≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2023

8. Schulen, Hochschulen, Kultur

8.1. Beratung bei der Änderung schulrechtlicher Vorschriften

Das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen, das Bayerische Schulfinanzierungsgesetz sowie die Bayerische Schulordnung wurden im Jahr 2023 teils mehrfach geändert; betroffen waren auch datenschutzrelevante Vorschriften. Hierzu habe ich das Bayerische Staatsministerium für Unterricht und Kultus jeweils eingehend beraten.

8.1.1. Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen

Gemäß § 31a Drittes Buch Sozialgesetzbuch - Arbeitsförderung - (SGB III) hat die Agentur für Arbeit junge Menschen, die nach ihrer Kenntnis bei Beendigung der Schule oder einer vergleichbaren Ersatzmaßnahme keine konkrete berufliche Anschlussperspektive haben, zu kontaktieren und über Angebote der Berufsberatung und Berufsorientierung zu informieren, soweit diese noch nicht genutzt werden. Zu diesem Zweck erhebt die Agentur für Arbeit bestimmte Daten wie Name, Wohnanschrift und erreichter Abschluss, soweit sie ihr von den Ländern übermittelt werden. § 31a SGB III trat zum 1. Juli 2020 in Kraft. Für die Übermittlung dieser Daten durch die Schulen bedurfte es ergänzend landesrechtlicher Regelungen. Diese wurden mit Wirkung zum 1. August 2023 erlassen.

Das Kultusministerium hatte mich frühzeitig um Beratung zu den in Aussicht genommenen Regelungen gebeten. So konnte ich erhebliche datenschutzrechtliche Verbesserungen erreichen, die im ursprünglichen Regelungsentwurf nicht vorgesehen waren:

  • Art. 85 Abs. 2 Satz 5 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) enthält nun ein voraussetzungsloses Widerspruchsrecht der oder des Betroffenen bereits im Hinblick auf eine Datenübermittlung der Schule an die Agentur für Arbeit. Ursprünglich war nur ein Hinweis auf das Widerspruchsrecht nach Art. 21 DSGVO vorgesehen. Dieses Widerspruchsrecht gilt zum einen ohnehin, zum anderen räumt es nicht die in § 31a Abs. 2 Satz 4 SGB III geregelte voraussetzungslose Widerspruchsmöglichkeit an der "Datenquelle" ein. Der Eingriff in das informationelle Selbstbestimmungsrecht von Schülerinnen und Schülern wäre nicht so umfassend abgefedert, wenn Daten erst an die Agentur für Arbeit übermittelt würden und ein voraussetzungsloses Widerspruchsrecht erst dort zugebilligt würde.
  • Die Betroffenen müssen zudem gemäß Art. 85 Abs. 2 Satz 6 BayEUG auf ihr Widerspruchsrecht nach Art. 85 Abs. 2 Satz 5 BayEUG hingewiesen werden. Ein Widerspruchsrecht kann nämlich nur ausgeübt werden, wenn die berechtigten Personen davon auch Kenntnis haben.

8.1.2. Bayerisches Schulfinanzierungsgesetz

Auf meine Initiative hin hat der Gesetzgeber Lücken beim Datenschutz durch Änderungen im Bayerischen Schulfinanzierungsgesetz geschlossen.

Schon vor dem Berichtszeitraum hatte ich auf einen Impuls aus der Schulpraxis hin das Kultusministerium auf erforderliche Änderungen betreffend die Schnittstelle des Datenaustauschs von Schulen, kommunalen Aufwandsträgern und Ausländerbehörden im Zusammenhang mit dem Kostenersatz für Gastschüler hingewiesen sowie auf Abhilfe gedrängt.

Kommunale Aufwandsträger erhalten vom Freistaat Bayern für die Beschulung von Gastschülerinnen und Gastschülern einen Gastschulbeitrag beziehungsweise Kostenersatz, bei den meisten Schularten in Form von Pauschalen. Als Gastschülerinnen und Gastschüler gelten unter anderem auch Schülerinnen und Schüler, die eine Aufenthaltsgestattung nach dem Asylgesetz besitzen, soweit sie nicht in einem Berufsausbildungsverhältnis oder einem Beschäftigungsverhältnis stehen. Der Gastschulbeitrag beziehungsweise der Kostenersatz weist nicht nur je nach Schulart eine unterschiedliche Höhe auf, sondern ist in der hier relevanten Fallgruppe an einen bestimmten ausländerrechtlichen Aufenthaltsstatus der einzelnen Schülerin oder des einzelnen Schülers gebunden. Für die kommunalen Aufwandsträger stehen dabei teilweise erhebliche Summen im Raum.

Die insofern relevanten Datenumgänge stellten sich folgendermaßen dar: Um die Gastschulbeiträge zu erhalten, mussten die Aufwandsträger nach Schulart getrennt die fraglichen Personen mit Angabe des jeweiligen ausländerrechtlichen Status per Formblatt melden. Auf diesem Formblatt mussten die Ausländerbehörden den jeweiligen ausländerrechtlichen Status bestätigen.

