Datenschutz in der Schule (Teil 1): Ist eine Datenverarbeitung durch Lehrer an ihrem häuslichen Computer zulässig?

Heutzutage benutzen Menschen sämtlicher Altersklassen Computer und das Internet. Auch unsere Kinder und deren Lehrer benutzen diese Medien zunehmend mehr und auch im Rahmen des pädagogischen Unterrichts. Die Nutzung der neuen Technik birgt jedoch auch Gefahren, deren sich nicht nur die Kinder häufig nicht bewusst sind.

Gerade im Zusammenhang mit personenbezogenen Daten von Kindern stellen sich zunehmend datenschutzrechtliche Probleme. Während weitläufig Initiativen von Datenschützern sich mit dem Problem des Minderjährigen im Netz befassen, geraten auch die Schulen in das Blickfeld der Datenschützer. Schließlich werden in Schulen personenbezogene Daten, häufig sogar sehr sensible Daten, gesammelt und verarbeitet. Dass gerade diese Daten von Kindern auch einen wirtschaftlichen Wert haben, zeigen Fälle des Datendiebstahls in Schülernetzwerken, so dass auch in der Schule besondere Schutzmaßnahmen ergriffen werden müssen. Der vorliegende Artikel soll die Frage klären, ob personenbezogene Daten der Schüler auf den privaten Computern der Lehrer verarbeitet werden dürfen.

Welche gesetzlichen Regelungen sind anwendbar?

Die Frage lässt sich nicht pauschal für das gesamte Bundesgebiet beantworten. Der Anwendungsbereich des Bundesdatenschutzgesetzes („BDSG“) erstreckt sich nur auf öffentliche Stellen des Bundes und nicht-öffentliche Stellen (Unternehmen). Öffentliche Schulen sind jedoch zumeist öffentliche Stellen der Länder, so dass vorrangig die jeweiligen Landesdatenschutzgesetze anwendbar sind. Daneben können speziellere Regelungen zum Datenschutz an Schulen (z.B. in den Schulgesetzen) zur Anwendung kommen.

Was gilt für Privatschulen?

Auch hier entscheidet der Einzelfall. In der Regel sind Schulen in privater Trägerschaft als nicht-öffentliche Stellen (sprich: Unternehmen) anzusehen, auf die das BDSG anzuwenden ist. Ob Schulen in privater Trägerschaft, deren laufender Unterhalt aus öffentlichen Mitteln bestritten wird, als öffentliche oder nicht-öffentliche Stellen zu qualifizieren sind, ist unter den Datenschützern umstritten und sollte am konkreten Fall – unter Umständen unter Hinzuziehung der Aufsichtsbehörde – geklärt werden.

Einheitliche Struktur der Landesgesetzgebung hinsichtlich der häuslichen Verarbeitung

Wenngleich es in den verschiedenen Bundesländern unterschiedliche Landesdatenschutzgesetze gibt, so herrscht in diesen Gesetzen zumindest hinsichtlich der Frage nach der häuslichen Verarbeitung von Schülerdaten eine einheitliche Regelungsstruktur.

Häusliche Verarbeitung nur ausnahmsweise zulässig

So ist der Einsatz privater Rechner in der Verwaltung zur Erledigung dienstlicher Aufgaben an sich nicht zulässig, da dies aus Gründen der Datensicherheit als riskant zu bewerten ist. Nur in Ausnahmefällen kann der Einsatz privater Rechner zugelassen werden. Da aber Lehrern in der Schule regelmäßig kein eigener Arbeitsplatz zur Verfügung steht, ist es schon immer üblich, dass diese ihre Unterlagen auch mit personenbezogenen Schülerdaten zu Hause aufbewahren und bearbeiten dürfen. Sie werden insoweit als Teil der Schule in deren Behördenfunktion tätig. Folglich unterliegen sie bei der Erledigung ihrer dienstlichen Aufgaben am privaten Rechner denselben Datenschutzbestimmungen, die auch für die Schule im Allgemeinen gelten.

Sinn der gesetzlichen Struktur

In den meisten öffentlichen Stellen werden personenbezogene Daten ausschließlich in den Diensträumen verarbeitet. Damit behalten die für die Datenverarbeitung Verantwortlichen jederzeit die Kontrollmöglichkeit über einen ordnungsgemäßen Umgang mit den personenbezogenen Daten. Diese Möglichkeiten sind bei der häuslichen Datenverarbeitung nur sehr eingeschränkt gegeben, obwohl die Schulleitung für die Datenverarbeitung verantwortlich bleibt.

