Würfel mit Paragraphenzeichen liegen auf einer beleuchteten Tastatur
Die Handreichung unterstützt Schulen bei rechtlichen Problemstellungen ©peterschreiber.media - stock.adobe.com

Der Umgang mit personenbezogenen Daten gehört seit jeher selbstverständlich zum Schulalltag. Von der Schulanmeldung bis zum Abschlusszeugnis gibt es kaum einen Vorgang in der Schule, bei dem es nicht um einzelne Menschen geht. Schule ist nicht anonym und soll es auch nicht sein.

Aber nicht alle Informationen sind für jeden bestimmt. Der Einsatz moderner Informations- und Kommunikationstechnologien in Unterricht und Schulverwaltung verlangt einen verantwortungsbewussten Umgang mit personenbezogenen Daten.

Der verlässliche Umgang mit personenbezogenen Daten gehört zu den Grundlagen eines vertrauensvollen Miteinander der Schulfamilie.

Die Online-Handreichung des Bayerischen Staatsministeriums für Unterricht und Kultus zum Datenschutz an Schulen in Bayern soll den Umgang mit Datenschutzfragen an der Schule erleichtern und zum sicheren Umgang mit praxisrelevanten Fragestellungen beitragen.

Aktuelles

Informationen zu Einsatzmöglichkeiten und Grenzen des Einsatzes von KI-Werkzeugen in der Schule enthält der „Orientierungsrahmen Künstliche Intelligenz und Schule“.

Rechtsgrundlagen und Grundbegriffe

Der Datenschutz soll Menschen („natürliche Personen“) davor schützen, dass die Verarbeitung ihrer personenbezogenen Daten ihr Persönlichkeitsrecht unzulässig beeinträchtigt. Dies ist wesentliches Ziel der Datenschutz-Grundverordnung der Europäischen Union (DSGVO).

Die DSGVO gilt als europäische Verordnung in allen Mitgliedstaaten unmittelbar (Art. 2 Abs. 1 DSGVO). Sie hat Anwendungsvorrang gegenüber dem nationalen Recht (Bundes- und Landesrecht), das verbleibende Regelungsspielräume insbesondere für Konkretisierungen nutzt. Daher gelten ergänzend zur DSGVO das Bundesdatenschutzgesetz - BDSG (für nicht öffentliche Stellen, z. B. Privatschulen), das Bayerische Datenschutzgesetz – BayDSG (für öffentliche Stellen, z. B. öffentliche Schulen, Schulverwaltung; siehe Ausführungen unter Bayerisches Datenschutzgesetz) und bereichsspezifische Sondervorschriften, z. B. das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG; siehe Ausführungen unter Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen) und die Bayerische Schulordnung (BaySchO; siehe Ausführungen unter Bayerische Schulordnung).

Die Vorschriften der DSGVO sind sowohl bei automatisierten als auch bei nichtautomatisierten Verarbeitungen personenbezogener Daten (Art. 2 Abs. 1 DSGVO, Art. 2 BayDSG) anzuwenden. Die Vorschriften gelten also unabhängig vom Speichermedium für personenbezogene Daten, die digital verarbeitet, und für personenbezogene Daten, die in Akten, verarbeitet werden.

Für Daten, die nicht digital verarbeitet werden oder in einem Dateisystem (z. B. Schülerakte) gespeichert werden (sollen), gilt die DSGVO ohne die Vorschriften über das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), die Datenschutzfolgenabschätzung (Art. 35 DSGVO) und die vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

Weitere Erläuterungen zur DSGVO finden Sie auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz (abrufbar unter www.datenschutz-bayern.de ). Dort finden Sie im Bereich Datenschutzreform 2018 unter dem Punkt Überblick auch einen Überblick zur DSGVO.

Das Bayerische Datenschutzgesetz (BayDSG) konkretisiert und ergänzt die Bestimmungen der Datenschutzgrundverordnung.

Bereichsspezifische Vorschriften über die Verarbeitung personenbezogener Daten, z. B. im Schulrecht, gehen den allgemeinen Vorschriften des BayDSG vor (Art. 1 Abs. 5 BayDSG). Siehe insbesondere unter Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG).

Weitere Erläuterungen zum Bayerischen Datenschutzgesetz finden Sie in der Veröffentlichung „Das neue Bayerische Datenschutzgesetz – Ein Überblick“ auf der Webseite des Bayerischen Landesbeauftragten für den Datenschutz (abrufbar unter www.datenschutz-bayern.de/datenschutzreform2018/ unter dem Punkt Überblick).

Im Bayerischen Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) gibt es Vorschriften zur Verarbeitung personenbezogener Daten an Schulen. Diese Regelungen gehen den allgemeinen Bestimmungen des BayDSG (siehe dazu Bayerisches Datenschutzgesetz ) vor. Der Grundsatz, dass die Schulen die für ihre Aufabenerfüllung erforderlichen Daten verarbeiten dürfen (Art. 85 Absatz 1 Satz 1 BayEUG), wird für viele Anwendungsfälle im BayEUG und den Schulordnungen konkretisiert.

Die Schulordnungen konkretisieren die Bestimmungen über die Verarbeitung personenbezogene Daten, z. B. durch die Festlegung, welche Daten in Schülerunterlagen oder digitalen Verfahren verarbeitet werden dürfen und wie lange sie aufzubewahren sind.

Nach § 46 Abs. 1 BaySchO dürfen Schulen personenbezogene Daten in Verfahren verarbeiten, die nach Zweck, Umfang und Art den in Anlage 2 zu § 46 BaySchO geregelten Vorgaben entsprechen.

Neben den Vorgaben in Anlage 2 sind zur Beurteilung der Zulässigkeit von Verfahren stets die Anforderungen aus anderen Gesetzen, insbesondere der DSGVO und des BayDSG zu beachten (vgl. § 46 Abs. 1 S. 2 BaySchO). § 46 Abs. 1 S. 1 BaySchO stellt nämlich keine Rechtsgrundlage für die Verarbeitung der in Anlage 2 genannten Daten dar, sondern bezieht sich auf den Einsatz bestimmter Verfahren, also das „Wie“ des Einsatzes. Die Rechtsgrundlage zur Verarbeitung der Daten (das „Ob“ des Einsatzes) muss sich – entsprechend den allgemeinen Grundsätzen – aus einer Verarbeitungsbefugnis nach Art. 6 Abs. 1 DSGVO ergeben (z. B. aus Art. 85 Abs. 1 BayEUG oder einer Einwilligung; siehe Zulässigkeit der Datenverarbeitung - Allgemeines).

Beispiele:

Eine Schule will eine Lern-App im Unterricht einsetzen. Anlage 2 Abschnitt 4 zu § 46 BaySchO (passwortgeschützte Lernplattform) liefert der Schule Hinweise, ob der Einsatz dieser App problemlos möglich ist. Hält die App den Rahmen der Anlage 2 Abschnitt 4 ein (unter anderem die Kategorien der verarbeiteten Daten), kann die Schule die App ohne gesonderte Rechtfertigung einsetzen, wenn zusätzlich eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten vorliegt (in der Regel eine Einwilligung der betroffenen Schülerinnen und Schüler bzw. deren Erziehungsberechtigten; siehe Zulässigkeit der Datenverarbeitung - Einwilligung).

An einer Schule soll zum Schutz vor Vandalismus eine Videoüberwachung eingerichtet werden.
Auch wenn die Anlage nur in dem Umfang betrieben werden soll, der in Anlage 2 Abschnitt 6
zu § 46 BaySchO geregelt ist, muss die Erforderlichkeit der Überwachungsmaßnahme (§ 24 BayDSG) durch eine Dokumentation der Gefährdungslage (Vorfallsdokumentation) nachgewiesen werden.

Wie ist mit Verfahren umzugehen, die sich aus mehreren Abschnitten der Anlage 2 zusammensetzen oder sich nur auf Teile dieser Abschnitte beschränken?

§ 46 Abs. 1 BaySchO ist auch bei Verfahren anzuwenden, die sich aus mehreren Verfahren der Anlage 2 zusammensetzen oder sich auf Teile dieser Verfahren beschränken. Voraussetzung hierfür ist, dass die Regelungen der einzelnen Verfahren, die für den jeweiligen Verarbeitungszweck vorgesehen sind (vgl. die Nummern in Anlage 2), eingehalten werden (§ 46 Abs. 2 BaySchO). Das heißt, die Beurteilung von Verfahren nach Anlage 2 ist grundsätzlich auch dann möglich, wenn es sich um komplexere Schulverwaltungsprogramme handelt oder um Softwareprodukte mit überschneidenden Funktionalitäten.