Um die in Betracht kommenden Personen zu ermitteln, bat der Aufwandsträger die Schulen, eine Liste der Schülerinnen und Schüler ohne EU-Staatsangehörigkeit zu übersenden. Diese Liste reichte der Aufwandsträger dann an die zuständige Ausländerbehörde weiter, damit dort der entsprechende ausländerrechtliche Status festgestellt werden konnte. Die Ausländerbehörde übermittelte die Liste dann wieder an den Aufwandsträger, der nach Auswertung bei der zuständigen Regierung oder dem Bayerischen Landesamt für Schule die gewünschten Finanzierungshilfen beantragte.

Befugnisse für die dargestellten Datenübermittlungen der Schule konnten weder die von mir angeschriebene Schule noch das Kultusministerium überzeugend darlegen:

  • Eine Norm, die insoweit der Schule eine gesetzliche Aufgabe im Sinne von Art. 85 Abs. 1 BayEUG zuwies, war nicht erkennbar. Dies galt auch in Bezug auf die von der Schule herangezogenen Art. 10 Abs. 1 Satz 3 in Verbindung mit Art. 10 Abs. 5 Satz 1 Nr. 6 Bayerisches Schulfinanzierungsgesetz (BaySchFG). Denn Art. 10 Abs. 1 Satz 3 BaySchFG definiert lediglich, wer auch als Gastschüler gilt. Art. 10 Abs. 5 Satz 1 Nr. 6 BaySchFG legt fest, wer Beitrags- oder Kostenschuldner ist.
  • § 87 Abs. 1 Aufenthaltsgesetz schied als Rechtgrundlage für Datenübermittlungen durch Schulen schon deshalb aus, weil Schulen in der Vorschrift ausdrücklich ausgenommen sind.
  • Auch die Voraussetzungen von Art. 85 Abs. 2 BayEUG lagen nicht vor. Zudem hätte die Schule gemäß Art. 5 Abs. 2 DSGVO die Pflicht getroffen, einen entsprechenden Nachweis zu führen, was ihr nicht gelang.
  • Auch Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO konnte keine Rechtsgrundlage vermitteln. Art. 6 Abs. 3 DSGVO verlangt auch mit Blick auf Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO eine Regelung durch Unionsrecht oder durch das Recht der Mitgliedstaaten. Um den Tatbestand des Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO vom Tatbestand des Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO abzugrenzen, muss die unionsrechtliche oder mitgliedstaatliche Norm nach Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO konkret eine rechtliche Pflicht in Bezug auf die Datenverarbeitung vorsehen. Mit anderen Worten: Erforderlich ist, dass sich die in einer Vorschrift normierte Verpflichtung unmittelbar auf eine Datenverarbeitung bezieht. Allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht demgegenüber nicht aus. Aus den von der Schule angeführten Regelungen des Bayerischen Schulfinanzierungsgesetzes konnte eine Verpflichtung der Schulen zu personenbezogenen Datenerhebungen oder Datenübermittlungen im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO nicht gewonnen werden.
  • Soweit die Schule als Rechtsgrundlage für die Datenübermittlung auf Art. 5 Abs. 1 Satz 1 Nr. 1 BayDSG abstellte, übersah sie, dass diese allgemeine datenschutzrechtliche Vorschrift durch die spezialgesetzlichen Regelungen in Art. 85 Abs. 1 und Abs. 2 BayEUG verdrängt wird.
  • Schließlich fehlte einer einschlägigen Bekanntmachung des Kultusministeriums der Charakter einer außenwirkenden Norm. So konnte die Vorgabe in Nr. 2.2 dieser Bekanntmachung, wonach die Schulleiter verpflichtet seien, die Aufwandsträger zu unterstützen, weder eine Pflicht im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO noch eine Aufgabenzuweisung im Sinne von Art. 85 Abs. 1 Satz 1 BayEUG begründen. Im Übrigen trifft die Bekanntmachung in Bezug auf den Datenschutz auch keine Aussagen.

Im weiteren Schriftverkehr mit dem Kultusministerium zeigte ich den datenschutzfreundlichen Lösungsansatz auf, wie der bisherige Informationsfluss zwischen Schule, Aufwandsträger und Ausländerbehörde organisatorisch umgestaltet werden könnte. Idealerweise sollten keine personenbezogenen Daten übermittelt werden, sondern pauschalierte Finanzzuweisungen erfolgen, gegebenenfalls auf Basis bisheriger Erfahrungswerte. Sollte dies nicht möglich sein, müssten jedenfalls klare gesetzliche Grundlagen geschaffen werden; dabei müsste vor allem ausdrücklich geregelt werden, dass es der Ausländerbehörde untersagt ist, die Daten für andere Zwecke, insbesondere aufenthaltsrechtliche Maßnahmen zu verwenden.

