Datenschutz in Bildungseinrichtungen: Rechtsrahmen und praktische Herausforderungen
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat sich das datenschutzrechtliche Gefüge auch im schulischen Sektor maßgeblich verändert. Bildungseinrichtungen sind verpflichtet, umfangreiche datenschutzrechtliche Pflichten einzuhalten, die sowohl die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern, Lehrkräften sowie Erziehungsberechtigten als auch die Zusammenarbeit mit externen Dienstleistern betreffen. Nachfolgend werden die wesentlichen Anforderungen und Problemfelder im Einzelnen beleuchtet.
Rechtliche Grundlagen und Anwendungsbereich
Geltung der DSGVO im Schulkontext
Die DSGVO ist in allen EU-Mitgliedsstaaten unmittelbar anwendbar und findet auf sämtliche Verarbeitungstätigkeiten Anwendung, sobald personenbezogene Daten automatisiert oder teilweise automatisiert verarbeitet werden. Schulen sind in aller Regel als öffentliche Stellen Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Wesentliche Ergänzungen ergeben sich aus nationalen Ausführungsgesetzen – speziell dem jeweiligen Landesdatenschutzgesetz sowie dem Schulrecht der Bundesländer.
Abgrenzung zu anderen Rechtsquellen
Das schulische Datenhandling bedarf ergänzend zu Datenschutzvorschriften der DSGVO einer sorgfältigen Berücksichtigung weiterer spezialgesetzlicher Vorgaben. Zu beachten sind Normen des SGB VIII etwa bei Jugendhilfeleistungen, das Telemediengesetz bei elektronischer Kommunikation sowie – insbesondere bei internationalen Kooperationen – völkerrechtliche Vorgaben.
Zentrale Datenschutzpflichten für Schulen
Grundsätze der Datenverarbeitung
Im Zentrum steht der Grundsatz der Rechtmäßigkeit (Art. 6 DSGVO). Schulen dürfen personenbezogene Daten ausschließlich verarbeiten, sofern eine gesetzliche Ermächtigung vorliegt oder eine wirksame Einwilligung der betroffenen Person gegeben ist. Weitere Kernvorgaben sind Zweckbindung, Speicherbegrenzung, Datenminimierung und Integrität der Verarbeitung.
Informationspflichten und Transparenz
Verantwortliche Stellen müssen Betroffene über Art, Umfang, Zweck und Rechtsgrundlage der Verarbeitung informieren (Art. 13, 14 DSGVO). Diese Unterrichtungspflichten beziehen sich sowohl auf Schülerinnen und Schüler als auch auf deren Erziehungsberechtigte sowie das Lehr- und Verwaltungspersonal. Eine besondere Herausforderung stellt dabei die altersgerechte Adressierung der Informationspflichten dar.
Rechte der Betroffenen
Zudem müssen Bildungseinrichtungen die Ausübung der Betroffenenrechte (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerderecht bei einer Aufsichtsbehörde) gewährleisten. Eine restriktive Auslegung dieser Rechte ist im schulischen Kontext im Lichte des Kindeswohls sowie der Erziehungsziele stets einzelfallbezogen vorzunehmen.
Technisch-organisatorische Maßnahmen
Die Verarbeitung sensibler Datenkategorien, wie etwa gesundheitsbezogene Informationen oder Angaben zur Religionszugehörigkeit, setzt dem Stand der Technik entsprechende technisch-organisatorische Maßnahmen zur Sicherung von Vertraulichkeit und Integrität voraus (Art. 32 DSGVO). Der Einsatz von Cloud-Lösungen oder Diensten Dritter erfordert regelmäßig eine sorgfältige Prüfung bestehender Auftragsverarbeitungsverhältnisse.
Datenschutz-Folgenabschätzung und Meldepflichten
Bei der Einführung neuer digitaler Systeme, eLearning-Plattformen oder umfassender Videoüberwachung kann eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich sein. Kommt es zu Datenschutzverletzungen, sind diese nach Maßgabe von Art. 33 und 34 DSGVO binnen 72 Stunden zu melden, sofern Risiken für die Rechte und Freiheiten betroffener Personen bestehen.