Die KMBek „Vollzug des Datenschutzrechts an staatlichen Schulen (VollzBek DS – Schulen)“ ist unter folgendem Link abrufbar: BayMBl. 2022 Nr. 435 - Verkündungsplattform Bayern (verkuendung-bayern.de).

Verantwortlich für die Verarbeitung personenbezogener Daten ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).

Dies ist bei einer Datenverarbeitung durch die Schule und ihre Organe bzw. ihre Bediensteten und Beschäftigten (insbesondere Lehrkräfte) stets die jeweilige Schule.

Deshalb trägt die Schulleiterin bzw. der Schulleiter eine besondere Verantwortung für den Datenschutz an der Schule. Sie bzw. er muss die Einhaltung des Datenschutzes an der Schule auch durch geeignete organisatorische Maßnahmen sicherstellen. Hierbei wird sie bzw. er durch den oder die Datenschutzbeauftragten an der Schule bzw. am Schulamt und durch die Multiplikatoren für den Datenschutz an den Dienststellen der Ministerialbeauftragten bzw. an den Regierungen unterstützt. Weiterhin stellt das Staatsministerium für Unterricht und Kultus Material zur Verfügung, dass den Schulen die Umsetzung der Datenschutzbestimmungen erleichtert (z. B. Muster für Datenschutzhinweise im Internetauftritt der Schulen und Musterformulare zur Einwilligung in die Veröffentlichung von personenbezogenen Daten)

Auch bei einer Datenverarbeitung durch die Organe der Schule (z. B. Elternbeirat oder Schülermitverantwortung) ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung grundsätzlich die Schule und nicht das Organ (z. B. der Elternbeirat) oder seine einzelnen Mitglieder (z. B. die Elternbeiratsmitglieder).

Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

Verarbeitet der datenschutzrechtliche Verantwortliche, beispielsweise eine Schule, personenbezogene Daten nicht (nur) selbst, sondern beauftragt damit einen Dienstleister, spricht man von der Auftragsverarbeitung. Die Auftragsverarbeitung ist in Art. 28 DSGVO näher geregelt und kommt in der Praxis sehr häufig vor. Beispiele für Auftragsverarbeiter sind die Anbieter von datenverarbeitender Software, die auf Dienstgeräten des Verantwortlichen läuft, externe IT-Supportfirmen, oder auch die Rechenzentren. Zu beachten ist, dass sich die datenschutzrechtliche Verantwortlichkeit durch eine Auftragsverarbeitung nicht ändert. Adressat der Pflichten aus der DSGVO bleibt weiterhin der Verantwortliche, im Beispiel oben also die Schule.

Für eine wirksame Auftragsverarbeitung und als rechtliche Grundlage der Weitergabe der Daten an den Auftragsverarbeiter bedarf es, soweit keine andere Rechtsgrundlage besteht, eines Vertrags, der sogenannten „Auftragsverarbeitungsvereinbarung“ (AVV), der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Näheres zu den inhaltlichen Anforderungen an eine AVV findet sich in Art. 28 Abs. 3 DSGVO.

Bedient sich der Auftragsverarbeiter selbst eines Dritten zur Auftragserfüllung, ist dieser wiederum Auftragsverarbeiter des Auftragsverarbeiters und wird dem Verantwortlichen gegenüber weiterer Auftragsverarbeiter oder auch „Unterauftragsverarbeiter“ genannt. Regelungen zur Unterauftragsverarbeitung sind in Art. 28 Abs. 2 und 4 DSGVO zu finden. Insbesondere muss der Auftragsverarbeiter mit den Dritten ebenfalls eine (Unter-) AVV abschließen.

Das Bayerische Staatsministerium des Innern, für Sport und Integration stellt auf seiner Homepage unter „Arbeitshilfen“ ein Muster für eine Vereinbarung zur Auftragsverarbeitung (AVV) bereit, welches nur noch an den konkreten Einzelfall angepasst werden muss:

https://www.stmi.bayern.de/sus/datenschutz/arbeitshilfen/index.php

Ausführliche Informationen, wie beispielsweise die nachfolgend verlinkte Orientierungshilfe, finden sich außerdem auf der Seite des Bayerischen Landesbeauftragten für den Datenschutz:

https://www.datenschutz-bayern.de/technik/orient/oh_auftragsverarbeitung.pdf

Die Datenschutz-Grundverordnung (DSGVO) gilt für die Verarbeitung von personenbezogenen Daten (Art. 2 Abs. 1 DSGVO; vgl. auch Art. 2 BayDSG).

Personenbezogene Daten im Sinne der Datenschutz-Grundverordnung sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ (Art. 4 Nr. 1 DSGVO)

Personenbezogen sind Daten also nicht nur dann, wenn eine natürliche Person direkt anhand bestimmter Daten (z. B. des Namens) bestimmt werden kann. Es genügt dabei, wenn eine Person indirekt anhand besonderer Merkmale, zum Beispiel Handschrift, Standortdaten oder IP-Adresse identifiziert werden kann. Bei der Feststellung, ob eine Identifizierung möglich ist, sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um eine natürliche Person zu bestimmen.

Daher lässt eine Pseudonymisierung (Art. 4 Nr. 5 DSGVO) den Personenbezug grundsätzlich nicht entfallen. Bei einer Pseudonymisierung kann der Verantwortliche oder ein beliebiger Dritter die betroffene Person nämlich durch zusätzliche Informationen (z. B. einer Kennnummer) identifizieren. Auch auf pseudonymisierte Daten ist die DSGVO daher grundsätzlich anwendbar.

Anonym sind Daten nur, wenn sie sich auch zusammen mit zusätzlichen Informationen keiner bestimmten Person zuordnen lassen.

Für den Personenbezug ist unbeachtlich, welches Speichermedium verwendet wird (Papier, Festplatte, DVD) und ob das Verfahren automatisiert oder händisch ist.

Beispiele für personenbezogene Daten, die an der Schule verarbeitet werden, finden sich in deren Datenschutzhinweisen (siehe hierzu die Ausführungen unter Datenschutzhinweise im Internetauftritt für Schulen in dieser Handreichung).

Zulässigkeit der Datenverarbeitung

Im Rahmen der Zulässigkeit einer Datenverarbeitung müssen stets die Grundsätze des Art. 5 DSGVO eingehalten werden. Zu beachten sind hier insbesondere der Grundsatz der Rechtmäßigkeit der Datenverarbeitung, der Zweckbindung, der Datenminimierung und der Transparenz (siehe dortige Ausführungen).

Weiterführende Hinweise:

Der Grundsatz der Erforderlichkeit ist einer der zentralen Grundsätze des Datenschutzes.

Nach Art. 85 Abs. 1 S. 1 BayEUG dürfen Schulen die zur Erfüllung ihnen durch Rechtsvorschrift zugewiesenen Aufgaben erforderlichen Daten verarbeiten. Ob eine Datenverarbeitung zur Aufgabenerfüllung der Schule erforderlich ist, muss in jedem Einzelfall mit Blick auf die konkret zugewiesene Aufgabe beurteilt werden.

Die Aufgabenzuweisung ergibt sich aus den einschlägigen Spezialregelungen, vor allem dem BayEUG, den Schulordnungen, dem Bayerischen Schulfinanzierungsgesetz (BaySchFG), dem Bayerischen Beamtengesetz (BayBG), dem Beamtenstatusgesetz (BeamtStG), etc. In den Rechtsvorschriften müssen die zur Verarbeitung zulässigen Daten nicht einzeln aufgeführt sein. Dies darf jedoch nicht dazu führen, dass wahllos Daten verarbeitet werden, die an der Schule vielleicht irgendwann einmal zur Erfüllung ihrer Aufgaben benötigt werden könnten - das wäre eine unzulässige Datensammlung auf Vorrat. Die Schulen haben vielmehr bei jedem Datum konkret zu prüfen, auf Grundlage welcher Rechtsvorschrift im Einzelnen seine Verarbeitung zulässig ist und ob seine Verarbeitung für die Erfüllung der Aufgabe der Schule schon jetzt tatsächlich erforderlich ist.

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn eine Rechtsgrundlage für die Verarbeitung vorliegt (vgl. Art. 6 Abs. 1 DSGVO). Die Datenverarbeitung muss also durch eine Rechtsvorschrift erlaubt oder angeordnet sein (z. B. durch Art. 85 Abs. 1 S. 1 BayEUG) oder die betroffene Person muss in die Verarbeitung wirksam eingewilligt haben (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst a DSGVO).