Das Kultusministerium hatte mir dazu mitgeteilt, es habe die von mir skizzierte Möglichkeit einer Pauschalierung intensiv geprüft. Es habe sich jedoch gezeigt, dass die durchschnittlichen Kosten je Kommune stark divergieren. Eine entweder zu Akzeptanzzwecken auf die höher belasteten Kommunen oder zu Wirtschaftlichkeitszwecken auf den Landesdurchschnitt angepasste Pauschale weiche zu weit von den tatsächlichen Gegebenheiten ab und erscheine daher nicht umsetzbar. Des Weiteren fehle es an geeigneten Parametern wie den Schülerzahlen bei den interkommunalen Gastschülern, um eine Pauschale bei Bedarf anzupassen. Daher würde geprüft, in welcher Form Rechtsgrundlagen geschaffen werden könnten. Hierzu habe ich das Kultusministerium in der Folge beraten.

Im Ergebnis wurde Art. 10 BaySchFG durch das Gesetz zur Änderung des Bayerischen Schulfinanzierungsgesetzes mit Wirkung vom 1. August 2023 ein Absatz 10 angefügt. Erfreulicherweise wurden die von mir eingeforderten gesetzlichen Änderungen umgesetzt. So ist nun im Gesetz eine zweckgebundene Übermittlungsbefugnis der Schule an den Aufwandsträger geregelt. Vor allem aber ist nun ausdrücklich gesetzlich festgelegt, dass die Ausländerbehörden die vom Aufwandsträger übermittelten personenbezogenen Daten nicht für andere Zwecke verarbeiten dürfen, insbesondere nicht zum Zweck aufenthaltsrechtlicher Maßnahmen. Zudem sind die Ausländerbehörden verpflichtet, alle personenbezogenen Daten nach Übermittlung an den Aufwandsträger unverzüglich zu löschen (vgl. Art. 10 Abs. 10 Satz 4 und 5 BaySchFG).

8.1.3. Bayerische Schulordnung

Auch bei Änderungen der Bayerischen Schulordnung konnte ich durch meine Beratung wesentliche datenschutzrechtliche Verbesserungen erreichen:

  • Abschnitt 7 von Anlage 2 der Bayerischen Schulordnung regelt Datenverarbeitungen der Schulen mittels digitalen Kommunikations- und Kollaborationswerkzeugen. Danach waren entsprechende Datenverarbeitungen in bestimmten Fallgruppen (wie Unterstützung der Schulentwicklung, Ergänzung der pädagogischen Arbeit durch virtuelle Klassenräume, ortsunabhängiges Arbeiten mit digitalen Unterrichtswerkzeugen, Innen- und Außenkommunikation der Schule) nur zulässig, wenn eine wirksame Einwilligung der Erziehungsberechtigten beziehungsweise der Schülerinnen und Schüler vorlag. Das Kultusministerium wollte diesen Einwilligungsvorbehalt zunächst gänzlich abschaffen. Meine Kritik an diesem Vorhaben hatte zur Folge, dass der Einwilligungsvorbehalt in den genannten Fallgruppen nicht vollständig aufgegeben wird, sondern nur insofern, als das digitale Kommunikations- und Kollaborationswerkzeug zentral vom Freistaat Bayern über das Kultusministerium bereitgestellt wird.

Diese Lösung ist sowohl datenschutzfreundlich als auch praxisorientiert. Zwar entfällt in den genannten Fallgruppen der Einwilligungsvorbehalt beim Einsatz von Werkzeugen der BayernCloud Schule. Da Vorprüfungen durch das Kultusministerium - sowie die begleitende Beratung durch mich - auf eine datenschutzfreundliche Gestaltung dieser Werkzeuge hinwirken, ist damit aber kein Nachteil verbunden. Bei Änderungsbedarf kann zudem zentral reagiert werden. Da insofern das aufwändige und ergebnisoffene Einholen von Einwilligungserklärungen bei den Schülerinnen und Schülern sowie den Erziehungsberechtigten durch die Schulen entfällt, werden die Schulen zusätzlich motiviert, diese Werkzeuge einzusetzen. Dies hat erhebliche Vorteile gegenüber einem "Wildwuchs" von Anwendungen in den Schulen, zumal diese von einer umfassenden eigenen Prüfung der Datenschutzkonformität oftmals überfordert sind. Zugleich bleibt der Einsatz anderer Werkzeuge im Einzelfall aber möglich. Auf Basis der sich aus der Praxis ergebenden Erfahrungen können Regelungsstruktur und Anwendungen bei Bedarf weiterentwickelt werden.

  • In Abschnitt 8 von Anlage 2 der Bayerischen Schulordnung ("Zentrale vom Freistaat Bayern über das Staatsministerium bereitgestellte Nutzerverwaltung und Anmeldeinfrastruktur") wollte das Kultusministerium in Nr. 3.1.2 folgende Datenverarbeitungen einfügen:
  • Zertifikats- und Schlüsseldaten,
  • Zeitpunkt der Zuweisung der Zertifikats- und Schlüsseldaten,
  • Zeitpunkt der Sperrung der Zertifikats- und Schlüsseldaten,
  • Persönliche Identifikationsnummer zur Entsperrung der Zertifikats- und Schlüsseldaten und
  • Biometrische Daten (etwa Fingerabdruck oder Gesichtserkennung) für die Entsperrung der Zertifikats- und Schlüsseldaten (nur freiwillig).

