Auskunftsersuchen Art. 15 – Musterschreiben

Lesezeit: 1 Minute

Geht ein Auskunftsersuchen nach Art. 15 DS-GVO an der Schule ein, ist eine Antwort zwingend erforderlich, auch wenn es eine Negativbescheid ist. Die folgenden Vorlagen sind zu Ihrer Unterstützung bei der Beantwortung von Auskunftsersuchen gedacht.

Negativbescheid

Wenn an der Schule keine Daten zur anfragenden Person vorliegen. Das Schreiben ist so formuliert, dass es für verschiede Fälle „pauschal“ begründet, warum keine Daten vorliegen, um Nachfragen zu vermeiden.

Prüfung der Identität

Es liegen an der Schule Daten zur anfragenden Person vor, doch die Identität ist noch zu prüfen. Damit wird auch der Eingang der Auskunftsanfrage bestätigt. Die Möglichkeiten zu Identitätsprüfung im Dokument sind Vorschläge. Sie sollten je nach Auskunftsersuchen gegebenenfalls angepasst werden. Dieses Dokument geht davon aus, dass die Schulzeit schon länger zurück liegt, vielleicht sogar mehr als 20 Jahre, so dass keine Schülerstammdaten mehr vorliegen.1Je nach Situation kann die Prüfung der Identität sehr einfach, vielleicht auch formlos erfolgen. Siehe dazu auch Auskunft nur an Betroffene – Identitätsprüfung

Erteilung von Auskunft

Sobald die Identität durch eine Prüfung sichergestellt ist, kann Auskunft erteilt werden, dass personenbezogene Daten zur anfragenden Person verarbeitet  und es können Informationen gegeben werden entsprechend Art. 15 Abs. 1 lit. a – h DS-GVO2und, falls zu treffend auch Abs. 2. Da es zwischen den Schulformen deutliche Unterschiede bei den verarbeiteten Daten gibt, reicht eine einzelne Vorlage für ein Antwortschreiben nicht aus. Wichtig! Die Auskunft muss immer auf den Anfragenden angepasst werden. Wenn ein ehemaliger Schüler die Schule vor mehr als 20 Jahren verlassen hat, kann man in der Auskunft nicht angeben, es liegen Grunddaten zum Schüler selbst und den Erziehungsberechtigten vor oder Akten über Schülerprüfungen. Die Auskunft muss zur anfragenden Person und zu den vorliegenden Daten passen! Deswegen müssen die Vorlagen angepasst werden. Im Anhang an den Vorlagen finden sich Hinweise dazu.

Schüler und Erziehungsberechtigte
Lehrkräfte

 

… gerade in Arbeit …

Auskunft nur an Betroffene – Identitätsprüfung

Lesezeit: 4 Minuten

Auskunftsersuchen nach Artikel 15 DS-GVO sind auch ein Thema für Schulen. Einige Schulen haben bereits erste Erfahrungen gemacht und mussten Auskunftsersuchen bearbeiten. Ein dabei nicht zu unterschätzender Punkt ist die Prüfung der Identität der anfragenden Person, denn Auskunft darf nur der betroffenen Person gegeben werden, bzw. im Fall von minderjährigen Schülern auch den Erziehungsberechtigten.

Wie ein amerikanischer Doktorand eindrücklich zeigen konnte3siehe Datenschutzauskunft als Sicherheitsrisiko, Golem 08/2019 und Wenn private Daten an den Falschen gehen, FAZ, 08/2019, birgt das Auskunftsrecht auch ein großes Missbrauchspotential in sich und kann so unter Umständen sogar zum Identitätsdiebstahl genutzt werden, wenn die auskunftgebenden Stellen nicht die erforderliche Sorgfalt bei Prüfung der Identität der anfragenden Person walten lassen. In Schulen hängt viel der jeweiligen Situation ab, ob und wie die Prüfung der Identität durchgeführt werden muss. Wichtig ist grundsätzlich:

Liegen an der Schule Daten zur angefragten Person vor, sollte darüber keine Auskunft gegeben werden, solange die Identität der anfragenden Person nicht zweifelsfrei geklärt ist.

Warum? Bereits die Information, dass zu einer Person personenbezogene Daten an der Schule vorliegen bzw. dort verarbeitet werden, ist ein personenbezogenes Datum, dessen Bekanntwerden für die betroffene Person Risiken bergen kann. Ein Beispiel: An Schulen gibt es immer wieder Kinder, deren Datensatz mit einer Auskunftssperre versehen ist, in der Regel weil die Eltern in Trennung leben und dem anderen Elternteil der Aufenthaltsort zum Schutz des Kindes und der Mutter nicht bekannt werden darf. Legt sich der Vater nun eine entsprechende E-Mail Adresse mit dem Namen der Mutter an und schreibt alle in Frage kommenden Schulen in einer Region an mit einem Auskunftsersuchen, so könnte er darüber bereits in Erfahrung bringen, welche Schule sein Kind besucht. Auf die möglichen Folgen davon braucht nicht weiter eingegangen werden. Würde die Schule dann noch der vermeintlich anfragenden Mutter sämtliche gespeicherten personenbezogenen Daten übermitteln, würden dem Vater dadurch auch noch Wohnort, Arbeitgeber und mehr bekannt.

Als datenverarbeitende Stelle ist die Schule nicht nur in der Pflicht, Auskunft zu erteilen, sondern auch sicherzustellen, dass nur berechtigte Personen Auskunft erhalten. Entsprechend heißt es auch im offiziellen Kurzpapier der Datenschutzkonferenz:

„Es muss sichergestellt werden, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten. Hat der Verantwortliche begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so kann er nach Art. 12 Abs. 6 DS-GVO zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Postadresse bei elektronischem Auskunftsantrag).“

Wie kann die Identität der Anfragenden sichergestellt werden?

