zu prüfen. Ggf. muss der Verantwortliche (Schulleitung) zuvor die Aufsichts-behörde konsultieren (Art. 36 EU-DSGVO).
  • Art. 25 EU-DSGVO regelt die Grundsätze des „Datenschutzes durch Technik und datenschutzrechtliche Voreinstellungen“. Demnach haben Verantwortliche (Auftragsdatenverarbeiter) ihre IT-Systeme so auszugestalten, dass die Grundsätze des Art. 5 Abs. 1 EU-DSGVO wirksam umgesetzt werden. Dies gilt insbesondere für das Gebot der Datenminimierung. Danach dürfen nur so viele Daten erhoben werden, wie zur Erfüllung des Zwecks erforderlich. Zudem müssen IT-Systeme so voreingestellt werden, dass nur die erforderlichen Daten verarbeitet werden.
  • Erstmals wird für öffentliche Stellen eine Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen eingeführt (Art. 33 f. EU-DSGVO).
  • Die Pflicht zur Benennung einer oder eines Datenschutzbeauftragten bleibt für die öffentlichen Stellen zwingend erhalten (Art. 37 Abs. 1 EU-DSGVO). Gleichwohl ändert sich deren Rolle innerhalb der verantwortlichen Stelle: Während ihnen nach bisherigem Recht eine primär beratende und unterstützende Funktion im Hinblick auf die Einhaltung der daten-schutzrechtlichen Normen zukommt, sieht Art. 39 Abs. 1 EU-DSGVO umfassende Überwachungspflichten vor. Die eigentliche Umsetzungspflicht der datenschutzrechtlichen Vorgaben liegt damit bei der Behördenleitung, welche einzelne Aufgaben delegieren kann. Das bedeutet, dass die behördlichen Datenschutzbeauftragten die Schulleitungen beraten und die jeweiligen Datenschutzmaßnahmen überwachen.
  • Das Instrument der Auftragsverarbeitung (AV) wird beibehalten (Art. 28 EU-DSGVO). Allerdings ändert sich die Rolle des Auftragsverarbeiters im Hinblick auf eine mögliche eigene Haftung und Bußgeldpflicht. Dabei teilen sich Auftraggeber (Schulleitung) und Auftragnehmer (Auftragsdatenverarbeiter) die Haftung und mögliche Bußgelder. Es wird angeraten, die bestehenden AV-Verträge zeitnah auf einen durch die EU-DSGVO ausgelösten eventuellen Anpassungsbedarf zu über-prüfen. Vergleiche hierzu den Link: https://www.datenschutzprofi24.de/auftragsdatenverarbeitung-und-dsgvo/
  • Zudem wird durch Art. 82 Abs. 1 EU-DSGVO die zivilrechtliche Haftung bei Datenschutzverstößen auch auf den Ersatz immaterieller Schäden erweitert, für die im Zweifelsfall die Schulleitung bzw. der Auftragsdatenverarbeiter verantwortlich ist.