Datenschutz & Mitbestimmung

Lesezeit: 4 Minuten

Auch wenn man es auf den ersten Blick nicht erwartet, Datenschutz und Mitbestimmung haben Schnittpunkte. Das Thema Mitbestimmung ist geregelt im Personalvertretungsgesetz für das Land Nordrhein-Westfalen (LPVG), welches vergleichbar ist dem Betriebsverfassungsgesetz (BetrVG) für Arbeitnehmer in Unternehmen1Da beide Regelungen viele Ähnlichkeiten aufweisen, kann man sich bezüglich des LPVG auch an entsprechenden Kommentierungen zum BetrVG orientieren. . Von Bedeutung für Schulen und das Thema digitale Plattformen ist dort der §72, denn dort sind mitbestimmungspflichtige Angelegenheiten geregelt.

(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie– und Organisationsangelegenheiten bei

1. Einführung, Anwendung, wesentlicher Änderung oder wesentlicher Erweiterung von automatisierter Verarbeitung personenbezogener Daten der Beschäftigten außerhalb von Besoldungs-, Gehalts-, Lohn-, Versorgungs- und Beihilfeleistungen sowie Jubiläumszuwendungen,

2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

3. Einführung grundlegend neuer, wesentlicher Änderung und wesentlicher Ausweitung von Arbeitsmethoden,

4. Maßnahmen, die die Hebung der Arbeitsleistung oder Erleichterungen des Arbeitsablaufs zur Folge haben sowie Maßnahmen der Änderung der Arbeitsorganisation,

5. Einführung, wesentlicher Änderung oder wesentlicher Ausweitung betrieblicher Informations- und Kommunikationsnetze,

“(4) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen über

1. Beginn und Ende der täglichen Arbeitszeit und der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage, Einführung, Ausgestaltung und Aufhebung der gleitenden Arbeitszeit,”

In Bezug auf Datenschutz ist vor allem Nr. 2 von Interesse. Auch wenn im Gesetzestext hier das Wort Datenschutz selbst nicht einmal vorkommt, so geht es doch genau um diesen, da Überwachung datenschutzrechtliche Implikationen hat. Werden an einer Schule also technische Einrichtungen eingeführt oder erweitert, bei welchen eine Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten nicht ausgeschlossen ist, so ist diese Angelegenheit mitbestimmungspflichtig.2“Maßgeblich für die Eignung zur Überwachung ist, ob durch die technische Einrichtung anonym, d.h. ohne dass die Beschäftigten sich dem entziehen können, Daten erzeugt, erhoben oder ausgewertet werden können, die einen unmittelbaren Rückschluss auf ihr Verhalten oder ihre Leistung zulassen. Der seit dem 16.07.2011 geltende – also aktuelle – Gesetzeswortlaut des § 72 Abs. 3 Nr. 2 LPVG ist insofern eindeutig: Das Mitbestimmungsrecht wird bereits dadurch ausgelöst, dass die einzuführende technische Einrichtung zur Überwachung oder Leistungskontrolle in technischer Hinsicht geeignet ist.”, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie.pdf von Open.NRW unter CC BY 4.0  Technische Einrichtungen meint auch digitale Plattformen, egal ob lokal betrieben oder in einer Cloud.3Einführung und Anwendung technischer Einrichtungen, § 87 Abs. 1 Nr. 6 BetrVG

Eine Vielzahl EDV-gestützter Anwendungen ist dazu geeignet, Mitarbeiterverhalten am Arbeitsplatz zu beobachten. Der weite Anwendungsbereich dieses Mitbestimmungsrechts führt zu einem Beteiligungsrecht des Betriebsrats bei einer Vielzahl von IT-Sicherheitsfragen.” heißt es in einer Kommentierung zur durch Paul Voigt in IT-Sicherheitsrecht: Wann ist der Betriebsrat einzubeziehen?
 Nicht ausgeschlossen heißt, es ist ausreichend, dass die Möglichkeit besteht, selbst wenn eine Überwachung nicht geplant ist.4Ob eine Nutzung der Überwachungs- und Kontrollfunktionen auch beabsichtigt ist oder tatsächlich stattfindet, spielt keine Rolle. Im Ergebnis muss deshalb in aller Regel von einer Überwachungsmöglichkeit und damit der Einschlägigkeit des § 72 Abs. 3 Nr. 2, PVG NRW ausgegangen werden. Anders ist dies nur dann, wenn diese Möglichkeit definitiv -der Nachweis wäre aber in diesem Falle von der Dienststelle zu führen – ausgeschlossen ist”, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie on Open.NRW unter CC BY 4.0  Die Einführung einer Plattform, welche von der Schulleitung dazu genutzt werden könnte, Rückschlüsse auf das Nutzerverhalten und die Leistungen von Lehrkräften zu ziehen, hat damit immer auch datenschutzrechtliche Implikationen. Es geht dabei um das Risiko, welches durch eine Zweckentfremdung von personenbezogenen Daten, hier Daten, die einen Aufschluss über das Nutzerverhalten geben, zu einem Schaden für die Betroffenen führen könnte.