Einzelfall muss in der Regel nach den landesgesetzlichen Vorschriften bewertet werden

Was genau das jedoch für den einzelnen Fall bedeutet muss damit in der Regel an den landesgesetzlichen Vorschriften sowie besondere Datenschutzgesetzen der Länder für den Schulbereich geklärt werden. Im Folgenden soll die Frage für das Bundesland Nordrhein-Westfalen dargestellt werden.

Beispiel Nordrhein-Westfalen

Für Nordrhein-Westfalen werden die Voraussetzungen für die häusliche Verarbeitung der personenbezogenen Daten von Schülern in der VO-DV I (Verordnung über die Verarbeitung zugelassener Daten von Schülerinnen, Schülern und Eltern) geklärt.
Relevant ist insoweit § 2 Abs. 2 der Verordnung. Dieser lautet wie folgt:

§ 2 Verfahren der automatisierten Datenverarbeitung

(…) (2) Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten ADV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen [...] Genehmigung durch die Schulleiterin oder den Schulleiter. Die Genehmigung darf nur erteilt werden, wenn die Verarbeitung der Daten nach Art und Umfang für die Erfüllung der schulischen Aufgaben erforderlich ist und ein angemessener technischer Zugangsschutz nachgewiesen wird. Die für die Verarbeitung zugelassenen Daten ergeben sich aus der Anlage 3. (…)

Damit können in Nordrhein-Westfalen private Computer nur dann von den Lehrern für die Erledigung ihrer dienstlichen Aufgaben verwendet werden, wenn eine schriftliche Genehmigung der Schulleitung dafür vorliegt.

Daneben werden in der Vorschrift auch besondere Voraussetzungen für die Erteilung der Genehmigung festgelegt
Die Genehmigung darf nur erteilt werden, wenn die durch den Lehrer angestrebte Verarbeitung der Daten nach Art und Umfang für die Erfüllung der schulischen Aufgaben erforderlich ist. Da eine nähere Erläuterung nicht vorhanden ist, muss insofern auf das datenschutzrechtliche Verständnis von „erforderlich“ aus dem BDSG abgestellt werden.

Voraussetzung für die Genehmigung ist unter anderem, dass ein hinreichender technischer Zugriffsschutz auf die gespeicherten Daten besteht. Insofern muss ein Passwortschutz eingerichtet werden. Durch ein abschließbares Arbeitszimmer muss sichergestellt werden, dass Schülerdaten nicht dem unberechtigten Zugriff Dritter ausgesetzt werden. Benutzen bspw. Familienmitglieder den PC müssen Verschlüsselungstechniken angewandt werden sowie Sicherungskopien erstellt werden.

Welche Daten dürfen verarbeitet werden?

Welche Daten im Einzelnen verarbeitet werden dürfen, wird in Anlage 3 der oben bereits zitierten Verordnung festgelegt.

Der insoweit gesetzlich bestimmte Datenrahmen umfasst jedenfalls nur die Daten der eigenen Schüler, das heißt derjenigen Schüler, die von diesem Lehrer unterrichtet werden. Umfasst werden nach Anlage 3 der Vorschrift u.a. die Verarbeitung des Namens, des Geschlechts, des Geburtstages, der Konfession, der Klasse sowie der Fächer und Leistungsbewertungen.

Was ist danach gesetzlich möglich?

Es ist danach möglich Klassenlisten mit verschiedenen Sortierungen zu erstellen oder ein Notenbuch mit den Mitteln der EDV zu führen. Daneben ist es möglich auch mit einem Zeugnisprogramm zu arbeiten.

Was ist nicht möglich?

Nicht zulässig ist insbesondere, die gesamten Daten aller Schüler der Schule (etwa zur Statistikerstellung) in einem privaten Programm zu verarbeiten. Daneben ist es auch nicht möglich, im Rahmen der genehmigten Verarbeitung Daten zu verarbeiten, die nicht von Anlage 3 umfasst werden. Dies meint beispielsweise die Aufnahme der häuslichen Verhältnisse der Schüler oder ähnliches.

Welcher Kontrolle unterliegt die häusliche Verarbeitung?

Letztlich muss die Datenverarbeitung auf den privaten PCs der Schule zugerechnet werden. Sie unterliegt damit auch der Kontrolle durch die jeweils zuständigen Datenschutz-Aufsichtsbehörden.

Fazit

Bei der Verarbeitung personenbezogener Daten von Schülern am heimischen PC sind zahlreiche datenschutzrechtliche Vorschriften zu beachten. In vielen Fällen ist vorab eine Genehmigung der Schulleitung erforderlich. Zudem müssen die personenbezogenen Daten technisch gesondert abgesichert werden, um die Kinder vor einer missbräuchlichen Verwendung ihrer personenbezogenen Daten zu schützen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.