Fall 1: Anfrage per E-Mail bezüglich eines Schülers, der aktuell die Schule besucht

Da die Schule von allen aktuellen Schülern über umfangreiche Kontaktinformationen verfügt, kann man diese zur Identitätsprüfung nutzen. E-Mail Absender sind allerdings sehr leicht zu fälschen (Spoofing). Man könnte hier einfach die Eltern telefonisch kontaktieren und nachfragen.

Nutzt die Schule eine Plattform zur Kommunikation, könnte man darum bitten, die Anfrage über das Nutzerkonto des Betroffenen zu stellen.

Fall 2: Anfrage per E-Mail bezüglich eines ehemaligen Schülers

Da innerhalb der ersten 20 Jahre nach Ende der Schulzeit noch das Schülerstammblatt in der Schule vorhanden ist, könnte man per E-Mail auf die Anfrage antworten und dort beispielsweise die letzte in der Schulzeit bekannte Adresse des Wohnortes und Arbeitsstelle eines Elternteiles abfragen oder Geburtsdatum und Geburtsort.

Hat der ehemalige Schüler die Schule bereits vor mehr als 20 Jahre verlassen, liegen der Schule nur noch Zweitschriften von Abgangs- und Abschlusszeugnissen vor und eventuell Einträge in einer Schulchronik. Liegen nur noch Zweitschriften von Zeugnissen vor, hat die Schule nur wenige Daten, gegen die sie eine Identitätsprüfung durchführen kann. Hier müsste man dann kreativ sein. Man könnte um eine Kopie eines alten Zeugnisses bitten, welches von der Schule ausgestellt wurde. Es würde hier die Kopie des Kopfes mit dem Namen der Schule und des Schülers, Schuljahr und Klasse ausreichen.

Hat die Person eine eigene Firma oder ist in einer Firma beschäftigt, wo sie auf der Website namentlich aufgeführt ist? Ist die Person in einem Vereinsvorstand? Gibt es gar nichts, könnte man eventuell eine Ausweiskopie (dazu mehr unten) anfragen.

Fall 3: Anfrage per Telefon bezüglich eines ehemaligen Schülers

Auf telefonische Anfragen sollten grundsätzlich keine Auskünfte gegeben werden. Hier sollten Anfragende immer auf den Schriftweg per E-Mail, Brief oder Fax verwiesen werden, kombiniert mit der Bitte, die Identität nachzuweisen.

Fall 4: Die anfragende Person erscheint persönlich

In diesem Fall kann man die Person, sofern sie nicht persönlich bekannt ist, darum gebeten werden, sich auszuweisen. Danach kann die Frage beantwortet werden, ob Daten verarbeitet werden.

Identitätsprüfung mittels Ausweiskopie

Die Prüfung der Identität des um Auskunft Ersuchenden über eine Ausweiskopie sollte das letzte Mittel sein, denn sie wird unter Datenschützern nicht unkritisch gesehen, da der Ausweis selbst viele personenbezogene Daten enthält. Was man als Schule anfragen würde, wäre eine Ausweiskopie, bei der die nicht benötigten Informationen ausgeschwärzt sind. Beim Bundesbeauftragten für Datenschutz und Informationsfreiheit heißt es dazu unter Auskunftsrecht:

„Hierzu werden auf der Ausweiskopie regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt. Alle anderen auf dem Personaldokument befindlichen Daten (zum Beispiel Ausweisnummer, Lichtbild, persönliche Merkmale, Staatsangehörigkeit) können auf der Kopie grundsätzlich geschwärzt werden.“

Das könnte dann in etwa wie folgt aussehen:

Zu beachten wäre hierbei, dass die Ausweiskopie aus Sicherheitsgründen per Post oder Fax an die Schule übermittelt wird.

Weitere Möglichkeiten zur Identitätsprüfung, welche sich aber nicht sämtlich auf Schule übertragen lassen, finden sich bei der Aufsichtsbehörde von Baden Württemberg unter Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO

Empfehlung

Unabhängig davon, ob einer Schule Daten von einer Person, zu welcher ein Auskunftsersuchen gestellt wurde, vorliegen oder nicht, eine Antwort ist immer erforderlich.

Im ersten Schritt sollte geprüft werden, ob Daten zur angefragten Person vorliegen oder nicht. Liegen keine Daten vor, erhält die anfragende Person eine Bestätigung über den Eingang der Anfrage verbunden mit einem negativen Bescheid, liegen Daten vor, wird der anfragenden Person der Eingang der Anfrage bestätigt. Außerdem wird eine Prüfung der Identität eingeleitet, sofern die anfragende Person der Anfrage nicht bereits ausreichende Unterlagen beigefügt hat.

 

Eltern klagen wegen Veröffentlichung eines Klassenfotos und unvollständiger Auskunft

Lesezeit: 2 Minuten

Wie der Bayrische Rundfunk berichtet, entschied das Verwaltungsgericht Augsburg am 12.07.2018 über einen Fall, in welchem Eltern eines 13 jährigen Schülers wegen der Veröffentlichung eines Klassenfotos in einem Jahresbericht klagen, auf welchem der Sohn abgebildet ist.

Das Verwaltungsgericht Augsburg entscheidet heute über eine ungewöhnliche Klage: Die Eltern eines 13 Jahre alten Schülers hatten verlangt, dass ein Klassenfoto, auf dem ihr Sohn zu sehen ist, nicht veröffentlicht werden darf. Im Jahresbericht der Schule wurde das Bild dann aber doch abgedruckt. Die Leitung der Geschwister-Scholl-Mittelschule in Aichach hat nach Angaben des Gerichts einen Fehler eingeräumt. Sie habe sich auch bei den Eltern entschuldigt.