Spezifische Problemstellungen im Schulbereich
Digitale Lernumgebungen und Online-Kommunikation
Pandemiebedingte Entwicklungen haben den Einsatz von Lernmanagementsystemen und Videokonferenztools beschleunigt. Hieraus ergeben sich erhöhte Anforderungen an vertragliche Rahmenbedingungen mit Anbietern, an die Verschlüsselung der Kommunikation sowie an die Risikoabwägung im Fall außereuropäischer Datentransfers. Insbesondere bei der Nutzung von Diensten mit Sitz außerhalb des EWR ist ein angemessenes Datenschutzniveau sicherzustellen.
Bild-, Video- und Tonaufnahmen
Aufnahmen im Rahmen des Unterrichts, bei schulischen Veranstaltungen oder für Öffentlichkeitsarbeit tangieren oftmals Persönlichkeitsrechte. Die Rechtmäßigkeit einer Verarbeitung setzt in der Regel eine ausdrückliche, informierte Einwilligung voraus. Im Einzelfall können auch berechtigte Interessen der Schule oder gesetzliche Ermächtigungen eine Grundlage darstellen. Die Veröffentlichung von Bildern und Videos im Internet ist besonders sorgfaltsbedürftig.
Datenaustausch mit Behörden und Dritten
Der Austausch von Schülerdaten mit externen Stellen – etwa Jugendamt, Polizei oder Schulpsychologischer Dienst – bedarf einer klaren gesetzlichen Ermächtigung oder einer Einwilligung. Grenzüberschreitende Kooperationen, etwa im Rahmen von Austauschprogrammen, stellen erhöhte Anforderungen an das datenprotektionstechnische Risikomanagement.
Aufsicht, Sanktionen und aktuelle Entwicklungen
Kontrollbefugnisse und Durchsetzung
Die Einhaltung datenschutzrechtlicher Vorgaben im Schulbereich wird durch die jeweils zuständigen Datenschutzaufsichtsbehörden der Länder überwacht. Bei Verstößen sieht die DSGVO zum Teil erhebliche Sanktionen vor, was die Notwendigkeit nachhaltiger Compliance-Strukturen unterstreicht.
Laufende Gesetzgebungsverfahren und Rechtsprechung
Der schulische Datenschutz ist Gegenstand fortlaufender Gesetzgebungsprozesse auf Landes- und Bundesebene. Ebenso entwickelt sich die Rechtsprechung zur Konkretisierung datenschutzrechtlicher Anforderungen stetig weiter. In aktuellen Verfahren (Unschuldsvermutung gilt; Quelle: Pressemeldungen diverser Landgerichte) wird insbesondere die Vereinbarkeit von schulpraktischen Datenverarbeitungsprozessen mit der DSGVO geprüft.
Fazit
Das Spannungsfeld zwischen dem Schutz personenbezogener Daten und dem berechtigten Interesse an einer effizienten, digitalen Schulverwaltung verlangt von Schulen, ihren Trägern sowie von Dienstleistern ein tiefgehendes Verständnis der jeweils einschlägigen datenschutzrechtlichen Rahmenbedingungen. Für Unternehmen oder Organisationen, die mit schulischen Stellen zusammenarbeiten oder Dienstleistungen im Bildungsbereich anbieten, wächst dadurch die Komplexität der regulatorischen Anforderungen. Rechtsfragen im Datenschutz lassen sich in vielen Fällen nicht standardisiert beantworten, sondern bedürfen einer sorgfältigen, individuellen Bewertung unter Berücksichtigung der aktuellen Rechtslage. Vertiefende Informationen und eine maßgeschneiderte rechtliche Begleitung bietet MTR Legal Rechtsanwälte im Bereich Rechtsberatung im Datenschutz.