Der Begriff der Einwilligung ist in Art. 4 Nr. 11 DSGVO definiert:

„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Eine wirksame Einwilligung muss folgende Voraussetzungen erfüllen (siehe auch Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO):

  • sie muss freiwillig sein: die betroffenen Personen müssen eine echte und freie Wahl haben, ihre Zustimmung zu erteilen, ohne dass ein (sozialer) Druck entsteht; bei der Einholung von Einwilligungen für den Unterricht ist die Freiwilligkeit aufgrund der Schulpflicht der Schülerinnen und Schüler kritisch; daher ist sicherzustellen, dass diese keinem faktischen Druck ausgesetzt sind, zuzustimmen; Nichtzustimmende dürfen keine Nachteile haben, insbesondere nicht in eine andere Klasse versetzt oder vom Unterricht ausgeschlossen werden (Beschulungsrecht der Schülerinnen und Schüler)
  • sie muss informiert erfolgen; insbesondere müssen betroffene Personen wissen, dass und in welchem Umfang die Einwilligung erteilt wird, wer verantwortlich ist, zu welchem Zweck die Daten verarbeitet werden und bei einer Übermittlung der Daten an Dritte weitere Punkte hierzu;
  • sie muss sich auf einen oder mehrere bestimmte Zwecke beziehen (Zweckbindung);
  • sie muss sich auf eine bestimmte Verarbeitung beziehen, insbesondere auf alle Schritte der Datenverarbeitung (z. B. nicht nur auf die Erhebung der Daten, sondern auch auf die Veröffentlichung);
  • sie muss jederzeit, mit Wirkung für die Zukunft widerrufen werden können (Widerrufsrecht); über die Möglichkeit des Widerrufs ist in der Einwilligung zu informieren;
  • aus Gründen der Nachweispflicht der Schule sollte eine Einwilligung nur schriftlich eingeholt werden (vgl. Art. 7 Abs. 1 DSGVO).

Bei minderjährigen Schülerinnen und Schülern bis zur Vollendung des 14. Lebensjahres muss mindestens eine erziehungsberechtigte Person einwilligen, bei minderjährigen Schülerinnen und Schülern ab Vollendung des 14. Lebensjahres zusätzlich diese selbst.

Im schulischen Bereich sollte eine Einwilligung der Schülerinnen und Schüler nur eingeholt werden, wenn die Verarbeitung der personenbezogenen Daten in den schulischen Aufgabenbereich fällt und einen Bezug zu schulischen Aufgaben hat. Dabei haben Schulen stets zu berücksichtigen, dass die Voraussetzungen der vom Gesetzgeber verfassten Rechtsgrundlagen zur Datenverarbeitung (insbesondere Art. 85 Abs. 1 S. 1 BayEUG) nicht beliebig durch die Einholung einer Einwilligung umgangen werden dürfen. Je tiefer der schulische Eingriff in die Rechte der betroffenen Personen ist, desto eher verbietet sich das Einholen einer Einwilligung.

Musterformulare finden sich unten unter dem Punkt „Formulare und Muster“.

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürften nicht für andere Zwecke weiterverarbeitet werden, die mit diesen Zwecken unvereinbar sind („Zweckbindung“, Art. 5 Abs. 1 Buchst. b DSGVO).

Daher legen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten meist ausdrücklich einen bestimmten Zweck fest. Die Schulen dürfen auf Grundlage von Art. 85 Abs. 1 S. 1 BayEUG zum Beispiel die personenbezogenen Daten nur zur Erfüllung der Aufgaben verarbeiten, die ihnen durch Rechtsvorschriften zugewiesen sind.

Auch eine Einwilligung in die Verarbeitung personenbezogener Daten ist immer an bestimmte Zwecke gebunden.

Personenbezogene Daten dürfen nur verarbeitet werden, wenn sie für den Zweck der Verarbeitung angemessen und erheblich sind und die Verarbeitung auf das notwendige Maß beschränkt ist („Grundsatz der Datenminimierung“; Art. 5 Abs. 1 Buchst. c DSGVO).

Personenbezogene Daten dürfen insbesondere nur dann verarbeitet werden, wenn sich der Zweck der Verarbeitung nicht auf andere zumutbare Weise erreichen lässt (vgl. DSGVO, EG 39).

Lässt sich der Verarbeitungszweck z. B. in zumutbarer Weise auch durch eine anonyme Verarbeitung von Daten erreichen, ist diese Form der Verarbeitung einer personenbezogenen Verarbeitung vorzuziehen.

Für die betroffene Person muss nachvollziehbar sein, wie ihre Daten verarbeitet werden („Grundsatz der Transparenz“, Art. 5 Abs. 1 Buchst. a DSGVO). Alle Informationen zur Verarbeitung personenbezogener Daten sollen leicht zugänglich, verständlich und in klarer und einfacher Sprache verfasst sein (DSGVO, EG 39). Nur so können betroffene Personen die Verarbeitung ihrer Daten überprüfen und ihre Betroffenenrechte ausüben.

Aus dem Grundsatz der Transparenz ergeben sich unter anderem die Informationspflichten des Verantwortlichen nach Art. 13 bzw. Art. 14 DSGVO(siehe dazu die Ausführungen unter Informationspflichten in dieser Handreichung).

Informationspflichten

Der Verantwortliche muss personenbezogene Daten transparent verarbeiten (siehe oben unter Transparenz). Aus diesem Transparenz-Grundsatz ergeben sich die Informationspflichten des Verantwortlichen nach Art. 13 bzw. Art. 14 DSGVO. Die Informationspflichten werden in der Praxis in der Regel durch Bereitstellung sog. „Datenschutzhinweise“ erfüllt (vgl. das vom Staatsministerium für Unterricht und Kultus zur Verfügung gestellte Muster für Datenschutzhinweise im Internetauftritt staatlicher Schulen in Bayern und die Anwendungshinweise hierzu; siehe dazu unten unter Datenschutzhinweise im Internetauftritt staatlicher Schulen).

Den Nachweis der Erfüllung der Informationspflichten hat die Schule als verantwortliche Stelle zu erbringen.

Weiterführende Hinweise:

Die Informationspflichten werden in drei Fällen ausgelöst:

  • personenbezogene Daten werden direkt bei der betroffenen Person erhoben (Art. 13 DSGVO)
  • personenbezogene Daten werden nicht bei der betroffenen Person erhoben (also z. B. bei Dritten oder aus öffentlich zugänglichen Quellen, Art. 14 DSGVO)
  • der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten beim Betroffenen erhoben wurden (Art. 13 Abs. 3 DSGVO) oder sonst erlangt wurden (Art. 14 Abs. 4 DSGVO)

Erfolgt eine Erhebung bei der betroffenen Person, sind die Informationen zum Zeitpunkt der Erhebung mitzuteilen (z. B. auf dem Erhebungsformular). Bei Erhebung personenbezogener Daten nicht bei der betroffenen Person sind die Informationen innerhalb einer angemessenen Frist, spätestens innerhalb eines Monats, bereitzustellen. Bei beabsichtigter Zweckänderung ist die betroffene Person vorab zu informieren (Art. 13 Abs. 3 DSGVO).

Der Inhalt der Informationspflichten ergibt sich aus Art. 13 Abs. 1 und Abs. 2 DSGVO.

Die verantwortliche Schule hat demnach insbesondere Name und Kontaktdaten der Schule, die Kontaktdaten des örtlichen Datenschutzbeauftragten der Schule, Rechtsgrundlage und Zweck der Verarbeitung, sowie etwaige Empfänger von Daten anzugeben (vgl. im Übrigen Art. 13 Abs. 1 DSGVO). Zur Sicherstellung einer transparenten Verarbeitung sind stets auch die Informationen des Art. 13 Abs. 2 DSGVO anzugeben, z. B. die konkrete Speicherdauer der Daten, die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde. Diejenigen Informationen, die der betroffenen Person bereits bereitgestellt worden sind, z. B. im Rahmen der Einschulung, können später als bekannt vorausgesetzt werden (vgl. Art. 13 Abs. 4 DSGVO und die Anwendungshinweise zum Muster für Datenschutzhinweise im Internetauftritt staatlicher Schulen in Bayern).

