Im norwegischen Bergen wurde jetzt ein Schulträger wegen eines massiven Verstoßes gegen die DS-GVO zu einer Geldstrafe in Höhe von umgerechnet 170.000 € verurteilt. In dem Fall geht es um die Zugangsdaten von 35.000 Schülern und Angestellten an den Schulen der Stadt, welche durch unzureichende Sicherheitsmaßnahmen offen zugänglich waren. Mittels dieser Zugangsdaten war es für jedermann möglich, sich in das Computersystem der Schule einzuloggen und Zugriff auf personenbezogenen Daten zu erhalten, darunter auch Noten und Bewertungen durch Lehrkräfte in einer Lernplattform. Die norwegische Aufsichtsbehörde war zu dem Schluss gekommen, dass der Schulträger gegen Art. 5 Abs. 1 lit. f (Grundsätze für die Verarbeitung personenbezogener Daten1“Personenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);”) und Art. 32 (Sicherheit der Verarbeitung) der DS-GVO verstoßen hat.
Erschwerend kam in diesem Fall hinzu, dass es sich bei den betroffenen Personen vor allem um Kinder handelt. Diese genießen in der DS-GVO einen besonderen Schutzstatus. Außerdem war der Schulträger mehrfach auf die unzureichenden Sicherheitsmaßnahmen hingewiesen worden, auch von der Aufsichtsbehörde. In Orientierung an Art. 83 DS-GVO wurde dann eine Strafe verhängt, die nach Ansicht der Aufsichtsbehörde der Sachlage angemessen, abschreckend und wirksam ist.
Könnte es einen solchen Fall in Deutschland geben?
Möglich wäre ein vergleichbarer Verstoß gegen die DS-GVO in Deutschland durchaus, wenngleich es auch definitiv Unterschiede gäbe. Dass personenbezogene Daten von Schülern und Lehrkräften in dem Maße wie im norwegischen Bergen beim Schulträger verarbeitet werden, ist in Deutschland nur im Rahmen einer Auftragsverarbeitung vorstellbar. Das heißt, die Schule als Verantwortlicher wäre hier in einem solchen Fall rechtlich mit in der Verantwortung. Eine Schule wird sich natürlich auf den Schulträger verlassen und im Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO wird auch festgelegt, dass der Auftragnehmer entsprechend Abs. 3 lit. c “alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;“. Ein Vertrag ist die eine Sache. Rechtlich gesehen muss der Verantwortliche auch sicher sein, dass der Auftragnehmer die Bedingungen erfüllt. Wie sich dieses bei der Verhängung eines Bußgeldes bei einem ähnlichen Fall in Deutschland auswirken würde, bliebe abzuwarten, da es vergleichbare Fälle bisher vermutlich nicht gibt.
Der zweite Unterschied zum norwegischen Fall ist die Verhängung des Bußgeldes2Siehe auch Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen. In Deutschland würde das Bußgeld gegen Personen verhängt und nicht gegen den Schulträger. Da letzteres nur ein Umschichten von Steuergeldern bewirken würde, werden gegen öffentliche Stellen in Deutschland keine Bußgelder verhängt. Wen genau es in Deutschland treffen würde, lässt sich schwer sagen. Wäre es der Bürgermeister oder ein IT Verantwortlicher?
Fazit für Schulen in Deutschland
Wenn man als Schule aus dem Fall eines lernen kann, dann dass die Sicherheit bei der Verarbeitung von personenbezogenen Daten durch entsprechende Maßnahmen höchste Priorität haben sollte. Wer hier nachlässig handelt, setzt eventuell die Rechte und Freiheit von Schülern und Lehrkräften einem unnötigen Risiko aus und riskiert dafür eine Geldbuße und weitergehende rechtliche Konsequenzen.
Quelle: Administrative fine of 170.000 € imposed on Bergen Municipality, Datatilsynet, 12.04.2019