Diese Ergänzungen sollten laut Kultusministerium eine Zwei-Faktor-Authentifizierung in Bezug auf den gemeinsamen Anmeldeserver für die Anwendungen des Programms BayernCloud Schule ermöglichen. Dadurch sollte eine erhöhte Sicherheitsstufe bei der Authentifizierung geschaffen werden, die hinsichtlich spezieller Anwendungen der BayernCloud Schule erforderlich sei. So würden gleichzeitig besonders schützenswerte Daten im Verwaltungsbereich der BayernCloud Schule verschlüsselt werden können. Es werde ausdrücklich sichergestellt, dass dabei die optionale Verarbeitung biometrischer Daten nur freiwillig erfolgen dürfe, mithin stets einer Einwilligung bedürfe.

Die Schaffung einer erhöhten Sicherheitsstufe im Hinblick auf sensible Daten und die Verschlüsselung derselben begrüße ich im Grundsatz ausdrücklich. Zu beachten bleibt aber, dass biometrische Daten nach Art. 9 DSGVO einem besonderen Schutz unterliegen. Vorliegend soll die Verarbeitung biometrischer Daten nur auf Grundlage einer Einwilligung nach Art. 9 Abs. 2 Buchst. a DSGVO zulässig sein. Doch auch dann müssen die allgemeinen Voraussetzungen für eine rechtmäßige Verarbeitung erfüllt sein. Nach Art. 5 Abs. 1 Buchst. c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung"). Zweck der Zwei-Faktor-Authentifizierung beziehungsweise der Verschlüsselung ist der Schutz sensibler Daten. Insoweit kann die Verwendung biometrischer Daten zur Authentifizierung und Verschlüsselung - eine wirksame Einwilligung der betroffenen Personen vorausgesetzt - durchaus angemessen sein. Zur Absicherung nicht sensibler Daten ist die Verarbeitung biometrischer Daten jedoch nicht angemessen, weil insoweit kein erhöhter Schutzbedarf gegeben ist. In diesem Fall stünde die Verarbeitung biometrischer Daten trotz wirksamer Einwilligung im Widerspruch zum allgemeinen Grundsatz der Datenminimierung aus Art. 5 Abs. 1 Buchst. c DSGVO.

Erfreulicherweise hat das Kultusministerium meiner Argumentation Rechnung getragen und die Zulässigkeit der Verarbeitung biometrischer Daten durch die aufgenommene Formulierung "bei Anwendungen mit erhöhtem Schutzbedarf" entsprechend eingeschränkt.

8.2. Masernschutz - Atteste über Kontraindikationen

Im Berichtszeitraum haben mich mehrere Beschwerden erreicht, die sich gegen die Weitergabe ärztlicher Atteste von Schulen an Gesundheitsämter im Zusammenhang mit Masernschutzimpfungen wendeten.

In einem Fall hatten Eltern vorgetragen, sie hätten für ihren Sohn bei dessen Realschule eine "ärztliche Impfunfähigkeitsbescheinigung" vorgelegt. Die Realschule habe das ärztliche Attest aus ihrer Sicht unzulässig an das Gesundheitsamt weitergegeben.

Im Zuge meiner Erkundigungen bei der Realschule und beim Gesundheitsamt hatte sich dann herausgestellt, dass die Realschule zwar das Gesundheitsamt darüber benachrichtigt hatte, dass Zweifel an der Echtheit oder inhaltlichen Richtigkeit des vorgelegten Nachweises bestünden. Das ärztliche Attest hatte dem Gesundheitsamt jedoch nicht die Realschule übermittelt, sondern ein Gymnasium, an das der Schüler zwischenzeitlich gewechselt war.

Ferner war festzustellen, dass das Gesundheitsamt zuvor alle Schulen in seinem Zuständigkeitsbereich mit einem Schreiben "ermutigt" hatte, ihnen vorgelegte Atteste über Kontraindikationen gegen die Masernimpfung an das Gesundheitsamt weiterzuleiten. Andernfalls - so das Gesundheitsamt - übernähmen die Schulen die Verantwortung für die Korrektheit der Atteste. Laut Gesetzgeber läge es im Ermessen der Schule, solche Atteste selbst zu prüfen und zu akzeptieren. Dadurch hafteten die Leitungen der Schule dann aber persönlich für deren Richtigkeit. Um den Schulen diesen Arbeitsaufwand und die Verantwortung abzunehmen, biete das Gesundheitsamt an, dass die Schulen die vorgelegten Atteste an das Gesundheitsamt weiterleiten.