Bei einer Zweckänderung sind Informationen über den anderen Zweck und alle weiteren maßgeblichen Informationen bereitzustellen (Art. 13 Abs. 3 DSGVO).

Die verantwortliche Schule muss die Informationen den betroffenen Personen in leicht zugänglicher Form zur Verfügung stellen. Hierfür gibt es grundsätzlich zwei Möglichkeiten:

1. Vollständige Information auf dem Erhebungsformular

Die Schule kann die Informationen direkt und vollständig auf dem Erhebungsformular bereitstellen

2. Aufteilen der Informationen in Grundinformationen und weitergehende Informationen

Die Informationen müssen in der Regel nicht vollständig im Erhebungsformular aufgeführt werden, sondern können auch wie folgt aufgeteilt werden:

  • in Grundinformationen, die die Schule direkt auf dem Erhebungsformular bereitstellt (z. B. Verantwortlicher, Verarbeitungszweck, Rechtsgrundlage, Empfänger der Daten, Speicherfristen) und

  • in weitergehende Informationen, die die Schule in ihren Datenschutzhinweisen im Internetauftritt zur Verfügung stellt (z. B. Kontaktdaten der bzw. des Datenschutzbeauftragten, Betroffenenrechte, Beschwerderecht bei der Aufsichtsbehörde)

    Werden die weitergehenden Informationen durch einen Verweis auf Datenschutzhinweise im Internetauftritt bereitgestellt, hat die Schule den betroffenen Personen mitzuteilen, wo genau im Internet die Informationen zum Datenschutz eingesehen werden können. Sie hat den betroffenen Personen also entweder einen Direktlink auf die Datenschutzhinweise im Internetauftritt oder einen einfach zu befolgenden Navigationshinweis zur Verfügung zu stellen. Für den Verweis kann z. B. folgender Satz gewählt werden:

    „Ergänzende Hinweise zum Datenschutz finden Sie unter https://www.musterschulexy.de/datenschutzerklaerung.“

    Im Falle eines „Medienbruchs“, wenn also Datenerhebung und Informationen nach Art. 13 DSGVO mittels unterschiedlicher Medien erfolgen sollen, hat die verantwortliche Schule betroffenen Personen in der Regel alternative Möglichkeiten für den Bezug der Informationen aufzuzeigen, um die Informationen leicht zugänglich zu machen. Will eine Schule Daten z. B. auf dem Papierweg erheben, werden die Informationen aber auf einem anderen Medium (Homepage) bereitgestellt, kann nicht davon ausgegangen werden, dass jede betroffene Person die Informationen über einen Internetzugang abrufen kann. Daher muss die Schule in solchen Fällen zusätzlich zur Online-Bereitstellung noch eine alternative Bezugsmöglichkeit der Informationen vorsehen (z. B. die Möglichkeit, einen entsprechenden Abdruck der Informationen bei einem benannten Ansprechpartner anzufordern).

    Formulierungsbeispiel für den Fall eines oben geschilderten Medienbruchs (Datenerhebung mittels eines Papierformulars und Bereitstellung der Datenschutzhinweise auf der Homepage):

    „Ergänzende Hinweise zum Datenschutz finden Sie unter https://www.musterschulexy.de/datenschutzerklaerung oder können Sie bei Person x unter den oben angegebenen Kontaktdaten der Schule anfordern.“

    Damit staatliche Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können, stellt das Staatsministerium für Unterricht und Kultus ihnen ein verbindliches Muster für Datenschutzhinweise im Internetauftritt zur Verfügung (siehe Ausführungen unten unter Datenschutzhinweise im Internetauftritt staatlicher Schulen).

Damit die Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können (siehe oben unter Informationspflichten), stellt das Staatsministerium für Unterricht und Kultus ein Muster für Datenschutzhinweise im Internetauftritt zur Verfügung. Wenn die Schule das Muster an die Verhältnisse vor Ort anpasst und auf ihrer Homepage einstellt, erfüllt sie damit ihre Informationspflichten für die an allen Schulen üblichen Datenverarbeitungen.

Für Datenverarbeitungen, die nicht von dem Muster erfasst sind, können die Datenschutzhinweise ergänzt werden.

Bei Bedarf kann die Schule gesonderte, auf den Einzelfall angepasste Informationen nach Art. 13 DSGVO bereitstellen und ergänzend auf ihre allgemeinen Datenschutzhinweise verweisen. Dabei empfiehlt es sich, Informationen in Grundinformationen und weitergehende Informationen aufzuteilen (für genaue Erläuterungen siehe oben unter Informationspflichten). So wird es sich z. B. im Rahmen einer Anmeldung zur Klassenfahrt in der Regel anbieten, Informationen zum Verantwortlichen, zum Verarbeitungszweck, zur Rechtsgrundlage der Verarbeitung, zu etwaigen Empfängern der Daten und zu Speicherfristen im Anmeldeformular selbst darzustellen (Grundinformationen) und im Übrigen (z. B. Kontaktdaten der bzw. des Datenschutzbeauftragten, Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde) auf das Muster im Internetauftritt der Schule zu verweisen (weitergehende Informationen).

Abrufbar ist das Muster mit den Anwendungsvorgaben in dieser Handreichung unter Formulare und Muster - Muster-Datenschutzhinweise für Schulen.

Für staatliche Schulen ist das Muster verbindlich, kommunalen und privaten Schulen wird eine Orientierung an diesem Muster empfohlen.

Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten

Bei einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) besteht nach Maßgabe von Art. 33 DSGVO gegenüber der Datenschutzaufsichtsbehörde eine Meldepflicht und nach Maßgabe von Art. 34 DSGVO gegenüber der betroffenen Person eine Benachrichtigungspflicht.

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn eine Verletzung der Sicherheit zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt (Art. 4 Nr. 12 DSGVO). Auch unbeabsichtigte Verletzungen können zur Meldung verpflichten.

Weiterführende Hinweise:

Eine Verletzung des Schutzes personenbezogener Daten („Datenpanne“) an öffentlichen (staatlichen und kommunalen) Schulen in Bayern muss unter den Voraussetzungen des Art. 33 DSGVO dem Bayerischen Landesbeauftragten für den Datenschutz als zuständige Datenschutzaufsichtsbehörde gemeldet werden. Eine Meldung ist nicht erforderlich, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Wann ein Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt, hängt vom Einzelfall ab. Ein meldepflichtiges Risiko besteht insbesondere, wenn die „Datenpanne“ zu erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, beispielsweise zu Diskriminierung, Identitätsdiebstahl oder -betrug, unbefugter Aufhebung der Pseudonymisierung, Rufschädigung oder Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten (vgl. Erwägungsgrund 85).

Beispiel:

Die im Rahmen der Impfberatung an einer Schule eingesammelten Impfausweise gehen verloren.

Die Meldung an die Aufsichtsbehörde muss alle Informationen nach Art. 33 Abs. 3 DSGVO enthalten, also insbesondere eine Beschreibung der Art der Verletzung und die ungefähre Anzahl an betroffenen Personen.

Außerdem hat die Meldung unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, zu erfolgen. Erfolgt die Meldung nicht innerhalb von 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen (Art. 33 Abs. 1 Satz 2 DSGVO).

Zusätzlich zur Meldepflicht besteht eine Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO. Hiernach hat die verantwortliche Schule Verletzungen des Schutzes personenbezogener Daten, alle damit zusammenhängenden Fakten, die Auswirkungen und die ergriffenen Abhilfemaßnahmen zu dokumentieren.

Der Bayerische Landesbeauftragte für den Datenschutz hat ein Online-Meldeformular bereitgestellt, das die nötigen Angaben enthält und dessen Benutzung den bayerischen öffentlichen Stellen daher empfohlen wird:

Hat die Verletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss gemäß Art. 34 DSGVO neben der Meldung an die Datenschutzaufsichtsbehörde auch die betroffene Person benachrichtigt werden. Auch hier ist zur Bewertung des Risikos eine Einzelfallbeurteilung erforderlich (vergleiche oben). Durch die Wahl des Begriffs „hohes Risiko“ wird klar, dass nicht schon bei jeder Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) auch eine Meldung an den Betroffenen (Art. 34 DSGVO) erforderlich ist. Vielmehr muss das Risiko im Rahmen des Art. 34 DSGVO schwerer wiegen als das „einfache“ Risiko im Rahmen des Art. 33 DSGVO.

Die Benachrichtigung an die betroffene Person muss in klarer und einfacher Sprache erfolgen und die in Art. 34 Abs. 2 DSGVO aufgeführten Informationen enthalten. Art. 34 Abs. 3 DSGVO zählt Bedingungen auf, unter denen keine Benachrichtigung erforderlich ist.