Dem Bericht nach haben die Eltern in einer „Datenschutzerklärung“, gemeint sein wird wohl eine datenschutzrechtliche Einwilligung, der Anfertigung eines Klassenfotos mit dem Sohn zugestimmt, dabei jedoch keine Einwilligung zu einem „Abdruck in einer Lokalzeitung oder für die Verwendung im Internet“ oder im Jahresbericht gegeben. In letzterem wurde das Bild dann abgedruckt, rechtswidrig wie die Eltern meinen. Diesen Tatbestand soll das Gericht bestätigen. Eine Entschuldigung der Schule, die ihren Fehler einräumt, reicht den Eltern nicht aus.

Dem Bericht nach haben die Eltern wohl auch von ihrem Auskunftsrecht gegenüber der Schule nach Art. 15 DS-GVO Gebrauch gemacht. Da sie der Meinung sind, die Schülerakte nicht vollständig erhalten zu haben, klagen sie auch diesbezüglich.

Für mich stellt sich die Frage, was die Eltern mit ihrer Klage bewecken. Geht es nur ums Recht oder will man auf Schadensersatz klagen? Normalerweise ist so etwas zunächst ein Fall für die Aufsichtsbehörde.

Das Urteil ist noch nicht publiziert. Es sollte jedoch in Kürze unter VG Augsburg – Rechtsprechungsübersicht (dejure.org) nachzulesen sein.

Was der Fall auf jeden Fall zeigt: es ist wichtig, nicht nur Einwilligungen von Erziehungsberechtigten bezüglich der Anfertigung und Veröffentlichung von Fotografien einzuholen, sondern bei einer Nichteinwilligung auch entsprechend zu handeln.

Es wäre in diesem Fall sinnvoll gewesen, auch Klassenfotos ohne den betreffenden Schüler anzufertigen, um Material für das Jahrbuch zu haben. Dass Eltern ihre Einwilligung zur Veröffentlichung von Fotografien, vor allem wenn es um Klassenfotos oder Gruppenaufnahmen geht, verweigern, ist eher die Ausnahme als die Regel. Wenn es aber einen solchen Fall gibt, sollte eine Schule besondere Sorgfalt walten lassen, um hier keine Fehler zu begehen. Wie das Beispiel zeigt, können derartige Fehler Konsequenzen nach sich ziehen, und wenn es nur Gerichtstermine sind. Im schlimmsten Fall kann es zu Schadensersatzforderungen kommen, auch wenn es nur um immaterielle Schäden4Nach Art. 82 DS-GVO Abs. 1 hat ein Betroffener auch bei immateriellen Schäden „Anspruch auf Schadenersatz gegen den Verantwortlichen“, in diesem Fall die Schule. geht.

Quelle: Streit um Datenschutz in der Schule – Eltern klagen wegen Klassenfoto ihres Sohnes

Wie geht man vor? Eine Schritt für Schritt Anleitung

Lesezeit: 5 Minuten

Die Grafik für einen Überblick anklicken und vergrößern.

Ein Auskunftsersuchen nach Art. 15 DS-GVO geht ein

Der überwiegende Teil der Anfragen dürfte an Schulen per E-Mail eingehen. Möglich sind Auskunftsersuchen auch in Briefform, per Fax, telefonisch oder in mündlicher Form.

  • Der Eingang der Anfrage sollte zunächst bestätigt werden, dass die betroffene Person weiß, ihr Anliegen wird bearbeitet.

Prüfung der Anfrage

Auskunftsanfragen können Schülern kommen, welche die Schule noch besuchen, die sie gerade erst verlassen haben oder aber sie vielleicht schon vor mehr als 20 Jahren verlassen haben. Auch Lehrkräfte können anfragen, aktive oder ehemalige. Im Folgenden geht es vor allem um Schüler.

  • Werden oder wurden vom Betroffenen überhaupt personenbezogene Daten verarbeitet?
    • Bei großen Systemen kann eine Prüfung länger dauern, je danach, in welcher Form und wo die Daten gespeichert bzw. archiviert sind.
  • Kann die anfragende Person ohne Zweifel identifiziert werden?
    • Die Schule sollte hier sicherstellen, dass es sich tatsächlich um die anfragende Person handelt, um zu vermeiden, personenbezogene Daten unrechtmäßig an eine andere Person weiterzugeben.
    • Hat man die Person im System lokalisiert, kann man beispielsweise nach Informationen fragen, welche nur diese Person wissen kann, etwa wer Klassenlehrer war oder wie die Adresse in der Schulzeit lautete oder (am Gymnasium) welches die Abiturfächer waren.5Um eine Ausweiskopie sollte man nur in absoluten Ausnahmefällen bitten. „Die Niederländische Aufsichtsbehörde äußert sich in TV-Interview: Für eine Auskunft nach Art. 15 #DSGVO darf vom Verantwortlichen keine Ausweiskopie angefordert werden.“ Twitter 17.01.2019 Eine Verifizierung kann je nach Fall auch mittels postalischer Adresse erfolgen, an welche ein Brief geschickt wird mit einer Bitte um Antwort.
  • Kann die Frist von einem Monat für die Beantwortung der Anfrage eingehalten werden?
    • In der Regel sollte es kein Problem sein, eine Anfrage innerhalb von vier Wochen zu bearbeiten. Hat man jedoch viele Anfragen auf einmal oder ist gerade mit gehäufter Verwaltungsarbeit belegt, z.B. Zeugniserstellung oder Anmeldephase, dann reicht ein Monat vielleicht nicht.
    • Falls die Frist nicht zu halten ist, muss der Betroffene informiert werden und eine Begründung für die Verzögerung erhalten.
  • Hat der Betroffene bereits exzessiv von seinem Auskunftsrecht Gebrauch gemacht und sehr häufige Anfragen gestellt?
    • In solch einem Fall kann eine Auskunft abgelehnt werden.
  • Hat der Betroffene schon wiederholt Anfragen gestellt, auch wenn keine Veränderungen bei den verarbeiteten personenbezogenen Daten zu erwarten war?
    • Bei Schülern, die von der Schule abgegangen sind, ändert sich im Laufe der Jahre entsprechend der Aufbewahrungs- und Löschfristen wenig am Datenbestand der Schule. Das sollte jedem Betroffenen nach der ersten Anfrage mit Auskunft über Aufbewahrungs- und Löschfristen klar sein. Fragt hier ein Betroffener trotzdem wiederholt an, kann eine Auskunft wegen Unbegründetheit abgelehnt werden.