Genau dieses Risiko greift die Orientierungshilfe Online-Lernplattformen der Datenschutzkonferenz auf, die sich mit den datenschutzrechtlichen Aspekten der Einführung und Nutzung solcher Plattformen beschäftigt. Die Orientierungshilfe geht davon aus, dass die Verarbeitung von personenbezogenen Daten in einer solchen Online-Lernplattform in aller Regel

“ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen (Schüler, Lehrer, Eltern) zur Folge“ haben wird.”

Sobald dieses der Fall ist, hat der “Verantwortliche vorab eine Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung durchzuführen“. Zu einer solchen gehört, wie im Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO ausgeführt, die “Identifikation und Einbindung von Akteuren und betroffenen Personen.“

“Ggf. holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein (Art. 35 Abs. 9 DS-GVO). Dies umfasst beispielsweise die Einbindung von Gremien der Mitbestimmung, z. B. von Betriebsräten.”

Der Wortlaut der Empfehlung im Kurzpapier entspricht fast der Formulierung in Art. 35 Abs. 9 DS-GVO.

“Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.”

Unklar bleibt in dieser Formulierung mit gegebenenfalls, unter welchen Umständen der Standpunkt der Betroffenen oder ihrer Vertreter einzuholen ist. Jandt geht in Kühling, Buchner Art. 35 DS-GVO Rn. 57 davon aus, dass sich aus der Forderung nach Einholung des Standpunktes eine Informationspflicht der Betroffenen oder ihrer Vertreter logisch ergeben müsste. Wer mit Vertreter gemeint ist, wird nicht explizit genannt. Man kann aber davon ausgehen, dass hier Vertreter nach den Regeln der betrieblichen bzw. behördlichen Mitbestimmung gemeint sind “oder anderer Personengruppen wie Eltern- oder Schülervertreter”5Karg in Simitis, Hornung, Spieker, Art. 35 Rn 69 .

Was bedeutet das für die Praxis?

Wenn an einer Schule eine Plattform eingeführt oder eine bestehende in ihrer Funktion deutlich ausgeweitet werden soll und diese Plattform soll durch alle Lehrkräfte genutzt werden, dann ist die Mitbestimmung mit großer Wahrscheinlichkeit mit einzubeziehen. Der Grund dafür muss nicht einmal ein datenschutzrechtlicher Belang sein. Geht es beispielsweise darum, ab welcher Uhrzeit E-Mails an Arbeitstagen abgerufen oder der digitale Vertretungsplan eingesehen werden muss, so fällt dieses unter die Regelungen von §72 LPVG, da es zumindest die Arbeitszeiten betrifft. Eröffnet eine Plattform die Möglichkeit, das Verhalten der Nutzer in der Plattform zu überwachen, etwa durch Protokolldateien, die Logins und Logouts oder wann in der Plattform der Unterricht gestartet und beendet wurde zeigen, dann ist dieses auf jeden Fall mitbestimmungspflichtig. Die Mitbestimmungspflicht ist hier auch ein Datenschutzthema, da personenbezogene Daten von Lehrkräften anders genutzt werden (können) als es dem Verarbeitungszweck der Plattform entspricht, etwa Durchführung von Unterricht oder Führen eines digitalen Klassenbuches. Ob und welche Risiken eine Verarbeitung von personenbezogenen Daten etwa durch eine Online-Lernplattform oder ein digitales Klassenbuch für die betroffenen Lehrkräfte bedeuten kann und durch welche Maßnahmen diese Risiken reduziert werden können, ist Gegenstand der Datenschutz-Folgenabschätzung. Anders als durch §72 Abs. 3 LPVG ergibt sich aus Art. 35 Abs. 9 DS-GVO jedoch keine Verpflichtung, die Mitbestimmung im Rahmen der Datenschutz-Folgenabschätzung einzuholen.

Die Einbeziehung der Mitbestimmung sollte es ermöglichen, im Endergebnis zu einer für alle Betroffenen verträglichen Lösung zu kommen. Diese kann dann beispielsweise in einer Dienstvereinbarung festgehalten werden, in welcher Regeln bezüglich der Nutzung der Plattform und Maßnahmen zum Schutz der personenbezogenen Daten der Betroffenen, auch vor unrechtmäßiger Überwachung durch die Schulleitung, vereinbart sind. Welche Gremien der Mitbestimmung beteiligt werden, hängt vom jeweiligen Fall ab. Je umfangreicher der Regelungsbedarf, desto wahrscheinlicher ist es, dass man sich nicht nur auf die schulinternen Vertretungsgremien beschränken, sondern auch den örtlichen Personalrat mit einbeziehen sollte. Dort findet man in der Regel eine entsprechende Kompetenz, die Tragweite von möglichen Risiken zu beurteilen, die mit der Einführung einer Plattform für die Betroffenen einhergehen können.