Die Benachrichtigung der betroffenen Person hat unverzüglich zu erfolgen. Weitere Aussagen zur Meldefrist werden in Art. 34 DSGVO nicht getroffen. Erwägungsgrund 86 führt jedoch aus, dass die Meldung an den Betroffenen stets so schnell wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde, erfolgen soll. Beispielsweise kann zur Minderung des Risikos eines unmittelbaren Schadens eine sofortige Benachrichtigung erforderlich sein. In weniger akuten Fällen kann auch eine längere Frist gerechtfertigt sein.

Formulare und Muster

Das Staatsministerium für Unterricht und Kultus stellt staatlichen Schulen verbindliche Musterformulare zur Einholung von Einwilligungen in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) im Rahmen der Öffentlichkeitsarbeit der jeweiligen Schule zur Verfügung (siehe unten). Die Formulare sind für neue Einwilligungen stets in der jeweils aktuellsten vorliegenden Fassung zu verwenden; bestehende Einwilligungen auf älteren Formularen bleiben grundsätzlich wirksam.

Kommunalen und privaten Schulen wird empfohlen, sich an den Mustern für staatliche Schulen zu orientieren.

Eine Abänderung der vom Staatsministerium zur Verfügung gestellten Mustereinwilligungserklärungen durch die Schulen ist, abgesehen von den vorgegebenen Optionen wie Angabe der Schulhomepage, nicht vorgesehen.

Soweit Sachverhalte nicht von den Mustern erfasst sind, kann die Schule in eigener Verantwortung Einwilligungen im Einzelfall einholen. Hierbei sind die Voraussetzungen und Maßgaben unter dem Punkt Einwilligung in dieser Handreichung zu beachten, insbesondere sollte eine Einwilligung im schulischen Bereich nur eingeholt werden, wenn die Verarbeitung der personenbezogenen Daten in den schulischen Aufgabenbereich fällt und einen Bezug zu schulischen Aufgaben hat.

Die Einwilligung muss aktiv erklärt werden. Stillschweigen ist keine Einwilligung.

Betroffenenrechte der DSGVO

Informationen zum Umgang mit dem Auskunftsrecht nach Art. 15 DSGVO finden Sie in der folgenden Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz:

Das Recht auf Auskunft: Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz

Macht ein Antragsteller bzw. eine Antragstellerin ein Betroffenenrecht der DSGVO geltend, ist nicht immer klar, ob es sich bei dieser Person tatsächlich um die betroffene Person im Sinne der Art. 12 ff. DSGVO handelt. Zur Identifizierung des Antragstellers bzw. der Antragstellerin können daher ggf. weitere Maßnahmen erforderlich sein. Genauere Ausführungen hierzu finden Sie auf der Homepage des Bayerischen Landesbeauftragten für den Datenschutz.

Weiterführende Hinweise:

Identifizierung bei der Geltendmachung von Betroffenenrechten: Aktuelle Kurz-Information des Bayerischen Landesbeauftragten für den Datenschutz

FAQ Datenschutz

Datenschutzbeauftragter der Schule

Bereits bisher sind für alle staatlichen Schulen Datenschutzbeauftragte bestellt, die für eine oder mehrere Schulen zuständig sind. Weitere Ausführungen zu dem behördlichen Datenschutzbeauftragten an öffentlichen Stellen, insbesondere zu dessen Aufgaben, finden Sie in der Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz.

Weiterführende Hinweise:

Der behördliche Datenschutzbeauftragte: Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz

Datenerhebung durch Dritte

Es kommt immer wieder vor, dass Unternehmen oder sonstige außerschulische Stellen, z. B. gesetzliche Krankenkassen, an Schulen Veranstaltungen abhalten, z. B. Bewerbungstrainings, Vorträge oder Seminare. Dabei wollen einige dieser Unternehmen von den Schülerinnen und Schülern personenbezogene Daten erheben, um ihnen Unterlagen, z. B. Ergebnisse der Veranstaltung oder Informationsmaterialien, zukommen zu lassen. Es ist auch nicht auszuschließen, dass einige Unternehmen die Möglichkeit nutzen, in der Schule in unmittelbaren Kontakt zu Schülerinnen und Schüler zu treten, um für sich zu werben.

Den Schulen ist die Weitergabe von Daten und Unterlagen über Schülerinnen und Schüler und Erziehungsberechtigte an außerschulische Stellen untersagt, es sei denn, die Weitergabe erfolgt zur Erfüllung der den Schulen durch Rechtsvorschriften jeweils zugewiesenen Aufgaben oder es besteht ein rechtlicher Anspruch auf die Herausgabe der Daten (Art. 85 Abs. 1 Satz 1 und Abs. 2 Satz 1 BayEUG). Diese Voraussetzungen liegen bei der Durchführung von Schulveranstaltungen, die Dritte gestalten (z. B. Krankenkassen), in der Regel nicht vor. Daher haben die Schulen dafür Sorge zu tragen, dass bei entsprechenden Schulveranstaltungen, diese Dritte keine personenbezogenen Daten der Schülerinnen und Schüler zu eigenen Zwecken verarbeiten. Insbesondere eine Übermittlung von Schülerdaten für Zwecke kommerzieller Werbung ist unzulässig (Art. 84 BayEUG).

Die vorgenannten Erwägungen gelten unabhängig davon, ob die Schulen die personenbezogenen Daten der Schülerinnen und Schüler selbst an Dritte weitergeben oder ob sie die Datenerhebung durch außerschulische Dritte – z. B. im Zusammenhang mit Veranstaltungen in der Schule – dulden.

Digitale Kommunikation und Distanzunterricht

Im Rahmen von Distanzunterricht kann die Nutzung digitaler Kommunikations- und Kollaborationswerkzeuge verpflichtend vorgegeben werden. Die Schule selbst legt die zu nutzenden Kommunikationswege und –modalitäten gemäß den vor Ort vorhandenen Ressourcen fest. Dabei bleiben die Schulen verantwortlich im Sinne des Datenschutzrechts.

Die von der Schule eingesetzten elektronischen Verfahren müssen den Vorgaben der Anlage 2 Abschnitt 4 und 7 BaySchO entsprechen.

Über den Einsatz digitaler Werkzeuge im Unterricht sowie im Kollegium entscheidet die Schulleitung im Einvernehmen mit dem Schulaufwandsträger. Sie bezieht dabei den örtlichen Datenschutzbeauftragten der Schule ein (vgl. Art. 12 Abs. 1 S. 1 Nr. 2 Bayerisches Datenschutzgesetz). Die Schule prüft, ob die für den Einsatz geplanten Verfahren den einschlägigen rechtlichen Rahmenbedingungen, etwa den Vorgaben der Anlage 2 Abschnitt 4 und 7 BaySchO sowie der Datenschutz-Grundverordnung (DSGVO) entsprechen und ob eine Teilnahme an der digitalen Kommunikation auch denjenigen Schülerinnen und Schülern ermöglicht werden kann, die im häuslichen Umfeld nicht über die notwendige technische Ausstattung verfügen. Der Schulaufwandsträger bzw. die Schule stellen Schülerinnen und Schülern bei entsprechendem Bedarf leihweise mobile Endgeräte zur Verfügung.

Schulische Gremien (z. B. Lehrer- oder Klassenkonferenz, Elternbeirat, Klassensprecherversammlung, Schulforum) können mit Hilfe digitaler Werkzeuge tagen, beraten und Beschlüsse fassen (vgl. § 18a BaySchO). Zur Sicherstellung der Vertraulichkeit der besprochenen Inhalte muss insbesondere sichergestellt sein, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Bestimmte besonders schützenswerte personenbezogene Daten (z. B. Gesundheitsdaten) dürfen nicht ausgetauscht werden (vgl. Ziff. 3.4 Anlage 2 Abschnitt 7 BaySchO), soweit dies nicht durch das Staatsministerium für Unterricht und Kultus zugelassen ist.

Art. 56 Abs. 4 Satz 4 und Art. 59 Abs. 2 Satz 2 BayEUG sehen vor, dass im Distanzunterricht sowohl die teilnehmenden Schülerinnen und Schüler – soweit die Aufsicht führende Lehrkraft dies aus pädagogischen Gründen fordert und die technischen Voraussetzungen vorliegen – als auch in der Regel die jeweiligen Lehrkräfte bei Videoübertragungen zur Übertragung des eigenen Bildes und Tones verpflichtet sind. Damit sollen insbesondere eine lernförderliche Kommunikation und Interaktion sichergestellt und die intensive Begleitung der Lernprozesse ermöglicht werden.