Gemäß § 20 Abs. 9 Satz 1 Infektionsschutzgesetz (IfSG) haben Schülerinnen und Schüler ihrer Schule vor Beginn ihrer dortigen Betreuung einen Nachweis bezüglich einer Impfung gegen Masern vorzulegen. Dies kann insbesondere ein Nachweis über eine erfolgte Impfung oder ein ärztliches Attest darüber sein, dass sie aufgrund einer medizinischen Kontraindikation nicht geimpft werden können.

Wenn der nach § 20 Abs. 9 Satz 1 IfSG erforderliche Nachweis nicht vorgelegt wird oder wenn Zweifel an der Echtheit oder inhaltlichen Richtigkeit des vorgelegten Nachweises bestehen, hat die Leitung der Schule gemäß § 20 Abs. 9 Satz 2 IfSG unverzüglich das Gesundheitsamt, in dessen Bezirk sich die Einrichtung befindet, darüber zu benachrichtigen.

Dies bedeutet konkret:

  • Der Gesetzgeber setzt für die Übermittlungsbefugnis keine umfassende medizinisch-inhaltliche Überprüfung des vorgelegten Nachweises durch die Schule voraus. Dies kann eine Schule auch nicht leisten. Allerdings knüpft der Gesetzgeber die Befugnis zu einer Datenübermittlung daran, dass Zweifel an der inhaltlichen Richtigkeit oder Echtheit bestehen. Ohne derartige Zweifel ist eine Schule nach dem Willen des Gesetzgebers nicht berechtigt, auf Basis von § 20 Abs. 9 Satz 2 Var. 2 und 3 IfSG personenbezogene Daten an das Gesundheitsamt zu übermitteln. Die Zweifel der Schule müssen auf konkreten Gründen beruhen. Solche Zweifel könnten sich unter Würdigung der Gesamtumstände beispielsweise daraus ergeben, dass der den Nachweis ausstellende Arzt nur in einer weit entfernten Stadt praktiziert. Allein eine unsubstantiierte Aussage "ich habe Zweifel" kann nicht genügen, denn ansonsten liefe die gesetzliche Regelung ins Leere.
  • Nach der gesetzgeberischen Entscheidung ist es jedoch grundsätzlich nicht zulässig, das Attest an das Gesundheitsamt zu übermitteln. Denn die Schule darf nur "darüber" benachrichtigen, also über das Bestehen der Zweifel. Wenn ein Gesundheitsamt von einer Schule gemäß Art. 20 Abs. 9 Satz 2 IfSG über bestehende Zweifel benachrichtigt wird, kann es eigenständig die ihm vom Gesetzgeber in § 20 Abs. 12 IfSG eingeräumten Ermittlungsmöglichkeiten nutzen.
  • Verantwortlicher für die Datenübermittlung ist die Schule. Diese hat zu prüfen, ob nach den für sie geltenden Vorschriften eine Übermittlung personenbezogener Daten zulässig ist. Hieran ändert sich grundsätzlich auch nichts, wenn eine andere Behörde - mit unrichtigen Rechtsausführungen - zu einer Datenübermittlung "ermutigt". Dies gilt umso mehr, als das Kultusministerium einige Monate zuvor die Schulen zutreffend auf die bestehende und einzuhaltende Rechtslage in einem Rundschreiben hingewiesen hatte.

Das Schreiben des Gesundheitsamtes an die Schulen gab den rechtlichen Rahmen unzutreffend wieder:

Bereits die Aussagen zur persönlichen Verantwortung der Schulleitungen für die Richtigkeit von Attesten waren datenschutzrechtlich mehr als zweifelhaft. Wer keine - begründeten - Zweifel hat, darf nach den datenschutzrechtlichen Vorschriften nicht benachrichtigen. Wer hingegen - begründete - Zweifel hat, darf nach den datenschutzrechtlichen Vorschriften benachrichtigen beziehungsweise muss dies sogar tun. Ein darüberhinausgehendes Einstehen oder eine Haftung für die Richtigkeit eines Attestes ist aus den datenschutzrechtlichen Vorschriften nicht ersichtlich. Auch nach allgemeinem Sprachverständnis steht eine Schulleitung nicht automatisch für die (inhaltliche) Richtigkeit eines ärztlichen Attestes ein oder "haftet" gar persönlich für die Richtigkeit, wenn sie keine begründeten Zweifel hat. Jedenfalls aber unterstellten die Formulierungen des Gesundheitsamtes datenschutzrechtliche Befugnisse der Schulen, die tatsächlich nicht bestehen (siehe soeben oben). Denn die Weitergabe eines vorgelegten ärztlichen Attestes ist nicht zulässig - unabhängig vom Vorliegen begründeter Zweifel als Voraussetzung für eine Benachrichtigung.