Zusammenstellung der Informationen und Daten für die Antwort

Falls nicht ganz gezielt nach bestimmten Informationen gefragt wird6Art. 15 DS-GVO lässt hier viel Raum, was die Inhalte einer Anfrage angeht: „so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten“. Die betroffene Person hat ein grundsätzliches Auskunfsrecht und zusätzlich noch ein Recht auf Auskunft über die unten aufgelisteten Informationen., besteht die Antwort überlicherweise aus zwei Teilen. Diese ergeben sich aus den Vorgaben in Art. 15 DS-GVO.

  1. Information über die verarbeiteten Daten
  2. Rohkopie der verarbeiteten Daten

Informationen über verarbeitete Daten

Nach den Vorgaben der DS-GVO ergeben sich Angaben zu neun Bereichen, die zu machen sind. Alle lassen sich für Schüler aus der VO-DV I und für Lehrkräfte aus der VO-DV II ableiten, müssen aber auf die jeweilige Schule und individuelle Laufbahn/Person des Betroffenen angepasst werden.7Für eine sehr ausführliche Erklärung siehe AUSKUNFTSRECHT ART. 15 DSGVO UND SCHULE – AUSFÜHRLICH ERKLÄRT

  1. Verarbeitungszwecke
  2. Kategorien von verarbeiteten personenbezogenen Daten
  3. Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten bezüglich denen die Daten der Betroffenen offengelegt wurden bzw. noch werden
  4. Aufbewahrung- und Löschfristen
  5. Aufklärung über Betroffenenrechte, soweit sie auf die vorliegenden personenbezogenen Daten anwendbar sind (Widerspruch, Löschung, Berichtigung, Einschränkung der Verarbeitung)
  6. Hinweis auf Beschwerderecht bei der Aufsichtsbehörde
  7. Herkunft von Daten, sofern sie nicht direkt beim Betroffenen oder (bei Schülern) den Erziehungsberechtigten erhoben wurden.
  8. Falls es eine einer automatisierte Entscheidungsfindung gab bezüglich des Betroffenen, was bei Schulen in der Regel nicht der Fall ist, Informationen über die Logik dahinter und die Tragweite der Entscheidungen
  9. Falls personenbezogene Daten an ein unsicheres Drittland oder an eine internationale Organisation übermittelt werden oder wurden, was bei Schulen in der Regel nicht zutrifft, Informationen über Sicherheitsgarantien

Wer als Schule bereits ein Informationsschreiben nach Art. 13 DS-GVO zur Information der Betroffenen bei der Erhebung von Daten im Rahmen der Anmeldung an der Schule erstellt hat, kann sich leicht an diesem orientieren, um zu den obigen neun Punkten Auskunft zu erteilen. Eine Vorlage für ein solches Informationsschreiben findet sich unter Informationen Schule (NRW) zum Download. Anpassungen sind erforderlich, was die jeweilige Schulform angeht, da es hier Besonderheiten bezüglich der verarbeiteten Daten geben kann. Dies betrifft auch die Empfänger bzw. Kategorien von Empfängern von personenbezogenen Daten. Ein Teil ist durch schulrechtliche Vorgaben gesetzt. Je nach Stand der Dokumentation muss man sich hier eventuell mit allgemeinen Angaben begnügen und dieses entsprechend begründen. Teilweise trifft dieses auch auf die Herkunft von Daten zu. Die Punkte 8 und 9 treffen auf Schulen in der Regel nicht zu und werden entsprechend mit einer negativen Auskunft versehen.

Rohkopie der verarbeiteten Daten

Der Punkt, welcher Schulen einige Arbeit verursachen kann, ist die Rohkopie der verarbeiteten Daten. Die betroffene Person hat ein Anrecht auf eine digitale Kopie der Daten, wenn die Anfrage in digitaler Form gestellt wurde oder die Person ausdrücklich darum bittet. Analog vorliegende Daten müssen dann möglicherweise digitalisiert werden, etwa als PDF Kopie8Es gibt keine Vorgaben, dass diese PDF Kopie unbedingt maschinenlesbar sein müsste.. Wichtig ist, dass durch eine Kopie keine personenbezogenen Daten Dritter mit weitergegeben werden. Diese müssen entsprechend unkenntlich gemacht werden.

