DÜSSELDORF. Wenn es um Datenschutz geht, dann geht es nicht selten auch um Meinungen. Einige dieser Annahmen sind allerdings schlichtweg falsch und entpuppen sich bei genauem Hinsehen als regelrechte Mythen. Unser Gastautor Ingo Goblirsch ist Externer Datenschutzbeauftragter und Berater für Datenschutz und Informationssicherheit. Er berät seit über 15 Jahren kleine und mittelständische Unternehmen, Freiberufler, Städte und Gemeinden und stößt bei seiner Arbeit immer wieder auf ähnliche Missverständnisse – die besonders dann fatale Konsequenzen haben können, wenn es um die Verantwortlichkeit für den Datenschutz geht. Im Folgenden hat der Datenschutzbeauftragte daher das schulische Umfeld genauer unter die Lupe genommen und räumt mit einigen falschen Vorstellungen auf.
1. Mythos: Das Versprechen, „Serverstandort Deutschland“, lässt auf hohen Datenschutz-Standard schließen.
Anbieter von IT, die in Schulen eingesetzt werden, sprechen werbliche Aussagen aus, die häufig wie eine rechtliche Zusicherung wirken. Beispielsweise: Unser Serverstandort in Deutschland garantiert 100%igen Schutz Ihrer Daten in der Cloud. Oder auch gern genommen: In deutschen Rechenzentren werden Ihre Daten nach Vorgabe der EU-DSGVO verarbeitet. Solche Werbeversprechen suggerieren, dass allein der Standort von Servern schon gewährleistet, dass alle datenschutzrechtlichen Anforderungen erfüllt sind oder dass ein Höchstmaß an IT- Sicherheit gegeben ist.
Die Wahrheit: Datenschutz ist mehr als nur ein Server-Standort innerhalb des Geltungsbereichs der EU- Datenschutz-Grundverordnung (EU-DSGVO). Datenschutz ist auch mehr als nur ein Cookie-Banner oder ein Einwilligungsbanner. Zum Datenschutz gehören alle Maßnahmen, die getroffen werden, um personenbezogene Daten angemessen und rechtssicher zu verarbeiten. Und das beginnt mit der Konzeption von Prozessen, welche die Verarbeitung von Daten gewährleisten, über deren Umsetzung, bis hin zur regelmäßigen Kontrolle und Prüfung dieser Prozesse.
2. Mythos: Die Schulleitung ist aus der Verantwortung, wenn der Schulträger sich um den Datenschutz kümmert
Die Wahrheit: Eine Schulleitung ist verantwortlich für jede Datenverarbeitung an ihrer Schule gemäß EU-DSGVO. Sie allein ist verantwortlich und sie kann diese Pflicht nicht auf die die Gemeinde oder den Schulträger abwälzen. Auch nicht die Bezirksregierung oder das Kultusministerium werden hier haftbar gemacht – die Schulleitung muss alle Anforderungen, die den Datenschutz betreffen, also beispielsweise die EU-DSGVO oder die entsprechenden Regelungen in den landesspezifischen Schulgesetzen, einhalten und diese Einhaltung auch kontrollieren und nachweisen können. Denn die EU-DSGVO sagt unter Artikel 5, Absatz 2, dass eine Nachweis- oder auch Rechenschaftspflicht besteht, wenn Daten verarbeitet werden. Und dazu benötigt die Schulleitung Know-how und datenschutzrechtliches Wissen, das in der Regel vom benannten Datenschutzbeauftragten der Schule kommen sollte.
Wir unterstützen Schulen dabei, Office 365 datenschutzkonform zu nutzen.
In der Corona-Krise haben viele Schulen schnell handeln müssen und dabei nicht immer alle Datenschutz-Vorgaben beachten können. Um perspektivisch mit den so entstandenen Lösungen arbeiten zu können – und nicht absehbar die bisher geleistete Arbeit komplett aufgeben zu müssen–, gibt es das Verwaltungsnetzwerk von AixConcept, das mit Blick auf die Erfordernisse des Datenschutzes konfiguriert ist.
Auch bei den Aufgaben, die sich Schulen darüber hinaus beim Datenschutz stellen – Einverständniserklärungen von Eltern einholen zum Beispiel – hilft AixConcept: etwa mit elektronischen Vorlagen, die automatisch aus einem einmal angelegten Verteiler versendet und digital unterschrieben vom System gesammelt und ausgewertet werden. Und was passiert, wenn Eltern die Zustimmung verweigern? Selbst dafür gibt es dann Lösungen – die Anonymisierung von Schülerinnen- und Schülerdaten etwa.