Daher waren folgende Maßnahmen veranlasst:

  • Die Realschule hatte mir auf meine ausführlichen Hinweise zur Rechtslage und Aufforderung zur Stellungnahme keinerlei Zweifel an der inhaltlichen Richtigkeit oder Echtheit des vorgelegten Attestes dargelegt. Die Voraussetzungen für eine personenbezogene Benachrichtigung des Gesundheitsamtes lagen daher offenbar nicht vor. Ich stellte daher einen Verstoß gegen datenschutzrechtliche Bestimmungen (Art. 6 Abs. 1 UAbs. 1, Abs. 2 und 3 DSGVO) fest. Zudem forderte ich die Realschule auf, die datenschutzrechtlichen Vorschriften künftig strikt zu beachten.
  • Auch das Gymnasium hatte auf meine ausdrückliche Frage nach den dort im Zeitpunkt der Datenübermittlung bestehenden Zweifeln solche nicht dargelegt. Die Voraussetzungen des § 20 Abs. 9 Satz 2 IfSG konnte ich daher nicht als erfüllt ansehen. Allein die abstrakte Mitteilung, dass das Attest erhebliche Zweifel habe aufkommen lassen, ohne den Bezugspunkt und die konkreten Anhaltspunkte für die Zweifel zu erläutern, war nicht ausreichend. Unabhängig davon hätte selbst bei entsprechend begründeten Zweifeln keine Befugnis des Gymnasiums bestanden, dem Gesundheitsamt das ärztliche Attest zu übermitteln. Ich stellte daher ebenfalls einen Verstoß gegen Art. 6 Abs. 1 UAbs. 1, Abs. 2 und 3 DSGVO fest. Zudem forderte ich das Gymnasium auf, die datenschutzrechtlichen Vorschriften künftig strikt zu beachten.
  • Das Gesundheitsamt hatte ich über die Rechtslage aufgeklärt und zur Richtigstellung gegenüber den Schulen aufgefordert. Daraufhin korrigierte es seine Aussagen gegenüber den Schulen in einem gesonderten Schreiben und stellte die Rechtslage auf Basis meiner Hinweise dar.

8.3. Einsichtnahme durch Lehrkräfte in private Tablets

Wohl aufgrund des stetig zunehmenden Einsatzes von Tablets im Schulunterricht haben mich zuletzt vermehrt Anfragen und Beschwerden erreicht, die sich auf die Reichweite der Zugriffsrechte von Lehrkräften auf diese Geräte bezogen.

Bei einer Schule beanstandete ich sogar einen Datenschutzverstoß. Die Lehrkraft einer sogenannten "Tablet-Klasse" hatte zur Prüfung der Lernunterlagen/mobilen Hefte die privaten Geräte eingesammelt und ohne Ankündigung oder Wissen der Schülerinnen und Schüler auch private Fotos gesichtet. Dies fiel letztlich nur deshalb auf, weil die Lehrkraft damit im Zusammenhang stehend Verweise erteilt hatte.

Auf die zentrale Befugnisnorm des Art. 85 Abs. 1 Satz 1 BayEUG konnte die Schule die Durchsicht der privaten Fotos mangels einer gesetzlich zugewiesenen Aufgabe nicht stützen. Wirksame Einwilligungen nach Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 7 DSGVO hatte die Schule ebenfalls nicht nachweisen können. Damit lag ein Datenschutzverstoß vor: Die Schule hatte durch die Einsicht nehmende Lehrkraft personenbezogene Daten von Schülerinnen und Schülern ohne Rechtsgrundlage verarbeitet.

Die Durchsicht privater Fotos stellt - gerade in der heutigen Zeit - einen ganz erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar. Außerdem hatte das Kultusministerium erst wenige Monate zuvor alle bayerischen Schulen in einem Schreiben auf die Unzulässigkeit eines solchen Vorgehens hingewiesen.

8.4. Auskunft über Prüfungsarbeiten an Hochschulen

Im Berichtszeitraum beschwerte sich ein Student bei mir, weil eine Hochschule seinen Antrag auf eine Kopie (vgl. Art. 15 Abs. 3 DSGVO) seiner - im Rahmen einer Prüfungsleistung von der Hochschule verarbeiteten - personenbezogenen Daten abgelehnt hatte. Sie hätte dies damit begründet, dass eine Kopie einer Prüfungsleistung gemäß der Allgemeinen Prüfungsordnung der Hochschule (im Folgenden: Prüfungsordnung) ausschließlich im Rahmen einer persönlichen Teilnahme an einem Einsichtnahmetermin erfolgen könnte. Die Prüfungsordnung wäre als prüfungsrechtliche Spezialregelung anzusehen, die den Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO näher konkretisiere.

Die Regelungen der Prüfungsordnung lauteten unter anderem wie folgt:

  • Studierende können nach Feststellung des Prüfungsergebnisses Einsicht in ihre bewerteten schriftlichen Prüfungsarbeiten nehmen.
  • Die/der Studierende kann nur persönlich im Einsichtnahmetermin gegenüber dem Prüfer oder der Prüferin die Erstellung einer Kopie seiner/ihrer Prüfungsarbeit durch das jeweilige Fakultätssekretariat anfordern.
  • Nach Anfertigung der Kopie teilt das jeweilige Fakultätssekretariat der/dem Studierenden Ort und Termin der Abholung der Kopien mit.

