FAQ DSGVO

Die wichtigsten Fragen für Schulen im Zusammenhang mit der EU-Datenschutz-Grundverordnung, Stand: 25.05.2018

Seit dem 25.05.2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Wie bei jeder Einführung eines neuen Gesetzes gibt es auch diesmal Unsicherheiten und offene Fragen. Dieses Dokument soll einen ersten Überblick über die wichtigsten Fragen bieten und helfen, Missverständnisse und eine unnötige Besorgnis zu vermeiden.

Bedarf die Datenweitergabe durch Berufsbildende Schulen an Ausbildungsbetriebe bezüglich der Fehlzeiten und der Leistungsstände der Auszubildenden im Rahmen der dualen Berufsausbildung der vorherigen Einwilligung?

Nein, dies ist nicht erforderlich solange besondere schutzwürdige Belange nicht betroffen sind.

Bedarf die Datenweitergabe durch Berufsbildende Schulen an die Kammern im Rahmen der dualen Berufsausbildung, z.B. Klassenlisten oder die Namen und Adressen von Lehrkräften für die Berufung von Prüfungsausschüssen oder die Durchführung der überbetrieblichen Lehrlingunterweisung, der vorherigen Einwilligung?

Nein, auch in diesen Fällen ist keine vorherige Einwilligung erforderlich.

Müssen Schulen bei Datenschutzverstößen seit dem 25.05.2018 mit der Verhängung eines Bußgeldes rechnen?

§ 20 Abs.5 des neu gefassten Niedersächsischen Datenschutzgesetz (NDSG) regelt, dass der Landesbeauftragten für den Datenschutz die Befugnis Bußgelder gegen öffentliche Stellen zu verhängen nur zusteht, soweit diese als Unternehmen am Wettbewerb teilnehmen. Das ist bei den Schulen nicht der Fall. Daher kann gegen Schulen wegen Datenschutzverstößen kein Bußgeld verhängt werden.

Müssen behördliche Datenschutzbeauftragte in Schulen seit dem 25.05.2018 verpflichtende Fortbildungen besuchen oder sich zertifizieren lassen?

Die DSGVO enthält keine neuen Fortbildungs- oder Zertifizierungspflichten. Die oder der Datenschutzbeauftragte soll Fachwissen, auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen. Wie dieses Fachwissen erworben wird, ist jeder bzw. jedem Datenschutzbeauftragten selbst überlassen. Aus hiesiger Sicht ist der Besuch einer Fortbildung nach der Bestellung zur oder zum Datenschutzbeauftragten völlig ausreichend.

Welche konkreten Schritte muss eine Schule zur Umsetzung der Vorgaben der DSGVO unternehmen?

Der erste und wichtigste Schritt ist die Bestellung einer oder eines Datenschutzbeauftragten.

Im nächsten Schritt sollte das in Art. 30 DSGVO geforderte Verzeichnis der Verarbeitungstätigkeiten erstellt werden. In dieses Verzeichnis sind sämtliche Vorgänge und Prozesse, bei denen in der Schule personenbezogene Daten verarbeitet werden, einzutragen.

Im dritten Schritt sollte die Homepage der Schule überprüft werden. Insbesondere ist darauf zu achten, dass die Datenschutzerklärung den aktuellen Anforderungen entspricht.

Gibt es für behördliche Datenschutzbeauftragte in Schulen durch die DSGVO erhöhte Haftungsrisiken?

Nein, die DSGVO ändert nichts daran, dass weiterhin die Schulleiterin oder der Schulleiter die rechtliche Verantwortung dafür trägt, dass an der Schule die datenschutzrechtlichen Vorschriften eingehalten werden. Die oder der Datenschutzbeauftragte ist lediglich verpflichtet, die Schulleitung zu beraten und auf mögliche Datenschutzverstöße hinzuweisen. Zum einem entstehen bei Datenschutzverstößen nur sehr selten Vermögensschäden. Zum anderen würde die oder der Datenschutzbeauftragte nur bei grober Fahrlässigkeit oder Vorsatz haften, falls im Ausnahmefall doch ein Vermögensschaden eintreten würde. Einer als Datenschutzbeauftragter tätigen Lehrkraft wird allerdings nur in atypischen Ausnahmefällen in Bezug auf eine fehlerhafte datenschutzrechtliche Beratung der Vorwurf der groben Fahrlässigkeit gemacht werden können.

Warum gibt es im Moment sehr viele Artikel zum Thema DSGVO, in denen von erheblichen rechtlichen Risiken die Rede ist und in denen die Neuerungen durch die DSGVO mit Besorgnis betrachtet werden?

Die DSGVO bringt für die Wirtschaft wesentlich mehr Neuerungen als für den öffentlichen Bereich. Viele aktuelle Artikel zur DSGVO beziehen sich auf Neuerungen, die nur für die Wirtschaft Auswirkungen haben, z.B. die Möglichkeit wegen Datenschutzverstößen Bußgelder verhängt zu bekommen. Da dieses Risiko für die Schulen nicht besteht,  besteht kein Grund zur Besorgnis.

Auf welche Art und Weise unterstützt die NLSchB die Schulen bei der Umsetzung der Vorgaben der DSGVO?