  • Bei Schülern, die schon vor sehr langer Zeit aus der Schule entlassen wurden, gibt es oft nicht mehr als Kopien alter Zeugnisse und eventuell noch Abiturarbeiten. Aufgrund der Löschfristen nach VO-DV I sind die meisten Unterlagen mit personenbezogenen Daten entweder vernichtet oder eventuell an ein Archiv übergeben worden.9Falls dieses zutreffend ist, muss unter Punkt 3 ein entsprechender Hinweis gegeben werden, denn das Archiv ist dann ein Empfänger. Rechtliche Grundlage für die Weitergabe ist VO-DV I. Von Daten, die dem Archiv übergeben wurden, muss die Schule keine Rohkopie liefern.
  • Bei Schülern, deren Schulzeit noch nicht lange in der Vergangenheit liegt, könnten noch Schülerstammblätter vorliegen, von denen dann eine (digitale) Kopie anzufertigen ist. Gleiches gilt für Zeugnisse und sonstige Unterlagen (z.B. Krankmeldungen, Protokolle von Teilkonferenzen, Mitteilungen von Ordnungsmaßnahmen, andere Mitteilungen, Versäumnisanzeigen, …).10Es ist übrigens nicht zulässig, Unterlagen einfach zu vernichten, damit man sie nicht bei einer Auskunftsanfrage als Rohkopie bereitstellen muss.
  • Für den Fall, dass noch Daten im Schulverwaltungsprogramm oder einer Sicherung vorliegen, müssen diese Daten in einem gängigen Format exportiert werden. Das kann eine CSV oder TXT Datei sein.
  • Erfolgt die Anfrage in den ersten 5 Jahren nach Verlassen der Schule, liegen eventuell auch noch Unterlagen zu sonderpädagogischem Förderbedarf, Gutachten und ähnliche vor. Auch hier sind (digitale) Kopien anzufertigen.
  • Zu berücksichtigen ist eventuell auch die Schulhomepage, falls dort personenbezogene Daten der betroffenen Person veröffentlicht wurden. Gleiches gilt für eine Schulchronik.
  • Bei Lehrkräften, Lehramtsanwärtern und Praktikanten fallen in der Regel nicht so viele Daten an wie bei Schülern.11Siehe hierzu VO-DV II. Zusätzlich sind die Aufbewahrungs- und Löschfristen insgesamt deutlich kürzer. Nach 5 Jahren spätestens sind an einer Schule keine Daten mehr vorhanden, abgesehen von der Schulchronik und vielleicht auf einer Schulhomepage.12Letzteres, falls hier eine entsprechende Einwilligung eingeholt wurde. Personenbezogene Daten können je nach Auskunftssituation in der Schulverwaltungssoftware vorliegen, in der Akte der Schulleitung, in Form von Textdateien und ähnlich. Auch Stundenpläne stellen personenbezogene Daten dar.

Beantwortung der Anfrage

Sobald alle Informationen zusammengestellt sind und die Rohkopie vollständig ist, wird dem Betroffenen die Anfrage beantwortet. Die Anfrage bestimmt das Format der Antwort. Oberstes Gebot bei der Übermittlung der Auskunft, wenn diese eine Rohkopie einschließt, ist die Sicherheit! Die personenbezogenen Daten des Betroffenen dürfen nicht in fremde Hände gelangen. Dieses zu gewährleisten, ist unter Umständen umständlich. Eine Schule, welche die Daten ungeschützt übermittelt, verstößt gegen die datenschutzrechtlichen Vorgaben und riskiert rechtliche Folgen.

Wie kann man die Auskunft übermitteln?

Analog, ausgedruckt, per Brief

Wurde die Anfrage per Brief gestellt und es wurde kein Wunsch auf eine digitale Antwort geäußert, kann man die Antwort durchaus in analoger Form bereitstellen. In der Mehrheit der Fälle kann man von einem digitalen Format ausgehen.

Analog und digital mit Brief und CD/DVD

Ist keine der komplett digitalen, unten beschriebenen, Lösungen möglich, kann man die Daten auf eine CD oder DVD packen, welche man per Brief versendet. Zur Sicherheit sollten die Daten in eine mit Passwort geschützte ZIP Datei gepackt werden, bevor man sie auf dem Datenträger speichert. Das Passwort fragt der Betroffene dann telefonisch ab.13Eigentlich sollte auch eine CD/DVD im Brief recht sicher sein. Druckt man die Daten aus, sind sie nicht geschützt, falls der Brief abhanden kommt. Ob man also die Daten vor dem Brennen auf den Datenträger in eine ZIP Datei packt und diese mit Passwort schützt, muss man für sich entscheiden. Bei digitalen Daten gelten jedoch schon etwas andere Maßstäbe, da das digitale Format je nach Inhalten ein größeres Missbrauchspotential bietet.

Per verschlüsseltem E-Mail

Da es bei der Auskunft um personenbezogene Daten geht, können diese nicht einfach per E-Mail versandt werden, wenn die anfragende Person keinen öffentlichen Schlüssel zur Verschlüsselung des E-Mails angegeben hat oder die Schule nicht das technische Wissen hat, um E-Mails zu verschlüsseln.14Sollte die Anfragende Person darum bitten, die Daten auch unverschlüsselt per E-Mail zu senden, sollte sich die Schule auf keinen Fall darauf einlassen. Im Zweifelsfall muss die Schule sich für den Fehler verantworten. 15Auch vom Versand der Daten in Form einer gezippten und mit Passwort geschützten Datei ist abzuraten, wenn das E-Mail selbst nicht verschlüsselt ist.

Download in geschütztem Verzeichnis anbieten

Sollte eine Schule die Möglichkeit haben, ein geschütztes Verzeichnis16Für so etwas sollte man Logineo NRW nutzen können. Von der Nutzung von Cloud Diensten wie DropBox, Google Drive, OneDrive und ähnlich ist dringend abzuraten, da man damit in der Regel gegen datenschutzrechtliche Vorgaben verstößt. Hat man es mit einem datenschutzrechtlich einigermaßen versierten Anfragenden zu tun, endet so etwas dann leicht vor Gericht mit einer Schadensersatzklage. über einen Link anzubieten, so kann sie die Daten dort hinterlegen und der anfragenden Person einen passwortgeschützten Link zum Verzeichnis senden. Das Passwort kann dann durch den Betroffenen an der Schule telefonisch erfragt werden.

Dokumentation

Nach abschließender Beantwortung der Auskunftsanfrage, egal ob es sich um eine Negativantwort handelt oder um eine Auskunft mit Übermittlung von Informationen über die verarbeiteten personenbezogenen Daten und eine Rohkopie, sollte man die Bearbeitung der Anfrage dokumentieren. Damit kann man bei zukünftigen Anfragen durch die gleiche Person entsprechend reagieren.

Auskunftsrecht Art. 15 DSGVO und Schule – ausführlich erklärt

Lesezeit: 8 Minuten

Nach Art. 15 DS-GVO hat die betroffene Person das Recht, vom Verantwortlichen Auskunft darüber zu verlangen, ob und wenn ja welche sie betreffenden personenbezogenen Daten verarbeitet werden. Schüler und Erziehungsberechtigte können als Betroffene also bei der Schule als verantwortlicher Stelle erfragen, welche ihrer personenbezogenen Daten die Schule verarbeitet. Dieses Recht gilt, auch wenn die betroffene Person bereits bei der Erhebung der personenbezogenen Daten informiert wurde. Hat die Schule keine personenbezogenen Daten des Betroffenen verarbeitet, muss trotzdem eine Auskunft gegeben werden, auch wenn dieses eine Negativauskunft ist.

