Wenn es um Datenschutz geht, dann geht es nicht selten auch um Meinungen. Einige dieser Annahmen sind allerdings schlichtweg falsch und entpuppen sich bei genauem Hinsehen als regelrechte Mythen. Unser Gastautor Ingo Goblirsch ist Externer Datenschutzbeauftragter und Berater für Datenschutz und Informationssicherheit. Er berät seit über 15 Jahren kleine und mittelständische Unternehmen, Freiberufler, Städte und Gemeinden und stößt bei seiner Arbeit immer wieder auf ähnliche Missverständnisse – die besonders dann fatale Konsequenzen haben können, wenn es um die Verantwortlichkeit für den Datenschutz geht. Im Folgenden hat der Datenschutzbeauftragte daher das schulische Umfeld genauer unter die Lupe genommen und räumt mit einigen falschen Vorstellungen auf.
1. Mythos: Das Versprechen, „Serverstandort Deutschland“, lässt auf hohen Datenschutz-Standard schließen.
Anbieter von IT, die in Schulen eingesetzt werden, sprechen werbliche Aussagen aus, die häufig wie eine rechtliche Zusicherung wirken. Beispielsweise: Unser Serverstandort in Deutschland garantiert 100%igen Schutz Ihrer Daten in der Cloud. Oder auch gern genommen: In deutschen Rechenzentren werden Ihre Daten nach Vorgabe der EU-DSGVO verarbeitet. Solche Werbeversprechen suggerieren, dass allein der Standort von Servern schon gewährleistet, dass alle datenschutzrechtlichen Anforderungen erfüllt sind oder dass ein Höchstmaß an IT- Sicherheit gegeben ist.
Die Wahrheit: Datenschutz ist mehr als nur ein Server-Standort innerhalb des Geltungsbereichs der EU- Datenschutz-Grundverordnung (EU-DSGVO). Datenschutz ist auch mehr als nur ein Cookie-Banner oder ein Einwilligungsbanner. Zum Datenschutz gehören alle Maßnahmen, die getroffen werden, um personenbezogene Daten angemessen und rechtssicher zu verarbeiten. Und das beginnt mit der Konzeption von Prozessen, welche die Verarbeitung von Daten gewährleisten, über deren Umsetzung, bis hin zur regelmäßigen Kontrolle und Prüfung dieser Prozesse.
2. Mythos: Die Schulleitung ist aus der Verantwortung, wenn der Schulträger sich um den Datenschutz kümmert
Die Wahrheit: Eine Schulleitung ist verantwortlich für jede Datenverarbeitung an ihrer Schule gemäß EU-DSGVO. Sie allein ist verantwortlich und sie kann diese Pflicht nicht auf die die Gemeinde oder den Schulträger abwälzen. Auch nicht die Bezirksregierung oder das Kultusministerium werden hier haftbar gemacht – die Schulleitung muss alle Anforderungen, die den Datenschutz betreffen, also beispielsweise die EU-DSGVO oder die entsprechenden Regelungen in den landesspezifischen Schulgesetzen, einhalten und diese Einhaltung auch kontrollieren und nachweisen können. Denn die EU-DSGVO sagt unter Artikel 5, Absatz 2, dass eine Nachweis- oder auch Rechenschaftspflicht besteht, wenn Daten verarbeitet werden. Und dazu benötigt die Schulleitung Know-how und datenschutzrechtliches Wissen, das in der Regel vom benannten Datenschutzbeauftragten der Schule kommen sollte.
3. Mythos: Ein Datenschutzbeauftragter einer Schule sorgt sicher für den Datenschutz
Die Wahrheit: Schulen sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Wo der sitzt, ist in Deutschland unterschiedlich geregelt. In manchen Ländern gibt es dafür eine externe Stelle, die zum Beispiel beim Kultusministerium angesiedelt ist. In manchen Städten ist es so, dass es eine abgeordnete Lehrkraft gibt, die für alle achtzig bis hundert Schulen im Stadtgebiet als Datenschutzbeauftragter benannt wird. Und mancherorts ist es so, dass die einzelne Schule eine Lehrkraft benennt, die für diese Schule Datenschutzbeauftragte oder Datenschutzbeauftragter ist.
Ein Datenschutzbeauftragter braucht Wissen um die betrieblichen oder die verwaltungstechnischen Prozesse in einer Schule. Er muss wissen, wie werden Daten von Schülern in der Schule verarbeitet – von der Anmeldung bis hin zur Zeugnisübergabe und zur Archivierung. Was er darüber hinaus benötigt, das ist ein tiefergehendes IT-Verständnis, um die dahinterliegenden Prozesse zu verstehen. Dies gilt auch für die Datenverarbeitung bei Lehrerinnen und Lehrern. Darüber hinaus muss er juristisch auf der Höhe sein, um die Rechtslage überblicken zu können. Natürlich werden Fort- und Weiterbildungen angeboten, die das alles versprechen.
In der Praxis gibt es aber häufig Probleme: Lehrerinnen und Lehrer haben nun mal in der Regel keine Ausbildung zum Datenschutzbeauftragten, und Fortbildungen haben nicht die erforderliche Qualität. Ein einwöchiger Kurs bei einer externen Einrichtung ist das absolute Minimum, das dafür nötig ist – und nicht einmal das ist überall gewährleistet. Und von den tagesaktuellen Informationen, beispielsweise Urteilen zur Übermittlung von Daten in unsichere Drittstaaten, gar nicht erst zu sprechen.
Ein weiteres Problem ist die Zeit: Ein Datenschutzbeauftragter einer einzelnen Schule bekommt in der Regel keine einzige Anrechnungsstunde dafür, Datenschutzbeauftragte von ganzen Städten und Gemeinden vielleicht mal vier – für bis zu achtzig Schulen. Da kann man sich leicht vorstellen, wie häufig der an jeder einzelnen Schule mal vorbeikommt und Fragen der Schulleitung zur datenschutzkonformen Gestaltung von Verarbeitungstätigkeiten beantworten kann. Die Schulleitung ist allerdings verpflichtet, jemanden zu benennen, der als Datenschutzbeauftragter qualifiziert ist. Benennt die Schulleitung jemanden, der dafür nicht ausgebildet ist, verstößt sie gegen geltendes Recht – und zwar vorsätzlich.