Wenn – z. B. für den Wechselunterricht - der Unterricht aus dem Klassenzimmer vor Ort mit Ton und Videobild übertragen werden soll, ist eine Einwilligung aller von der Übertragung betroffenen Schülerinnen und Schüler im Klassenzimmer erforderlich. Erfolgt die Übertragung an die sich zu Hause befindlichen Schülerinnen und Schüler nur durch Ton und ohne Videobild kann auf das Einholen einer Einwilligung verzichtet werden.

Bei Minderjährigen bis zur Vollendung des 14. Lebensjahres muss mindestens eine erziehungsberechtigte Person einwilligen, bei Minderjährigen ab Vollendung des 14. Lebensjahres zusätzlich diese selbst.

Die Verwendung eines im Rahmen des Distanzunterrichts eingesetzten digitalen Kommunikationswerkzeugs erfolgt auf der Grundlage einer Nutzungsordnung, die geeignete Vorkehrungen gegen ein Mithören und die Einsichtnahme durch Unbefugte in Video- oder Telefonkonferenz, Chat oder E-Mail trifft (vgl. Anlage 2 Abschnitt 7 zu § 46 der Bayerischen Schulordnung - BaySchO).

Entsprechend dem Präsenzunterricht ist der Teilnehmerkreis im Distanzunterricht grundsätzlich auf die Schülerinnen und Schüler der jeweiligen Klasse und ihre Lehrkraft beschränkt.

Mit Blick auf die Anwesenheit von Erziehungsberechtigten in Videokonferenzen heißt das: Soweit diese zur Unterstützung ihrer Kinder nicht benötigt werden und auch sonstige Gegebenheiten eine Anwesenheit der Eltern nicht erfordern (z. B. kein separater Raum für den Distanzunterricht, Aufsichtspflicht), ist ihre Beteiligung nicht vorgesehen.

Informationen, Links und Dokumente zum Thema Datensicherheit an Schulen finden sich auf der Seite: Datensicherheit an Schulen (bayern.de).

Elternbeirat

Der Elternbeirat, wie ihn das Schulrecht vorsieht, ist ein Organ der Schule (Art. 64 ff. BayEUG). „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung (DSGVO) ist damit die Schule, nicht der oder die Elternbeiratsvorsitzende. Für den gewissenhaften Umgang mit den ihnen anvertrauten Daten sind, wie schon bisher, im Rahmen ihrer Aufgaben die Mitglieder des Elternbeirats verantwortlich.

Von der Arbeit des Elternbeirats zu unterscheiden ist der private Austausch unter Erziehungsberechtigten, auf den die DSGVO keine Anwendung findet.

Die DSGVO sieht zwar erhebliche Geldbußen vor. Diese richten sich aber - soweit sie überhaupt auf Schulen anwendbar sind - nicht gegen einzelne Personen, sondern gegen „Verantwortliche“, also die Schule selbst.

Förderverein

Fördervereine stehen außerhalb der schulischen Organisation. Informationen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) im Verein finden Sie auf der Homepage des Bayerischen Landesamts für Datenschutzaufsicht unter www.lda.bayern.de/de/datenschutz_eu.html.

Fördervereine und andere Vereine im schulischen Umfeld sind von der Schule getrennte Einrichtungen, die selbst datenschutzrechtlich verantwortlich sind.

Das Landesamt für Datenschutzaufsicht hält für Vereine ein vielfältiges Beratungsangebot bereit.

Fördervereine von Schulen sind von den Vorgaben der DSGVO nicht anders betroffen als andere Vereine.

In der Regel – weniger als 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten, keine Verarbeitung sensibler Daten als Kerntätigkeit – ist die Bestellung eines Datenschutzbeauftragten nicht erforderlich.

Geldbußen nach der DSGVO

Einzelne Lehrkräfte und Elternbeiratsmitglieder müssen keine Geldbußen nach der Datenschutz-Grundverordnung (DSGVO) fürchten. Die DSGVO sieht zwar erhebliche Geldbußen vor. Diese richten sich aber - soweit sie überhaupt auf Schulen anwendbar sind - nicht gegen einzelne Personen, sondern gegen „Verantwortliche“, also die Schule selbst.

Internetauftritt der Schule

Damit staatliche Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können, stellt das Staatsministerium für Unterricht und Kultus ihnen ein verbindliches Muster für Datenschutzhinweise im Internetauftritt zur Verfügung (siehe Ausführungen unter Datenschutzhinweise im Internetauftritt staatlicher Schulen ).

Die Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) verlangen eine Ergänzung der bisher schon erforderlichen Datenschutzerklärung im Internetauftritt von Schulen. In diesem Zusammenhang ist immer wieder die Sorge vor „Abmahnwellen" zu vernehmen.

Solche Abmahnungen sind in aller Regel mit Vorschriften aus dem Gebiet des Verbraucherschutzes oder des Wettbewerbsrechts begründet, die die Schulen nicht betreffen. Schulen müssen daher grundsätzlich derartige Abmahnungen nicht fürchten.

An der Notwendigkeit eines datenschutzkonformen Internetauftritts ändert das nichts! Wer die Vorgaben der DSGVO noch nicht umgesetzt hat, sollte das schnellstens nachholen - auch ohne Abmahnung.

Auf manchen schulischen Internetauftritten sind Anwendungen Dritter zur Erfüllung schuleigener
Aufgaben (z. B. freiwillige Erfassung von Daten für die Schuleinschreibung über ein eingebundenes
Onlineportal in der Schulhomepage) eingebunden, die damit an der Verarbeitung von
personenbezogenen Daten beteiligt sind.
Auch für diese Anwendungen müssen eine sichere und rechtmäßige Datenverarbeitung sowie eine
hinreichende Information der Betroffenen insbesondere über den Verantwortlichen und die
Rechtsgrundlagen der Verarbeitung gewährleistet sein.
Bindet die Schule Drittanbieter in eine Datenverarbeitung ein, die der Erfüllung ihrer eigenen
Aufgaben dient, so ist regelmäßig eine Vereinbarung zur Auftragsverarbeitung (Art 28 DSGVO)
erforderlich. Durch geeignete Datenschutzhinweise ist außerdem sicherzustellen, dass die
Verantwortlichkeit der Schule auch für die Betroffenen erkennbar ist.

Viele Internetauftritte enthalten Links zu externen Angeboten oder betten externe Inhalte mit ein
(Embedding, Framing). Nach Anklicken eines Links bzw. bei Anzeige des eingebetteten externen
Angebots „surfen“ die Betroffenen in dem Bereich eines Dritten, der dabei auch personenbezogene
Daten des Nutzers verarbeitet.
Aus datenschutzrechtlicher Sicht ist bei Verlinkungen Folgendes zu beachten:

  • Kennzeichnen Sie externe Links deutlich, damit der Besucher weiß, wann er das Angebot der Schule verlässt und auf das Angebot eines Dritten weitergeleitet wird, für das die Schule nicht verantwortlich ist, mit Hinweis auf dessen Datenschutzerklärung. Einbettungen sollten
    möglichst als Opt-In-Lösungen erfolgen.
  • Auch wenn Sie das verlinkte Angebot nicht unmittelbar verantworten, treffen Sie Sorgfaltspflichten bei der Auswahl. Setzen Sie daher keine Verlinkung, bzw. betten keine externen Inhalte ein, wenn das externe Angebot erkennbare Datenschutzverstöße aufweist.

Private Schulen

Verantwortlich für die Datenverarbeitung zur Erfüllung der schulischen Aufgaben sind die jeweiligen Schulen, vertreten durch die Schulleitung.

Bei der Datenschutzaufsicht über Schulen in freier Trägerschaft, auch staatlich anerkannten, ist nach den jeweiligen Trägern zu unterscheiden.