Das Recht auf Auskunft findet sich zusätzlich, wenn auch deutlich weniger ausdifferenziert in der VO-DV I § 3 Abs. 4

(4) Die in § 1 Abs. 1 genannten Personen sind mit den Einschränkungen des § 120 Abs. 7 SchulG berechtigt, Einsicht in die sie betreffenden Unterlagen zu nehmen und Auskunft über die sie betreffenden Daten und die Stellen zu erhalten, an die Daten übermittelt worden sind.

Die erwähnte Stelle §120 Abs. 7 SchulG

(7) Nur Eltern sowie die Schülerinnen und Schüler sind berechtigt, Einsicht in die sie betreffenden Unterlagen zu nehmen und Auskunft über die sie betreffenden Daten und die Stellen zu erhalten, an die Daten übermittelt worden sind. Das Recht auf Einsichtnahme umfasst auch das Recht zur Anfertigung oder Aushändigung von Kopien; die Erstattung von Auslagen kann verlangt werden. Dieses Recht ist ausgeschlossen, soweit dadurch berechtigte Geheimhaltungsinteressen Dritter beeinträchtigt würden; in diesen Fällen ist eine Auskunft über die verarbeiteten Daten zu erteilen. Zwischenbewertungen des Lernverhaltens in der Schule sowie persönliche Aufzeichnungen der Lehrkräfte über Schülerinnen und Schüler und deren Eltern sind von dem Recht auf Einsichtnahme und Auskunft ausgenommen.

Das Auskunftsrecht nach Art. 15 lässt sich inhaltlich in zwei Bereiche unterteilen. Man unterscheidet bei der Auskunft über das allgemeine Auskunftsrecht und das Recht auf eine Datenkopie. Bei letzterem geht es um die personenbezogenen Daten selbst, während sich das allgemeine Auskunftsrecht auf die von der Schule verarbeiteten Daten bezieht und  die Metainformationen der Datenverarbeitung.

Allgemeines Auskunftsrecht

Das allgemeine Auskunftsrecht unterscheidet noch einmal nach den Gegenständen (Verarbeitete Daten, Metainformationen der Datenverarbeitung), Verfahren, Form und Darstellungsweise und Beschränkungen.

Die Gegenstände der Auskunft

Beim allgemeinen Auskunftsrecht geht es nicht um die einzelnen personenbezogenen Daten, sondern um Informationen über die Daten. Die einzelnen personenbezogenen Daten sind Gegenstand des Rechts auf eine Datenkopie.

Verarbeitete Daten

Um welche personenbezogenen Daten geht es überhaupt?

  • Informiert werden muss über alle Daten, die beim Verantwortlichen zum Zeitpunkt des Auskunftsersuchens vorliegen.
    • Bei einem Schüler, der sich noch an der Schule befindet, betrifft dieses alle in der Schulverwaltung vorliegenden Daten (Individual- und Organisationsdaten, Leistungsdaten, Schulform- oder schulstufenspezifische Zusatzdaten) wie auch Daten, welche bei Lehrkräften vorliegen, egal ob analog oder digital auf einem Dienstgerät oder mit Genehmigung genutztem Privatgerät. Zu den Daten in der Schulverwaltung gehören auch Klassen- und Kursbücher (Sonstiger Datenbestand). Außerdem zählen zu den Daten der betroffenen Person auch im pädagogischen Netz gespeicherte Daten, einschließlich der Logfiles, und Daten in Lernplattformen. Auch auf der Homepage verarbeitete Daten der Schüler gehören zum Datenbestand.
    • Bei ehemaligen Schülern sind die Daten im Prinzip die gleichen, nur dass sie mittlerweile gesperrt sind und sich im Archiv befinden. Ergänzend kommen in der Regel noch Kopien von Abgangszeugnissen hinzu und die Abiturklausuren und Prüfungsergebnisse. Ein Teil der Daten könnte schon entsprechend der Löschfristen aus VO-DV I ausgesondert und gelöscht worden sein und muss damit nicht mehr bei der Antwort zum Auskunftsersuchen berücksichtigt werden.

Verarbeitungszwecke

Die Verarbeitung von personenbezogenen Daten ist immer zweckgebunden. Entsprechend müssen diese Zwecke bei einem Auskunftsersuchen mitgeteilt werden. Informationen liefert die VO-DV I. Darüber hinaus werden Zwecke auch in Einwilligungen genannt, wenn es um personenbezogenen Daten geht, die nicht auf Basis des SchulG NRW bzw. der sich daraus ableitenden VO-DV I verarbeitet werden dürfen.

    • Individual- und Organisationsdaten  
      • Grunddaten – Verwaltung und Kommunikation, Beratung
      • Organisations-(Schullaufbahn-)daten – Verwaltung, Schulpflichtüberwachung, Laufbahnberatung und -planung
    • Leistungsdaten – Dokumentation, Erstellung von Zeugnissen, Diagnose, Erstellung von Förderempfehlungen,
    • Schulform- oder schulstufenspezifische Zusatzdaten – Überprüfung von Berechtigungen, Entscheidung über sonderpädagogischen Förderbedarf, …

Folgende Verarbeitungszwecke sind je nach Schule höchst unterschiedlich

    • Diverse personenbezogenen Daten, Foto, Video, Audio – Öffentlichkeitsarbeit auf der Schulhomepage, Pressearbeit, …
    • Name, Kennwort, schulische E-Mail Adresse –  Zugang und Nutzung pädagogisches Netz/ Online Lernmanagement System/ Lernplattform

Die Nennung der Rechtsgrundlage für die Verarbeitung wird in Art. 15 nicht ausdrücklich eingefordert.