Bereits in meiner Bitte um Stellungnahme gab ich der Hochschule unter anderem folgende Hinweise:

  • Art. 15 Abs. 1 DSGVO vermittelt den Betroffenen einen Auskunftsanspruch im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten. Art. 15 Abs. 3 Satz 1 DSGVO ergänzt diesen Anspruch. Danach stellt der Verantwortliche eine Kopie der personenbezogenen Daten zur Verfügung, die Gegenstand der Verarbeitung sind.
  • Die in einer Prüfungsleistung eines Studierenden enthaltenen Ausführungen sowie die diesbezüglichen Anmerkungen des Prüfers oder der Prüferin sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Diese personenbezogenen Daten werden von der Hochschule grundsätzlich auch im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet, solange die jeweiligen Prüfungsleistungen von Studierenden aufbewahrt werden.
  • Wenn eine betroffene Person eine Kopie ihrer personenbezogenen Daten unter ausdrücklicher Berufung auf Art. 15 Abs. 3 DSGVO beantragt, handelt es sich nicht um ein allgemeines Einsichtsbegehren in Prüfungsunterlagen gestützt auf ein Recht auf Akteneinsicht (nach Art. 29 Bayerisches Verwaltungsverfahrensgesetz oder der Prüfungsordnung). Das Auskunftsrecht nach Art. 15 Abs. 3 DSGVO ist davon rechtlich zu trennen.
  • Soweit die Hochschule offenbar die Regelungen der Prüfungsordnung auf Auskunftsverlangen nach Art. 15 Abs. 3 DSGVO anwenden will, ist zunächst festzustellen, dass der Anspruch aus Art. 15 Abs. 3 DSGVO dadurch eingeschränkt würde, beispielsweise weil danach die Erstellung einer Kopie grundsätzlich nur in einem persönlichen Einsichtnahmetermin beantragt werden könnte.
  • Ich kann allerdings schon nicht erkennen, inwieweit die Prüfungsordnung überhaupt einen einschränkenden Regelungscharakter zu Art. 15 DSGVO haben soll. Denn sie lässt weder im Wortlaut noch in sonstiger Weise einen Regelungsbezug zu einem Auskunftsrecht erkennen, insbesondere nicht zum Auskunftsanspruch nach Art. 15 DSGVO.

Daraufhin teilte mir die Hochschule mit, sie würde dem Studenten nunmehr doch eine Kopie nach Maßgabe von Art. 15 Abs. 3 DSGVO zur Verfügung stellen. Zugleich ließ mich die Hochschule wissen, sie sehe eine einschränkende Regelung des Auskunftsrechts nach Art. 15 DSGVO auf Satzungsebene als zwingend erforderlich an. Die Prüfungsordnung werde daher in diesem Sinne mit ausdrücklichem und einschränkendem Bezug zu Art. 15 DSGVO überarbeitet.

Dies veranlasste mich, der Hochschule Folgendes mitzuteilen:

Die von der Hochschule angedachte Einschränkung des Art. 15 (Abs. 3) DSGVO durch eine Regelung in der Prüfungsordnung ist derzeit rechtlich schon dem Grunde nach nicht gangbar.

Zwar lässt Art. 23 DSGVO unter den dort genannten Voraussetzungen Beschränkungen des Auskunftsrechts aus Art. 15 DSGVO durch Rechtsvorschriften der Mitgliedstaaten zu. Einschränkende Rechtsvorschriften der Mitgliedstaaten können grundsätzlich auch in untergesetzlichen Normen bestehen. Jedoch können Einschränkungen in untergesetzlichen Normen nur in dem Rahmen erfolgen, den das mitgliedstaatliche Recht vorgibt. Hochschulrechtliches Satzungsrecht muss sich im Rahmen der landesgesetzlichen (Ermächtigungs-) Normen halten.

Die Ermächtigung zum Erlass von Prüfungsordnungen durch die Hochschulen findet sich in Art. 84 Abs. 2 und Abs. 3 Bayerisches Hochschulinnovationsgesetz (BayHIG). Nach Art. 84 Abs. 3 Satz 1 Nr. 7 BayHIG regelt die Prüfungsordnung die wesentlichen Fragen im Hinblick auf Prüfungsanforderungen und Prüfungsverfahren, insbesondere die Bekanntmachung der Prüfung und die Benachrichtigung der Prüfungsteilnehmerinnen und Prüfungsteilnehmer. Die Ermächtigung zum Erlass von Prüfungsordnungen hat keinerlei Regelungsbezug zum Auskunftsrecht nach Art. 15 DSGVO.

