In einer nordrhein-westfälischen Kommune hat der Datenschutzbeauftragte des Schulträgers die Kommunikation zwischen Lehrern und Schülern mittels WhatsApp an allen städtischen Schulen untersagt. Dass schulische Kommunikation mittels WhatsApp ein Datenschutzthema ist, ist keine Frage. Inwieweit jedoch der Datenschutzbeauftragte des Schulträgers den Schulen gegenüber weisungsberechtigt ist, steht auf einem anderen Blatt. Im Alltag hört man immer wieder, dass es solche Verbote oder Weisungen von dieser Seite gibt. Wie ist damit umzugehen? Ist das rechtens?
In Nordrhein-Westfalen gibt das Schulgesetz in §3 Absatz 1 Satz 2 vor, dass die Schule ihre inneren Angelegenheiten selbst verwaltet1“Sie verwaltet und organisiert ihre inneren Angelegenheiten selbstständig.” es gibt zwar einen Passus im Schulgesetz, welcher Schulen dazu verpflichtet, den Anordnungen des Schulträgers zu folgen,2“Die Anordnungen des Schulträgers in seinem Aufgabenbereich sind für die Schulleiterin oder den Schulleiter verbindlich.” §59 Abs. 11 Satz 2 doch gilt dieses nur, soweit es den Aufgabenbereich des Schulträgers betrifft. Und zu diesen gehören nicht die inneren Angelegenheiten der Schule. Soweit es den Bereich digitale Medien betrifft, ist der Schulträger nach §79 SchulG NRW verpflichtet, für eine angemessene Sachausstattung zu sorgen.3“Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.” Aus schulrechtlicher Sicht liegt in der Schule die datenschutzrechtliche Verantwortung bei der Schulleitung. Die ADO führt hierzu in §26 Abs. 5 Satz 2 aus:
“Sie oder er ist für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich (§ 1 Absatz 3 VO-DV I – BASS 10-44 Nr. 2.1, § 1 Absatz 5 VO-DV II – BASS 10-41 Nr. 6.1).”
Das ist sehr eindeutig. Wenn es um Vorgaben oder Verbote bezüglich des Datenschutzes geht, dann können diese nur von Seiten des Schulministeriums kommen oder einer untergeordneten Behörde mit entsprechenden rechtlichen Weisungsbefugnissen, nicht jedoch vom Datenschutzbeauftragten des Schulträgers.
Wie sieht es mit den behördlich bestellten schulischen Datenschutzbeauftragten aus?
Im Grunde genommen sieht es nicht anders aus. Auch die vom Schulträger bestellten Datenschutzbeauftragten für die Schulen der Kommune haben keine Weisungsbefugnis gegenüber den Schulen in ihrem Zuständigkeitsbereich. In der VO-DV I §1 Abs. 3 Satz 2 heißt es:
“Die Zuständigkeit der gemäß § 1 Abs. 6 VO-DV II bestellten behördlichen Datenschutzbeauftragten (§ 32 a DSG NRW) besteht auch für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften in Bezug auf die Daten der Schülerinnen, Schüler und Eltern.”
In der Art. 39 DS-GVO sind die Aufgaben eines Datenschutzbeauftragten klar definiert. Dazu gehören unter anderem Unterrichtung und Beratung, Überwachung der Einhaltung der DS-GVO, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen, Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung und Zusammenarbeit mit der Aufsichtsbehörde. Auch Art. 38 DS-GVO, bei dem es um die Stellung des Datenschutzbeauftragten geht, ist keine Rede davon, dass dieser eine Weisungsbefugnis hat.
Fazit
Datenverarbeitung in der Schule, und dazu gehört auch welche digitalen Medien Schüler und Lehrer zur Kommunikation nutzen, liegt zuallererst in der Verantwortung der Schulleitung. Das jeweilige Schulministerium und die Schulaufsichten können im Rahmen der ihnen zur Verfügung stehenden Rechtsmittel (Erlasse, Verordnungen, Dienstanweisungen, …) Schulen datenschutzrechtliche Vorgaben machen, für deren Einhaltung dann die Schulleitung verantwortlich ist. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Einhaltung datenschutzrechtlicher Vorgaben überprüfen, sind jedoch ohne jegliche Weisungsbefugnis gegenüber den Schulen. Datenschutzbeauftragte des Schulträgers, welche für die kommunale Verwaltung zuständig sind, haben in Bezug auf die Schulen keinerlei Zuständigkeit. Entsprechend sind auch Schulträger selbst oder deren kommunale IT-Dienstleister nicht berechtigt, Schulen irgendwelche datenschutzrechtlichen Vorschriften zu machen.
Schulleitungen und Schulträger sind gehalten, einvernehmlich zusammenzuarbeiten. Dazu gehört jedoch keine datenschutzrechtliche Bevormundung durch Personen oder Stellen auf Seiten des Schulträgers, die dazu keinerlei rechtliche Befugnis haben. Es kann auch nicht sein, dass hier eine Seite durch die Hoheit über die Zuweisung finanzieller Mittel versucht, eine Machtbefugnis zu erlangen, die ihr nicht zusteht.