Datenkategorien

Auch wenn die betroffene Person eine Kopie ihrer personenbezogenen Daten erhält, hat sie ein Recht, durch Auskunft über die Datenkategorien eine Grundorientierung über die Daten zu erhalten, die ihr einen aussagekräftigen Überblick über Verarbeitung ihrer Daten erlaubt. Die Datenkategorien können der VO-DV I Anlage 1 entnommen werden.

  • Individual- und Organisationsdaten  
  • Grunddaten
  • Organisations-(Schullaufbahn-)daten
  • Leistungsdaten
  • Schulform- oder schulstufenspezifische Zusatzdaten

Empfänger und Kategorien von Empfängern

Hier ist eine vollständige Information darüber erforderlich, welche Informationen bereits offengelegt wurden und welche noch offengelegt werden sollen. Schulen sind von daher grundsätzlich verpflichtet, zu speichern, welche Daten gegenüber welchen Empfängern offengelegt wurden, damit diese Auskunft überhaupt erteilt werden kann.

Da dieses vor Umsetzung der DS-GVO von vielen Schulen vermutlich eher nicht praktiziert wurde, wird man sich hier mit pauschalen Informationen begnügen müssen, an wen Daten in der Regel übermittelt werden bzw. wurden. Dass eine exakte Rekonstruktion nicht möglich ist, sollte man anmerken.

Folgende Empfänger sind für Schulen in NRW üblich. Ein Teil davon ergibt sich aus SchulG NRW Abs. 5-8. Die Liste unterscheidet nicht, ob die Übermittlung an diese Empfänger auf gesetzlicher Grundlage oder Einwilligung der Betroffenen beruht.

  • Betroffene
      • Schüler,
      • Eltern, Verpflichtete,
  • Interne Empfänger
    • Lehrkräfte,
    • Schulleitung,
    • Schulverwaltung,
    • Schulsozialarbeiter/in, Schulsozialpädagoge/in,
  • Externe Empfänger
    • aufnehmende Schulen,
    • Schulaufsichtsbehörde,
    • Schulträger,
    • untere Gesundheitsbehörde,
    • Jugendamt,
    • Landesjugendamt,
    • Ämter für Ausbildungsförderung,
    • Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben (Schülerinnen und Schüler an Berufskollegs),
    • Landesbetrieb Information und Technik
      (anonymisierte Leistungsdaten der Schülerinnen und Schüler),
    • schulpsychologischer Dienst,
    • Ausschuss für den Schulsport (Landessportwettkämpfe Mannschaftsmeldung),
    • lokale Presse

Als Kategorien sollten Betroffene, interne Empfänger und externe Empfänger ausreichen.

Dauer der Datenspeicherung

Fristen für Speicherung und Löschung von personenbezogenen Daten sind durch § 9 Aufbewahrung, Aussonderung, Löschung und Vernichtung der Dateien und Akten, VO-DV I, geregelt.

Nr Datenarten Aufbewahrungszeit/ Löschfrist
1 Zweitschriften von Abgangs- und Abschlusszeugnissen 50 Jahre
2 Schülerstammblätter 20 Jahre
3 Zeugnislisten, Zeugnisdurchschriften, (soweit es sich nicht um Abgangs- und Abschlusszeugnisse handelt), Unterlagen über die Klassenführung (Klassenbuch, Kursbuch), Akten über Schülerprüfungen 10 Jahre
4 alle übrigen Daten 5 Jahre
5 von Lehrkräften mit Genehmigung der Schulleitung auf privaten Computern verarbeitete personenbezogene Daten 1 Jahr (nach Abgabe des Schülers, ab Ende des Kalenderjahres)
6 Veröffentlichungen auf der Schulhomepage Soweit nicht durch eine Einwilligung anders geregelt, nach Ende der Schulzeit.
7 Führen einer Schulchronik:
1. Name, Geburtsname, Vorname, Geschlecht, 2. Geburtsdatum, Geburtsort, Geburtsland, 3. Anschrift, 4. Daten über die Dauer des Besuchs der Schule.
unbegrenzte Speicherung

Die Aufbewahrungsfristen beginnen mit Ablauf des Kalenderjahres, in dem die Akten oder Dateien abgeschlossen worden sind, jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.

Betroffenenrechte und Beschwerderechte

Welche Rechte die Betroffenen haben, hängt bei den in Schule verarbeiteten personenbezogenen Daten von der Rechtsgrundlage und der Art der Daten ab. Für Daten, deren Erhebung und Verarbeitung auf der Grundlage einer Einwilligung erfolgt, kann diese Einwilligung widerrufen werden. Ein Widerruf berührt jedoch die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht. Es besteht darüber hinaus ein Recht auf Berichtigung (z.B. Individual- und Organisationsdaten). Bei allen Daten, welche auf Grundlage des SchulG NRW und der VO-DV I erhoben und verarbeitet werden besteht kein Recht auf Löschung, Einschränkung der Verarbeitung oder Widerspruch gegen diese Verarbeitung. Dazu zählen grundsätzlich auch Leistungsdaten.

Ein Beschwerderecht besteht bei Betroffenen aus NRW bei der Aufsichtsbehörde, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

Herkunft der Daten

Soweit die personenbezogenen Daten nicht durch die Schule bei den Betroffenen erhoben wurden, etwa bei der Anmeldung an der Schule, müssen die Betroffen durch die Schule über die Herkunft der Daten informiert werden. Entsprechend sollte auch die Herkunft von Daten durch die Schule regelmäßig dokumentiert werden. Schulen empfangen personenbezogene Daten von Schülern vor allem von abgebenden Schulen. Sonst ist es die Selbstauskunft der Eltern oder von Verpflichteten.