Ist man zu einer verträglichen Regelung gekommen, haben Lehrkräfte jedoch weiterhin die Möglichkeit, ihre Einwilligung in die erforderliche Verarbeitung von personenbezogenen Daten zu verweigern, solange die Nutzung der Plattform nicht durch ein Gesetz oder eine andere rechtliche Grundlage verbindlich vorgeschrieben ist.6Beispiel Logineo NRW: Dort heißt es in der Dienstvereibarung:

Für die Bereitstellung von LOGINEO NRW für Teile oder das gesamte in der Schule tätige Personal ist ein Beschluss der Lehrerkonferenz erforderlich.
Für die Bereitstellung von LOGINEO NRW für Schülerinnen und Schüler sowie für Eltern, die Mitglieder von Mitwirkungsorganen sind, ist ein Beschluss der Schulkonferenz erforderlich.
Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.”

Diese Beschreibung der Mitbestimmung aus Sicht des Datenschutz hatte vor allem die Lehrkräfte an den Schulen im Blick. Mitbestimmung gibt es natürlich auch für alle anderen Betroffenen in Schule. Schüler und Eltern sind, je nach Fall, über ihre Gremien, die SV und die Elternpflegschaft, ebenfalls zu beteiligen.

Stand 05/2019

Müssen Schulen einen Datenschutzbeauftragten an die Aufsichtsbehörden melden?

Lesezeit: 2 Minuten

Pflicht zur Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden

Nach Art 37 Abs 7 der DS-GVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten 1Siehe dazu auch den Beitrag Muss der Datenschutzbeauftragte auf die Schulhomepage? 2Siehe auch Datenschutzbeauftragte FAQ Grundlagen und Benennung – der LDI NRW < und

“teilt diese Daten der Aufsichtsbehörde mit.”

Diese Vorgabe gilt auch für öffentliche Stellen wie Schulen. Für die Aufsichtsbehörde ist diese Meldung von Bedeutung, da der Datenschutzbeauftragte nur so in der Lage ist seiner Tätigkeit als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen zu können (vgl. Artikel 39 Absatz 1 Buchstabe e) DS-GVO).

Praktische Umsetzung bei Schulen – offene Fragen

Bisher ist leider nicht klar, ob jede einzelne Schule diese Meldung separat für sich machen muss. Schulen in NRW brauchen keine eigenen Datenschutzbeauftragten, denn es gibt die behördlich bestellten schulischen Datenschutzbeauftragten. In jedem Kreis bzw. jeder kreisfreien Stadt wurde dafür eine zuständige Person benannt. Teilweise sind es auch zwei Personen, die sich diese Zuständigkeit teilen. Alle diese Personen sind dem MSB bekannt (siehe Übersicht Behördliche Datenschutzbeauftragte) wie auch den fünf Bezirksregierungen.

In NRW gibt es 5.436 öffentliche Schulen3siehe Schulen, Klassen, Schülerinnen, Schüler und Lehrkräfte an
allgemeinbildenden und beruflichen Schulen 2019 nach Schulformen – IT.NRW
. Würde jede einzelne eine Meldung machen, wären es entsprechend viele Meldungen. Da jeder behördliche Datenschutzbeauftragte für mehrere Schulen zuständig ist, würde jede dieser Personen x-fach gemeldet.

Von daher macht es eher Sinn, wenn das MSB jetzt am Start einmal die Aufsichtsbehörde, die LDI NRW, informiert. Das wäre eine Meldung. Spätere Änderungen werden dann entweder die Kreise bzw. kreisfreien Städte oder die Bezirksregierungen mitteilen. Dass jede Schule dieses für sich übernimmt, führt zu einer unnötigen Flut an Meldungen und Arbeit. Übernehmen die Kreise und kreisfreien Städte diese Aufgabe, geht es um 52 behördliche Datenschutzbeauftragte plus eventuell deren Vertreter.

Mitteilungen an die LDI NRW werden ab dem 25. Mai 2018 möglich sein. Nach einer Information der LDI NRW soll es dazu dann eine Möglichkeit zur Online-Meldung über die Homepage der Aufsichtsbehörde geben.

Wird der Datenschutzbeauftragte nicht gemeldet, so stellt dieses bereits einen Verstoß gegen die Vorgaben der Datenschutzgesetzgebung dar.

Abwarten empfohlen

Es soll für den Start eine Übergangsfrist geben. Dieses ist auf der Homepage der LDI NRW bekanntgegeben.

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

Das MSB hat sich bisher nicht zu der Frage geäußert, wie die Meldung praktisch umgesetzt werden soll, ob es eine erste Meldung durch das MSB gibt oder die Bezirksregierungen. Da bis zum 31.12.2018 eine Übergangsfrist besteht, empfehle ich Schulen in NRW (bis zur Klärung dieser Frage) zunächst einige Wochen abzuwarten. Es wird hier sicher noch eine Mitteilung von Seiten des Ministeriums oder der Bezirksregierungen geben. Natürlich steht es jeder Schule frei, ihren Datenschutzbeauftragten direkt nach dem 25.05.2018 zu melden. Es ist kein Schaden.