Schulen in katholischer Trägerschaft

Die Schulen in katholischer Trägerschaft unterliegen dem Gesetz über den Kirchlichen Datenschutz für den Verband der Diözesen Deutschlands und die Dienststellen und Einrichtungen der Deutschen Bischofskonferenz (KDG-VDD). Damit gelten für die Verarbeitung personenbezogener Daten die Bestimmungen dieses Gesetzes sowie die sonstigen anzuwendenden kirchlichen und staatlichen Datenschutzvorschriften. Zuständig für die Datenschutzaufsicht ist

Datenschutzaufsicht für die bayerischen (Erz-)Diözesen
Katholisches Datenschutzzentrum Bayern (KdöR)
Vordere Sterngasse 1
90402 Nürnberg

Telefon:0911 477740 50
Fax:0911 477740 59
Web:kdsz.bayern

Leiter:
Dominikus Zettl
Diözesandatenschutzbeauftragter für die bayerischen (Erz-)Diözesen

Das Gesetz über den Kirchlichen Datenschutz finden Sie unter:

https://dbk.de/ueber-uns/verband-der-dioezesen-deutschlands-vdd/dokumente/

Schulen in evangelischer Trägerschaft

Die Schulen in evangelischer Trägerschaft unterliegen dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Damit gelten für die Verarbeitung personenbezogener Daten die Bestimmungen dieses Gesetzes sowie die sonstigen anzuwendenden kirchlichen und staatlichen Datenschutzvorschriften. Zuständig für die Datenschutzaufsicht ist

Der Beauftragte für den Datenschutz der EKD
Außenstelle Ulm
Hafenbad 22
89073 Ulm

Telefon:
Fax:
Web:datenschutz.ekd.de

Alle übrigen Schulen in freier Trägerschaft

Zuständig für die Datenschutzaufsicht über alle übrigen Schulen in freier Trägerschaft ist:


Das Bayerische Landesamt für Datenschutzaufsicht
Promenade 27
91522 Ansbach

Telefon:
Fax:
Web:lda.bayern.de

Videoaufnahmen im Schulunterricht

Ausführungen des Bayerischen Landesbeauftragten für den Datenschutz zu Videoaufnahmen im Schulunterricht finden sich auf dessen Homepage.

Weiterführende Hinweise:

Videoüberwachung an Schulen

Personenbezogene Daten können auch mit Hilfe optisch-elektronischer Einrichtungen verarbeitet werden (Videoüberwachung). Eine Videoüberwachung an Schulen ist mit Blick auf den erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung der betroffenen Personen restriktiv zu handhaben. Ob eine Videoüberwachung durch öffentliche Stellen zulässig ist, regelt das Bayerische Datenschutzgesetz (Art. 24 BayDSG). Konkretisierungen hierzu werden in der Bayerischen Schulordnung getroffen (Anlage 2 Abschnitt 6 zu § 46 BaySchO).

Eine personalvertretungsrechtliche Mitbestimmungspflichtigkeit bleibt von den Regelungen zur Videoüberwachung in der BaySchO und dem BayDSG unberührt (Art. 75a Abs. 1 Nr. 1 BayPVG).

1. Voraussetzungen der Videoüberwachung

Die Videoüberwachung muss im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts im konkreten Fall

  • zum Schutz von Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich der Schule oder in deren unmittelbarer Nähe aufhalten (Art. 24 Abs. 1 Nr. 1 BayDSG) oder

  • zum Schutz der baulichen Anlagen öffentlicher Schulen oder der unmittelbar in ihrer Nähe befindlichen Sachen (Art. 24 Abs. 1 Nr. 2 BayDSG)

    erforderlich sein.

Aus der Gesetzesformulierung ergibt sich, dass die Videoüberwachung der Abwehr von Gefahren dient, also präventiven Zwecken. Die Aufklärung von Straftaten oder Ordnungswidrigkeiten ist lediglich eine beiläufige Komponente der Videoüberwachung.

Die für die Videoüberwachung erforderliche Gefahrsituation ist anhand einer Einzelfallprognose zu beurteilen. Daher ist eine Gefährdungsanalyse vorzunehmen.

Allein die Möglichkeit einer Gefahr rechtfertigt grundsätzlich noch keine Videoüberwachung. Von einer relevanten Gefahr ist in der Regel nur auszugehen, wenn Erfahrungswerte aus der Vergangenheit oder Gegenwart vorliegen, die im Vorfeld der Entscheidung über die Einrichtung einer Überwachungsanlage in einer Vorfallsdokumentation festgehalten werden und den Schluss zulassen, dass eine Verletzung der genannten Schutzgüter in Zukunft hinreichend wahrscheinlich ist. Im Rahmen der Vorfallsdokumentation sind die tatsächlichen Indizien darzustellen, die Grundlage der Einzelfallprognose sind, insbesondere sind die einzelnen Vorfälle und ihre Auswirkungen auf die relevanten Schutzgüter (Art. 24 Abs. 1 Nr. 1 und Nr. 2 BayDSG) zu dokumentieren. Weiterhin sollten der Vorfallsdokumentation zum Nachweis der Vorfälle Belege beigefügt werden.

Beispiel:

In der Vergangenheit, insbesondere wiederholt, aufgetretene bedeutsame Fälle von etwa Diebstahl, Hausfriedensbruch oder Körperverletzung an der Schule können ein Indiz dafür sein, dass solche Vorfälle in Zukunft wieder auftreten werden. Bei einem einmaligen Vorfall müssen hingegen typischerweise weitere Umstände (z. B. glaubwürdige Drohungen o.ä.) hinzukommen (und dokumentiert werden), um überhaupt eine Wiederholung annehmen zu können. Zur Erleichterung der Gefahrenprognose sind die Vorfälle im Rahmen einer Vorfallsdokumentation zu berücksichtigen, zeitlich und örtlich einzuordnen und zusammen mit ihren Auswirkungen auf Personen im Bereich der Schule oder in deren unmittelbarer Nähe oder ihren Auswirkungen auf öffentliche Anlagen bzw. in deren unmittelbarer Nähe befindlichen Sachen festzuhalten. Beigefügt werden sollten Nachweise wie polizeiliche Ermittlungsberichte, Anzeigen oder Beschwerden. An die Wahrscheinlichkeit eines Schadenseintritts können bei einer Gefahrenprognose im Hinblick auf Leben und Gesundheit von Menschen grundsätzlich geringere Anforderungen gestellt werden als im Hinblick auf Eigentumsschäden.

2. Entscheidung für Videoüberwachung (Verhältnismäßigkeitsgrundsatz)

Sind die unter 1. aufgeführten Voraussetzungen gegeben, hat die Entscheidung für eine Videoüberwachung nach pflichtgemäßem Ermessen des Verantwortlichen zu erfolgen. Die Entscheidung muss verhältnismäßig sein – insbesondere sind alle schutzwürdigen Belange der Beteiligten ihrer Bedeutung entsprechend zu berücksichtigen.

Die für die Entscheidung maßgeblichen Umstände sind aus Nachweisgründen zu dokumentieren.

a) Geeignetheit

Zunächst muss die Videoüberwachung geeignet sein, die gesetzlich genannten Interessen zu schützen (Art. 24 Abs. 1 Nr. 1 bzw. Nr. 2 BayDSG). Das heißt, vor einer Videoüberwachung ist nachvollziehbar darzulegen und zu dokumentieren, dass sie ein geeignetes Mittel zur Abwehr der prognostizierten Gefahr ist.

b) Erforderlichkeit

Vor einer Videoüberwachung ist weiterhin nachvollziehbar darzulegen und zu dokumentieren, dass die Videoüberwachung zur Abwehr der prognostizierten Gefahr erforderlich ist und andere – mildere, weniger eingreifende Aufsichts- und Überwachungsmaßnahmen – nicht in Betracht kommen, da sie die entsprechenden Rechtsgüter weniger effektiv schützen. Dabei muss nicht nur die Datenerhebung an sich erforderlich sein, sondern auch der Einsatz von Überwachungskameras als konkretes Mittel.

Als mildere Mittel, die weniger intensiv in die Rechte der betroffenen Personen eingreifen, kommen z. B. Folgende in Betracht: Hinweise an die Schülerschaft, Wertgegenstände nicht unbeaufsichtigt im Flur zu belassen; Einsatz von graffitiabweisender Wandfarbe; Einbau von bruchsicherem Fensterglas; Sicherung des Schulgeländes gegen unberechtigten Zugang, insbesondere durch bauliche Maßnahmen; Verstärkung der Schul-/Pausenaufsicht; Verstärkung der Zugangskontrolle (Pförtner); aufklärende bzw. erzieherische Schulprojekte (etwa gegen Gewalt) usw.

