Ingo Goblirsch, Gastautor, Externer Datenschutzbeauftragter und Berater für Datenschutz und Informationssicherheit, legt noch einmal nach: Bereits im ersten und zweiten Teil seiner Artikelreihe räumte er mit gängigen Falschannahmen rund um den Datenschutz im schulischen Umfeld auf. Für den dritten Teil nimmt er jetzt Missverständnisse zum Reizthema Datenverarbeitung auf und erklärt die neuesten EU-Richtlinien.
1. Mythos:
Der Europäische Gerichtshof (EuGH) hat die Datenübermittlung in die USA verboten.
Die Wahrheit: Der EuGH hat in der Rechtssache C-311/18 „Schrems II“ hauptsächlich das den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Dieser Beschluss kann nicht mehr als Rechtsgrundlage zur Übermittlung von Daten in die USA als “unsicheren Drittstaat“ herangezogen werden. Der Privacy Shield war allerdings auch keine EU-Gütesiegel, sondern lediglich eine informelle, transatlantische Vereinbarung. Um „Privacy-Shield-zertifiziert“ zu sein, musste ein Dienstleister einfach auf einer Website ein Formular[1] ausfüllen und den dort aufgeführten Vorgaben zustimmen. Kontrolle und inhaltliche Qualität waren natürlich bei einem solchen Verfahren nicht gegeben und entsprechend war es abzusehen, dass der EU-Gesetzgeber ein Verbot aussprechen würde.
Stattdessen hat die EU-Kommission jetzt neue EU-Standardvertragsklauseln veröffentlicht, welche den EuGH-Datenschutzanforderungen deutlich entgegenkommen. Außerdem sind diese Vertragsklauseln sicherer als das Privacy Shield. In der Praxis sieht es so aus, dass zwei Parteien einen Vertrag miteinander schließen, also eine einzelvertragliche Regelung vereinbaren, in der sie die EU-Standardvertragsklauseln für gültig erklären. Letztere legen genau fest, was die Vertragspartner tun müssen, um datenschutzkonform zu handeln.
2. Mythos:
Schulen dürfen keine Daten in die USA übermitteln.
Die Wahrheit: Schließt beispielsweise eine Schule (oder eine Stadt als Schulträger) mit einem US-Unternehmen wie Microsoft (und dann die einzelne Schule mit der Stadt) den Vertrag nach den neuen EU-Standardvertragsklauseln, ist genau geregelt, was die Vertragspartner in Sachen Datenschutz erfüllen müssen. Und nach diesen Regelungen ist es gerade im schulischen Umfeld wahrscheinlicher geworden, dass eine Datenübermittlung in die USA rechtskonform ist. Um diese Rechtskonformität sicherstellen zu können, muss die Schulleitung gemeinsam mit dem Datenschutzbeauftragten eine Datenschutz-Folgenabschätzung inklusive der Bewertung der Folgen einer Übermittlung von Daten außerhalb des EWR anstellen. Dies klingt komplex, jedoch stellen seriöse Anbieter hierfür Vorlagen zur Verfügung.
Ab wann gelten die neuen EU-Standardvertragsklauseln?
Die neue Version der EU-Standardvertragsklauseln muss seit dem 27. Oktober 2021 bei jedem Vertragsabschluss auf Basis von Standardvertragsklauseln zugrunde gelegt werden. Bestehende Verträge mit bestehenden Standardvertragsklauseln müssen bis zum 27. Dezember 2022 vollständig auf die neuen EU-Standardvertragsklauseln umgestellt worden sein.
Im Rahmen dieser Bewertung werden nicht nur objektive Bewertungskriterien, ob eine Datenverarbeitung sicher ist oder nicht, eingebracht. (Dazu gehört zum Beispiel die Festlegung, ob eine sichere Verschlüsselung gegeben ist.) Sondern jetzt können zur Bewertung des Risikos der Übermittlung auch subjektive Bewertungskriterien wie beispielsweise die Wahrscheinlichkeit, dass US-Geheimdienste auf die Daten in einer Schul-Cloud zugreifen, herangezogen werden.
Wenn die Wahrscheinlichkeit dieses Zugriffs, also das subjektive Bewertungskriterium, doch eher niedrig ist, spricht vieles dafür, dass die Übermittlung der Daten auf Basis der neuen EU-Standardvertragsklauseln rechtlich in Ordnung ist. Aus Risikosicht ist es eben anders zu bewerten, ob jemand Gesundheitsdaten aus einer Klinik oder Daten zur Gewerkschaftszugehörigkeit in die US-Cloud überträgt oder ob man eine Klassenzugehörigkeit mit einem Stundenplan und den letzten Hausaufgaben in die USA übermittelt.
3. Mythos:
Die Landesdatenschutzbeauftragten dürfen Schulen verbieten, IT-Dienstleistungen oder -Produkte von US-Anbietern zu nutzen.
Die Wahrheit: Die Landesdatenschutzbehörden haben hundertprozentige Befugnisse, die Datenverarbeitung durch US-Konzerne einzuschränken oder zu verbieten – ohne vorab ein Verbot in Aussicht zu stellen. Sie können also die Nutzung bestimmter Produkte unmöglich machen. Aber: Für Schulen gibt es natürlich keine anderen rechtlichen Grundlagen als für Unternehmen, Gewerkschaften oder sonstige Institutionen. Sie unterliegen wie alle anderen der EU-Datenschutz-Grundverordnung, gegebenenfalls noch landesspezifischer Gesetze. Was für Schulen verboten wird, ist dann also auch für Unternehmen nicht mehr rechtskonform.