Die NLSchB wird Muster, z.B. für ein Verzeichnis für Verarbeitungstätigkeiten, auf ihrer Homepage einstellen. Auf Fortbildungsveranstaltungen für schulische Datenschutzbeauftragte, welche die NLSchB demnächst anbieten wird, wird die Thematik Umsetzung der Vorgaben der DSGVO vertieft behandelt werden.

Dürfen Schulen Schülerdaten an Gesundheitsämter und Träger der Schülerbeförderung übermitteln?

Auch nach Inkrafttreten der Datenschutzgrundverordnung ist die Übermittlung personenbezogener Daten von Schülerinnen und Schülern und deren Erziehungsberechtigten an untere Gesundheitsbehörden zur Durchführung der Untersuchungen nach § 56 Niedersächsisches Schulgesetz (NSchG) zulässig. Das Gleiche gilt für Datenübermittlungen an die Träger der Schülerbeförderung zur Wahrnehmung dieser Aufgabe gemäß § 114 NSchG. Die Einholung von Einwilligungen der Erziehungsberechtigten ist nicht erforderlich.

Dieser Datenaustausch war bereits vor dem Inkrafttreten der DSGVO geregelt und hat sich durch die neue Gesetzeslage nicht geändert.

An den Schulzahnarzt dürfen Schülerdaten mangels Vorliegen einer gesetzlichen Grundlage nur aufgrund einer Einwilligung weitergegeben werden. Sofern eine entsprechende Einwilligungserklärung vorliegt, dürfen die personenbezogenen Daten von der Schule an das Gesundheitsamt für die Durchführung der schulzahnärztlichen Untersuchung weitergegeben werden.

Müssen öffentliche Schulen in Niedersachsen wegen der Datenschutzgrundverordnung (DSGVO) mit kostenpflichtigen Abmahnungen rechnen?

In den Medien ist momentan viel davon zu lesen, dass Abmahnanwälte die Regelungen der DSGVO für ihre Zwecke nutzen könnten. Teilweise werden sogar Abmahnwellen befürchtet. Dieser Beitrag soll klären, ob für öffentliche Schulen in Niedersachsen die Gefahr solcher kostenpflichtiger Abmahnungen wirklich besteht.

Was ist eine Abmahnung?
Eine Abmahnung ist eine auf einen zivilrechtlichen Anspruch gestützte Aufforderung zur Unterlassung eines pflicht- oder rechtswidrigen Verhaltens. Diese ist mit der Androhung weiterer Schritte, z.B. dem Ausspruch einer Kündigung eines Arbeitsvertrages oder Antrag auf Erlass einer einstweiligen Verfügung verbunden.

Warum wurden Schulen in der Vergangenheit lediglich wegen Urheberrechts-, nicht aber wegen Wettbewerbsverstößen kostenpflichtig abgemahnt?
Die Schulen wurden in der Vergangenheit nicht wegen Verstößen gegen das Wettbewerbsrecht kostenpflichtig abgemahnt, weil sie nicht als Wettbewerber am Markt teilnehmen. Aus diesem Grund war es bisher für Rechtsanwälte nicht möglich, Schulen wegen Datenschutzverstößen kostenpflichtig abzumahnen.

Ändert sich durch die DSGVO daran etwas?
Die DSGVO führt zwar zu Änderungen der datenschutzrechtlichen Anforderungen, nicht aber des Grundsatzes, dass Verstöße gegen datenschutzrechtliche Vorschriften nur dann kostenpflichtig abgemahnt werden können, wenn die Parteien als Wettbewerber am Markt teilnehmen. Daher drohen auch weiterhin lediglich Abmahnungen wegen Urheberrechtsverstößen, nicht aber wegen Datenschutzverstößen.

Können zukünftig anspruchsberechtigte Verbände, z.B. Verbraucherschutzverbände, Schulen wegen Datenschutzverstößen kostenpflichtig abmahnen?
Ein solches Abmahnrisiko besteht nicht, weil solche Verbände nur Verstöße gegen das Datenschutzrecht durch Unternehmen gegenüber Verbrauchern, nicht aber durch öffentliche Stellen gegenüber Bürgern abmahnen können.

Können zukünftig Erziehungsberechtigte einen Rechtsanwalt beauftragen, die Schule wegen Datenschutzverstößen kostenpflichtig abmahnen?
Sofern Erziehungsberechtigte einen Rechtsanwalt beauftragen, um gegen eine Schule wegen eines Datenschutzverstoßes vorzugehen, kann dieser sich wie bisher schriftlich bei der Schule oder der Aufsichtsbehörde beschweren und Unterlassung fordern. Ein solches Schreiben ist jedoch keine kostenpflichtige Abmahnung. Die DSGVO enthält keine Vorschrift, welche die Schule in einem solchen Fall zur Tragung des Honorars des Rechtsanwalts verpflichten würde.

Fazit
Auch nach dem 25.05.2018 müssen Schulen nicht befürchten, wegen Verstößen gegen datenschutzrechtliche Vorschriften kostenpflichtig abgemahnt zu werden.

Artikelaktionen

Bearbeitet von: W. Deffner     letzte Änderung 2018-11-05T09:21:08+01:00