Weiterhin muss die konkrete Umsetzung der Videoüberwachung räumlich, zeitlich und technisch erforderlich sein. Die BaySchO trifft hier für den schulischen Bereich in der BaySchO konkrete Vorgaben (Anlage 2 Abschnitt 6 zu § 46 BaySchO). Demnach ist eine Videoüberwachung typischerweise nur dann räumlich und zeitlich erforderlich, wenn sie nur Personen betrifft, die sich im Eingangsbereich der Schule aufhalten oder sich zwischen 22:00 Uhr und 6:30 Uhr außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen auf dem Schulgelände befinden sowie Personen, die sich außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen an Feiertagen, Wochenenden oder in den Ferien auf dem Schulgelände befinden. Maßnahmen, die den in Anlage 2 Abschnitt 6 aufgeführte Rahmen der Videoüberwachung überschreiten, können nur in Ausnahmefällen verhältnismäßig sein und bedürfen einer gesonderten Begründung.

c) Angemessenheit:

Es dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden (Art. 24 Abs. 1 BayDSG). Das heißt, das Interesse der Schule an der Videoüberwachung ist mit den Interessen der betroffenen Personen abzuwägen. Hierfür sind die Interessen der Beteiligten herauszuarbeiten und zu gewichten. Seitens der Schule besteht in der Regel das Interesse am Schutz der im Gesetz genannten Rechtsgüter (Art. 24 Abs. 1 Nr. 1 bzw. Nr. 2 BayDSG). Auf der Seite der betroffenen Personen ist insbesondere das Recht auf informationelle Selbstbestimmung schützenswert, also das Recht, unbeobachtet zu bleiben. Nach der Gewichtung der einzelnen Interessen hat die Schule sodann genau darzulegen, welchen Interessen sie im konkreten Fall aus welchen Gründen den Vorrang einräumt.

3. Videobeobachtung oder Videoaufzeichnung

Ob eine Videobeobachtung oder eine Videoaufzeichnung eingesetzt werden soll, ist im Rahmen der Entscheidungsfindung (siehe oben unter 2.) zu berücksichtigen. Bei der Videobeobachtung werden die bewegten Bilder in Echtzeit auf einen Monitor übertragen. Dagegen wird das Bildmaterial bei einer Videoaufzeichnung gespeichert. Grundsätzlich stellt eine Videobeobachtung im Vergleich zur Videoaufzeichnung das mildere, datensparsamere Mittel dar. Allerdings kann – statt oder zusätzlich zur bloßen Beobachtung – auch die Speicherung des Bildmaterials und damit eine Videoaufzeichnung zulässig sein, wenn der konkrete Einsatz verhältnismäßig ist. Insbesondere ist also darzulegen, wieso sich die Ziele der Überwachung im konkreten Fall nur durch eine Speicherung des Bildmaterials verwirklichen lassen.

4. Transparenzgebot
Die Videoüberwachung ist durch geeignete Maßnahmen erkennbar zu machen (Art. 24 Abs. 2 BayDSG). In der Regel müssen aussagekräftige und für die betroffenen Personen gut sichtbare Hinweisschilder angebracht werden. Hier kann insbesondere auf Hinweisschilder mit entsprechenden Piktogrammen zurückgegriffen werden. Dabei ist der Verantwortliche anzugeben, soweit dieser nicht aus den Umständen hervorgeht. Daneben ist es empfehlenswert, im Rahmen des Hinweisschildes auf die Datenschutzhinweise des Verantwortlichen hinzuweisen, z. B. durch einen Verweis auf entsprechende Datenschutzhinweise im Internetauftritt der Schule.

5. Zugriffsberechtigung und Zweckbindung
Nur die Schulleitung und von der Schulleitung beauftragte Angehörige des Lehr- und Verwaltungspersonals dürfen Zugriff auf die personenbezogenen Daten der Videoaufzeichnung haben (Anlage 2 Abschnitt 6 - Ziffer 4 zu § 46 BaySchO).

Die Daten dürfen nur dann für einen anderen Zweck als den ursprünglichen Erhebungszweck verarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist (Art. 24 Abs. 3 BayDSG). Unter diesen Voraussetzungen ist insbesondere eine Übermittlung der Daten an die zur Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Stellen zulässig.

6. Löschungsfrist

Die gespeicherten Daten sind jeweils spätestens drei Wochen nach Aufzeichnung zu löschen, soweit sie nicht zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden (Anlage 2 Abschnitt 6 – Ziff. 5 zu § 46 BaySchO).

7. Unterrichtung des behördlichen Datenschutzbeauftragten

Der örtliche Datenschutzbeauftragte der Schule muss rechtzeitig vor dem Einsatz einer Videoüberwachung informiert werden und die Möglichkeit zur Stellungnahme bekommen (Art. 24 Abs. 5 BayDSG). Der Datenschutzbeauftragte ist dabei über folgende Details der Videoüberwachung zu informieren: den Zweck, die räumliche Ausdehnung und Dauer der Videoüberwachung, den betroffenen Personenkreis, die geeigneten Maßnahmen zur Erkennbarkeit der Videoüberwachung (Art. 24 Abs. 2 BayDSG) und die vorgesehenen Auswertungen. Der Datenschutzbeauftragte muss so rechtzeitig vor dem Einsatz der Videoüberwachung informiert werden, dass es ihm möglich ist, den Sachverhalt umfassend einschätzen zu können.

Wird eine bestehende Videoüberwachung wesentlich geändert, ist dem Datenschutzbeauftragten ebenfalls Gelegenheit zur Stellungnahme zu geben (vgl. Art. 12 Abs. 1 S. 1 Nr. 2 BayDSG).

8. Wegfall des Gefährdungstatbestands

Während der Videoüberwachung ist regelmäßig zu überprüfen, ob der Gefährdungstatbestand, der die Überwachung rechtfertigt, noch vorliegt. Hierauf hat der Verantwortliche hinzuwirken. Für den Fall, dass der Gefährdungstatbestand, weswegen die Kameras angebracht wurden, nicht mehr vorliegt, ist die Videoüberwachung nicht mehr von den gesetzlichen Voraussetzungen gedeckt und damit nicht mehr zulässig (Art. 24 Abs. 1 BayDSG). Die Kameras sind daher auszuschalten. Bereits bei der Überlegung der Anschaffung einer Videoüberwachung ist mithin zu bedenken, dass die Videoüberwachung daher keine dauerhafte Einrichtung sein könnte.

Da auch eine inaktive Kamera den Anschein einer Überwachung haben und dadurch das Verhalten der vermeintlich überwachten Personen beeinflussen kann, sind geeignete Maßnahmen zu ergreifen, um diese verhaltenslenkende Wirkung zu vermeiden. Eine solche Maßnahme ist in der Regel der Abbau der Kamera(s) einschließlich der zugehörigen Hinweisschilder, was aber – aus technischen und finanziellen Gründen und auch wegen einer Abstimmung mit dem Sachaufwandsträger – oft nicht ohne weiteres möglich ist. Je nach den örtlichen Gegebenheiten kann es auch Alternativen zu der Demontage einer Kamera geben, z. B. das Abdecken/Verhängen der Kamera. Im Ergebnis muss genauso zweifelsfrei und offensichtlich wie bei einer eine Demontage der Kamera erkennbar sein, dass eine Überwachung durch die betreffende Kamera nicht (mehr) stattfindet.

Audioübertragungen oder -aufzeichnungen im Rahmen der Videoüberwachung sind mangels Rechtsgrundlage hierfür unzulässig. Eine entsprechend vorhandene Funktion muss deaktiviert werden.

Weiterführende Hinweise zur Videoüberwachung enthält die Orientierungshilfe Videoüberwachung durch bayerische öffentliche Stellen – Erläuterungen zu Art. 24 Bayerisches Datenschutzgesetz des Bayerischen Landesbeauftragten für den Datenschutz. Diese ist auf dessen Homepage ( https://www.datenschutz-bayern.de ) unter der Rubrik Datenschutzreform 2018 , Unterrubrik Orientierungs- und Praxishilfen , frei abrufbar. Dort finden sich auch Formulare für einen Prüfbogen für eine Videoüberwachung durch eine bayerische öffentliche Stelle sowie für eine Vorfallsdokumentation für eine Videoüberwachung durch eine bayerische öffentliche Stelle .

Stand: 27. März 2024

Seiteninhalt

    Unsere Social-Media-Kanäle



    Dies sind externe Links. Mit einem Klick darauf wird km.bayern.de verlassen.

    Diese Seite teilen



    Dies sind externe Links. Mit einem Klick darauf wird km.bayern.de verlassen.

    Bild von

    Handreichung für den Datenschutz an Schulen