Vielmehr hat der bayerische Gesetzgeber bereits in Art. 10 Abs. 2 BayDSG ausdrücklich Beschränkungen des Auskunftsrechts aus Art. 15 DSGVO geregelt. Auch dies legt nahe, dass der Gesetzgeber im Bayerisches Hochschulinnovationsgesetz nicht zu einer Beschränkung von Art. 15 DSGVO ermächtigen wollte. Art. 84 BayHIG lässt eine solche Beschränkung also nicht zu.

Die Hochschule verzichtete in der Folge auf eine Art. 15 Abs. 3 DSGVO einschränkende Regelung in der Prüfungsordnung.

In meinem Schreiben hatte ich die Hochschule zudem darauf hingewiesen, dass inzwischen auch die Entscheidungsgründe des Urteils des Bundesverwaltungsgerichts vom 30. November 2022 (6 C 10.21) zu Auskunftsansprüchen nach Art. 15 DSGVO veröffentlicht worden sind: Danach stellen die in einer berufsbezogenen Prüfung unter einer Kennziffer angefertigten schriftlichen Prüfungsleistungen und die zugehörigen Prüfergutachten jeweils ihrem gesamten Inhalt nach personenbezogene Daten des Prüflings dar. Der Prüfling kann nach Art. 15 DSGVO die Überlassung einer unentgeltlichen Kopie dieser Unterlagen verlangen.

Die Entscheidung entspricht meiner bereits zuvor vertretenen Auffassung.

8.5. Datenschutzverstoß im Datenschutzkurs

Natürlich begrüße ich es, wenn Hochschulen Kurse zur Aus- und Fortbildung im Bereich des Datenschutzes anbieten. Ein wenig peinlich wirkt es allerdings, wenn es gerade bei der Durchführung eines solchen Kurses zu einem Verstoß gegen datenschutzrechtliche Vorschriften kommt. Ein solcher Vorfall wurde mir durch eine Meldung der Hochschule selbst sowie eine Eingabe der betroffenen Person bekannt.

Bei der Anmeldung zum Datenschutzkurs hatte die teilnehmende Person persönliche Angaben gemacht. Sie hatte auch ein (Einwilligungs-)Formular zur Datenverarbeitung erhalten, verbunden mit der Frage, ob sie ihre Daten auch anderen Teilnehmern zur Verfügung stellen wolle. Im Formular hatte sie bewusst keine Angaben zu ihrem aktuellen Arbeitgeber eingetragen, sondern diesen Bereich händisch durchgestrichen. Zudem hatte sie in einer begleitenden E-Mail zusätzlich und ausdrücklich darauf hingewiesen, dass sie als Privatperson teilnehme und keine Information zu ihrem Arbeitgeber bekannt geben wolle.

Im Rahmen des Kurses hat ein Dozent gleichwohl vor allen Teilnehmenden den Arbeitgeber der betroffenen Person erwähnt. Die Information stammte aus einer Liste, die der Dozent vorab zu allen Teilnehmenden erstellt hatte. Dafür hatte er die Lebensläufe ausgewertet, welche die Kursteilnehmer zur Prüfung der Zulassungsvoraussetzungen eingereicht hatten. Eine Rechtsgrundlage insbesondere für die Weitergabe der Informationen an die anderen Teilnehmenden bestand nicht.

In der Korrespondenz mit mir machte die Hochschule schließlich geltend, dass es sich bei dem Verstoß um einen Einzelfehler gehandelt habe. Bereits in den Dozentenverträgen seien entsprechende Datenschutzbelehrungen enthalten gewesen. Nunmehr werde die Hochschule zusätzlich vor jedem Kursdurchlauf alle Lehrkräfte ausdrücklich schriftlich darauf hinweisen, dass eine Teilnehmerliste nicht im Kurs verlesen werden dürfe. Außerdem würden nun vor jedem Kursdurchlauf die Teilnehmenden ausdrücklich schriftlich um Rückmeldung (Einwilligung) gebeten, ob und welche personenbezogenen Daten der Teilnehmenden an die Dozierenden zum Zweck der Lehrvorbereitung (konkretes Eingehen etwa auf Unternehmensbereich, Position) weitergegeben werden dürfen.

Auf diese Weise dürfte sichergestellt sein, dass auch der Datenschutzkurs zukünftig datenschutzkonform durchgeführt wird.

  1. Gesetz zur Änderung des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen und des Gesetzes zur Ausführung der Sozialgesetze vom 24. Juli 2023 (GVBl. S. 443). [Zurück]
  2. Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus über Erstattungen an Gemeinden und Gemeindeverbände für die Beschulung von Asylbewerberkindern (Art. 10 Abs. 5 Satz 1 Nr. 6 BaySchFG) vom 27. Juni 2003 (KWMBl. I S. 261), zuletzt geändert durch Bekanntmachung vom 16. März 2018 (KWMBl. S. 146). [Zurück]
  3. Vom 24. Juli 2023 (GVBl. S. 445). [Zurück]
  4. Näher Europäischer Gerichtshof, Urteil vom 20. Dezember 2017, C-434/16, Rn. 40, 42, 44, 46, 62. [Zurück]