Erfahren Sie mehr unter https://aixconcept.de/loesungen/ und vereinbaren Sie noch heute einen Beratungstermin! Sie erreichen uns per Mail vertrieb@aixconcept.de oder gerne auch telefonisch +49 (2402) 389 4110
3. Mythos: Ein Datenschutzbeauftragter einer Schule sorgt sicher für den Datenschutz
Die Wahrheit: Schulen sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Wo der sitzt, ist in Deutschland unterschiedlich geregelt. In manchen Ländern gibt es dafür eine externe Stelle, die zum Beispiel beim Kultusministerium angesiedelt ist. In manchen Städten ist es so, dass es eine abgeordnete Lehrkraft gibt, die für alle achtzig bis hundert Schulen im Stadtgebiet als Datenschutzbeauftragter benannt wird. Und mancherorts ist es so, dass die einzelne Schule eine Lehrkraft benennt, die für diese Schule Datenschutzbeauftragte oder Datenschutzbeauftragter ist.
Ein Datenschutzbeauftragter braucht Wissen um die betrieblichen oder die verwaltungstechnischen Prozesse in einer Schule. Er muss wissen, wie werden Daten von Schülern in der Schule verarbeitet – von der Anmeldung bis hin zur Zeugnisübergabe und zur Archivierung. Was er darüber hinaus benötigt, das ist ein tiefergehendes IT-Verständnis, um die dahinterliegenden Prozesse zu verstehen. Dies gilt auch für die Datenverarbeitung bei Lehrerinnen und Lehrern. Darüber hinaus muss er juristisch auf der Höhe sein, um die Rechtslage überblicken zu können. Natürlich werden Fort- und Weiterbildungen angeboten, die das alles versprechen.
In der Praxis gibt es aber häufig Probleme: Lehrerinnen und Lehrer haben nun mal in der Regel keine Ausbildung zum Datenschutzbeauftragten, und Fortbildungen haben nicht die erforderliche Qualität. Ein einwöchiger Kurs bei einer externen Einrichtung ist das absolute Minimum, das dafür nötig ist – und nicht einmal das ist überall gewährleistet. Und von den tagesaktuellen Informationen, beispielsweise Urteilen zur Übermittlung von Daten in unsichere Drittstaaten, gar nicht erst zu sprechen.
Ein weiteres Problem ist die Zeit: Ein Datenschutzbeauftragter einer einzelnen Schule bekommt in der Regel keine einzige Anrechnungsstunde dafür, Datenschutzbeauftragte von ganzen Städten und Gemeinden vielleicht mal vier – für bis zu achtzig Schulen. Da kann man sich leicht vorstellen, wie häufig der an jeder einzelnen Schule mal vorbeikommt und Fragen der Schulleitung zur datenschutzkonformen Gestaltung von Verarbeitungstätigkeiten beantworten kann. Die Schulleitung ist allerdings verpflichtet, jemanden zu benennen, der als Datenschutzbeauftragter qualifiziert ist. Benennt die Schulleitung jemanden, der dafür nicht ausgebildet ist, verstößt sie gegen geltendes Recht – und zwar vorsätzlich.
Ingo Goblirsch ist seit über 15 Jahren als Externer Datenschutzbeauftragter und Datenschutzberater für Unternehmen, Selbständige, Städte und Gemeinden tätig. Er arbeitete unter anderem als Projektleiter EU-Datenschutz-Grundverordnung (EU-DSGVO), IT-Revisor und IT-Compliance Officer. Auf seiner Homepage erfahren Sie mehr: www.goblirsch.org
“Benennt die Schulleitung jemanden, der dafür nicht ausgebildet ist, verstößt sie gegen geltendes Recht – und zwar vorsätzlich.”
oder “Benennt sie niemanden (Lehrkraft), weil es niemanden (Lehrkraft) gibt, versößt sie gegen geltendes Recht” – für einen Exterenen benötigt Sie Budget, dass sie nicht hat.
Irgendwie dumm gelaufen.
Ein wichtiger Punkt fehlt noch. Neben den Wissen muß der Datenschutzbeauftragte auch die Kompetenz haben, damit umgehen zu können, dass er nicht zu den beliebtesten Lehrkräften gehören wird, wenn er notwenige Maßnahmen einleitet muß.
Warum wurde die Schulleitung in die Pflicht gesetzt?
Wo steht das Land als Dienstherr?
Welche technischen und personellen Ressourcen stellt das Land zur Verfügung, damit die Bediensteten ihre Arbeit entsprechend verrichten können?
Es ist so leicht, die Verantwortung nach unten durchzureichen.