Für Schulen gibt es natürlich keine anderen rechtlichen Grundlagen als für Unternehmen, Gewerkschaften oder sonstige Institutionen.
– Ingo Goblirsch
Die EU-Datenschutzgrundverordnung macht nur da Unterschiede, wo das Risiko anders ist. Bei der Verarbeitung von Gesundheitsdaten besteht zum Beispiel ein anderes Risiko als bei der Verarbeitung von Schülerdaten. Bei der Verarbeitung von Schülerdaten haben wir ein anders Risiko als bei der Verarbeitung von Kundendaten eines Online-Shops für Schuhe.
Die Aussprache einer „Duldung“ der Datenverarbeitung zur Nutzung eines Produkts wie zum Beispiel der Microsoft-Anwendung Teams auszusprechen, wie in Hessen geschehen, gehört übrigens nicht zu den Befugnissen der Aufsichtsbehörden (gemäß Art. 58 Abs. 2 DSGVO). Diese „Duldung“ ist lediglich als politische Aussage einzuordnen.
4. Mythos:
Schülerdaten sind sensibler als Arbeitnehmerdaten.
Die Wahrheit: Das stimmt nur bedingt. Es gibt sieben Kategorien personenbezogener Daten, die besonderen Schutz erfordern. Das sind zum Beispiel Gesundheitsdaten, biometrische Daten, Daten zur religiösen Weltanschauung oder Daten zur sexuellen Orientierung. Daten von Kindern sind schützenswert, weil es sich um Minderjährige handelt. Daten von Lehrerinnen und Lehrern sind ebenfalls besonders schützenswert beziehungsweise schützenswürdiger als andere Daten, da diese in einem abhängigen Dienstverhältnis zum Dienstherrn beschäftigt sind. Dasselbe gilt für Arbeitnehmerinnen und Arbeitnehmer.
5. Mythos:
Die meisten Datenschutzverletzungen an Schulen passieren durch mangelnde Sicherheit in der Datenverarbeitung durch externe Anbieter.
Die Wahrheit: Wenn es um Datenschutzverletzungen geht, konzentriert sich die öffentliche Berichterstattung sehr auf die sogenannten „Hyperscaler“. Gemeint sind damit in der Regel die großen Cloud-Anbieter Amazon, Microsoft und Google. Die tatsächlichen Datenschutzverletzungen finden allerdings in der täglichen Schulverwaltung statt. Und zwar so mannigfaltig, dass hier noch viel Aufklärungsarbeit geleistet werden muss. Einige Beispiele aus der Praxis: Bei einer Schulkonferenz sollen sich die Teilnehmer und Teilnehmerinnen zur Kontrolle der 3G-Vorschrift in eine Liste eintragen. Wer sich zuletzt einträgt, kann dann natürlich wunderbar sehen, wer von den anderen Teilnehmern geimpft, genesen oder getestet ist. Dann wiederum kommt es häufig vor, dass Eltern bei der Anmeldung an einer neuen Schule keine grundlegenden Informationen zur Verarbeitung der Daten ihres Kindes durch die Schule im Sinne des Artikel 13 DSGVO erhalten. Immer wieder wird auf Anmeldebögen auch der Beruf oder die E-Mail-Adresse der Eltern standardmäßig abgefragt. Zur Verarbeitung dieser Daten bedarf es aber einer gesonderten Einwilligung der Eltern. Apropos Einwilligung: Zwar verlangen die meisten Schulen inzwischen vor Fototerminen Einwilligungserklärungen zur Nutzung von Bildmaterial, zum Beispiel auf der Internetseite der Schule. Allerdings sind diese häufig falsch formuliert und das Papier, auf dem sie stehen, nicht wert.
[1] https://www.privacyshield.gov/PrivacyShield/ApplyNow
Hier geht es zum ersten Teil der Serie “Datenschutzmythen“
Sie möchten in Sachen Datenschutz auf der sicheren Seite sein? Wir unterstützen Schulen dabei, Office 365 datenschutzkonform zu nutzen.
In der Corona-Krise haben viele Schulen schnell handeln müssen und dabei nicht immer alle Datenschutz-Vorgaben beachten können. Um perspektivisch mit den so entstandenen Lösungen arbeiten zu können – und nicht absehbar die bisher geleistete Arbeit komplett aufgeben zu müssen–, gibt es das Verwaltungsnetzwerk von AixConcept, das mit Blick auf die Erfordernisse des Datenschutzes konfiguriert ist.
Auch bei den Aufgaben, die sich Schulen darüber hinaus beim Datenschutz stellen – Einverständniserklärungen von Eltern einholen zum Beispiel – hilft AixConcept: etwa mit elektronischen Vorlagen, die automatisch aus einem einmal angelegten Verteiler versendet und digital unterschrieben vom System gesammelt und ausgewertet werden. Und was passiert, wenn Eltern die Zustimmung verweigern? Selbst dafür gibt es dann Lösungen – die Anonymisierung von Schülerinnen- und Schülerdaten etwa.
Erfahren Sie mehr unter https://aixconcept.de/loesungen/ und vereinbaren Sie noch heute einen Beratungstermin! Sie erreichen uns per Mail vertrieb@aixconcept.de oder gerne auch telefonisch +49 (2402) 389 4110