Frage 3 ist leicht beantwortet. Es gibt diverse Kurse, die jede Lehrkraft unter dem Deckmantel gut durch die Digitalisierung zu kommen, durchlaufen muß. Danach weiß jede Lehrkraft, was sie darf und was sie nicht darf. (einige Lehrkräfte schaffen diese Kurse “locker” in 30 Minuten)
Das Gute ist, der Staat kann sagen, ich habe es euch gesagt und es ist mit Durchlauf des Frotbildungs-Lehrgangs dokumentiert .
Wenn es zu Verstößen kommt, dann hat die LK falsch gehandelt.
Wenn die LK sich dran hält, kann sie ihren digitalen Unterricht in der Regel wieder einstampfen.
Ja, es ist leider sehr leicht, die “Verantwortung” nach unten zu geben.
“sehr leicht, die „Verantwortung“ nach unten zu geben”
Nicht unbedingt: Man sollte gezielt und detailliert nachfragen nach einem solchen Schnellkurs, denn etliche Probleme bzw. Fallsituationen werden darin sicherlich in keiner ausreichenden Weise oder gar nicht behandelt worden sein. I.d.R. wird man auf Antworten länger warten müssen, was einen Hinweis gibt, wie schwierig der ganze Themenkomplex Datenschutz sich in der schulischen Alltagswelt darstellt.
Eigentlich ist es so, dass die Entität die Verantwortung trägt, die sich den Anbieter der Leitung auswählt.
Klar, in der freien Wirtschaft ist das die Firma, die sich den Anbieter raussucht.
Im Bereich Staat, und speziell Schule, gibt es eben die Konstellation Dienstherr und Büttel, oder wie das früher hieß . Damit hat die alleinige Verantwortung IMMER der Dienstherr (aalso BildungsministerIn), denn dieser ist der Herr des Ganzen, und nicht der Büttel (die Schule, die Lehrer). Das ergibt sich allein schon aus dem Beamtenstatus.
Wenn der Datenschutzbeauftragte ganz klar ein System vorgibt, und der die BM dieses System den Schulen ausdrückt, dann sind diese Beiden doch diejenigen, die das angefordert haben und somit diejenigen, welche die Konsequenzen tragen müssen, wenn mit verordneten Lösung Probleme auftreten. Wenn der Anbieter einer Lösung nicht sicher genug ist, dann ist die Entität in der Haft, die sich diesen Anbieter ausgesucht hat. Daher sollte man vorsichtig sein zu behaupten, es sind IMMER die Schulen in der Haft. Das stimmt nämlich nicht, wenn jemand anderes (BM und Datenschützer) sich das System herausgesucht haben und es den Schulen aufdrücken. Die sind auch nur Empfänger und Kunde und hatten keine Möglichkeit, ein besseres System zu wählen.
Da bin ich mir nicht so sicher, weil die Schulträger die Kommunen sind, und diese somit die Infrastruktur finanzieren müssen. Ich stelle mir also eher das Szenario vor, dass der Datenschützer evtl. in Kooperation mit dem Kultusministerium etwas vorgibt, die Kommunen als Schulträger sich aufgrund von Haushaltssicherungskonzepten für irgendetwas möglichst kostengrünstiges entscheiden und der Schulleitung die konkrete Umsetzung an der Schule aufdrücken. Dass da nichts Gescheites herumkommt, dürfte auf der Hand liegen.
Genauso ist es – bis auf: “was der Datenschützer vorgiebt”.
Der “Datenschützer” darf nichts vorgeben, dieser berät nur bzw. prüft, ob das eingesetzte oder das künftige Produkt datenschutzkonform betrieben werden kann!
In der Wirtschaft sagt der DSB dann: Lieber Kunde, Du solltest dieses Produkt nicht einsetzen, weil…! Tut er es trotzdem, hat dieser natürlich alle Konsequenzen zu tragen.
Es muß sich ja nur ein Kunde (Eltern) vom Verantwortlichen (Schulträger) wehren, dann ist Schluß mit lustig!
Die Entscheidungskraft bzw. die Aufgabe der Auswahl des Produktes liegt m.E. beim Schulträger (Kommunen). Leider haben diese so einiges in den letzten Jahren verpennt und es ist angeblich kein Geld da (aber iPads kaufen können!). Normalerweise müßten auch die Lehrkräfte regelmäßig im Datenschutz zumindest geschult werden, was eventl. an einigen Schulen versäumt wurde. Denn ich kann mir z.B. nicht erklären, warum Emails an Eltern immernoch im offenen Verteiler (also kein BCC) versendet werden (ok, das ist eine Kleinigkeit, aber da geht Datenschutz schon los) – Sie wissen es einfach nicht! Hier müßte tatsächlich auch einmal von Landesebene angesetzt werden.