Automatisierte Entscheidungsfindung und Profiling

Aktuell dürfte dieses Feld noch wenig Relevanz besitzen. Mit dem Aufkommen von Lernplattformen, die auf Algorithmen basierende Entscheidungen bezüglich weiterer Lernwege treffen und Fördermaßnahmen empfehlen, erhält dieser Bereich jedoch Bedeutung und es müssten entsprechende Informationen gegeben werden. So lange die Plattform nur eine Auswertung liefert, die Entscheidung jedoch bei den Lehrkräften verbleibt, sind in diesem Bereich keine Auskünfte erforderlich.

Geeignete Garantien im Sinne von Art. 46

Auf Schulen dürfte diese Vorgaben selten zutreffen, da es kaum Anlässe gibt, Daten an Stellen in Staaten zu übermitteln, bei denen entweder die DS-GVO nicht gilt oder es entsprechende Abkommen gibt. Eine solche Datenübermittlung könnte der Fall sein, wenn ein Schüler ein Auslandsschuljahr macht, z.B. an einer deutschen Schule in Chile, und der aufnehmenden Schule die üblichen Daten übermittelt werden.

Verfahren, Form und Darstellungsweise der Auskunft

Das Verfahren der Auskunft

  • Die Schule muss den Betroffenen die Ausübung ihres Auskunftsrechts erleichtern. Eine Verweigerung des Auskunftsrechtes ist nur möglich, wenn die Schule den Auskunftsuchenden nicht identifizieren kann oder Zweifel an der Identität bestehen. Dann können vor Beantwortung der Anfrage weitere Informationen zur Bestätigung der Identität angefordert werden.17Siehe dazu auch ausführlich Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO; LfDI Baden Württemberg (02/2019)
  • Der Antrag selbst ist an keine Form gebunden und auch inhaltlich nicht vorgegeben. Er kann sich auf die personenbezogenen Daten selbst beziehen und auch Metainformationen zu den Daten. Bei einer sehr umfangreichen Datenverarbeitung, wie sie etwa bei einer weiterführenden Schule mit Oberstufe der Fall sein kann, wo es um 8, 9 oder eventuell auch 10 Schulbesuchsjahre geht, kann die Schule die betroffene Person bitten, zu präzisieren, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftersuchen bezieht.
  • Anfragen sind innerhalb eines Monats nach Eingang der Anfrage zu beantworten. Je nach Komplexität der Anfrage kann die Frist um bis zu zwei Monate verlängert werden. Der Anfragende ist darüber unter Angabe der Gründe für die Verzögerung zu informieren.
  • Wird die Schule innerhalb eines Monats nicht tätig, muss sie die betroffene Person darüber informieren und auf das Recht zu einer Beschwerde bei der Aufsichtsbehörde hinweisen.
  • Die Anfrage ist unentgeltlich zu beantworten. Wird das Auskunftsrecht durch häufige Wiederholungen missbraucht oder ist offenkundig unberechtigt, besteht die Möglichkeit, ein angemessenes Entgelt zu verlangen oder sich zu weigern, aufgrund des Antrags tätig zu werden.

Die Form der Auskunft

Die Form der Auskunft, in welcher die Auskunft erteilt wird, richtet sich auch nach den Wünschen der betroffenen Person. Wenn die Identität der anfragenden Person in anderer Form nachgewiesen wurde, kann eine Auskunft auf Verlangen auch mündlich erfolgen. Fragt die betroffene Person in elektronischer Form nach, etwa per E-Mail, kann sie auch Auskunft in elektronischer Form verlangen. Das bedeutet, Unterlagen, die nur in Papierform vorliegen, müssten digitalisiert und als PDF bereitgestellt werden. Je nach Anfrage ist jedoch auch eine Antwort in Papierform nicht ausgeschlossen.

Die Darstellungsweise der Auskunft

Bezüglich der Darstellung macht die DS-GVO einige Vorgaben. Es reicht deshalb nicht, Daten und Metainformationen einfach zusammenzustellen und das SchulG NRW und die DS-GVO I hinzuzufügen. Die Auskunft über die Verarbeitung von personenbezogenen Daten ist “in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.” Das bedeutet, die für die Darstellungsweise der Auskunft gilt ein Gebot der Genauigkeit und der Verständlichkeit. Entsprechend muss die Auskunft aufbereitet und erläutert werden, so dass die betroffene Person sich schnell und einfach einen Überblick verschaffen kann.

Unberührt davon ist durch das Recht der betroffenen Person auf eine Datenkopie, die Daten auch in Rohform zu erhalten (siehe Recht auf Datenkopie).

Grenzen des Auskunftsrechts

Es liegen in diesem Bereich keine nach Art. 23 DS-GVO mögliche auf Schule zutreffende Regelungen aus dem Bundesdatenschutzgesetz (§27 Abs. 2, §28 Abs. 2, § 29 Abs. 1 Satz 2) oder dem Datenschutzgesetz NRW (§12) vor. Demnach ist das allgemeine Auskunftsrecht in Schule keinen Einschränkungen unterworfen.

Recht auf eine Datenkopie

Die Datenkopie umfasst alle auf die betroffene Person bezogenen Daten, so wie sie bei der Schule vorliegen zum Zeitpunkt der Auskunftserteilung. Damit soll die betroffene Person einen vollständigen und ungefilterten Eindruck davon erhalten über welche personenbezogenen Daten die Schule verfügt.

Die Datenkopie ist nicht identisch mit der Auskunft über die verarbeiteten Daten. Das bedeutet, die Datenkopie kann eine aufbereitete und erläuternde Auskunft wie oben beschrieben, nicht ersetzen. Der Grund dafür liegt in der Komplexität der Datenverarbeitung, welche sie für die betroffene Personen nicht ohne weiteres verständlich macht, und Verständlichkeit ist eine der Vorgaben.

Eine Grenze des Rechts auf eine Datenkopie bilden die Rechte und Freiheiten anderer Personen (Art. 15 Abs. 4). Auch §102 Abs. 7 SchulG grenzt das Recht der Betroffenen bezüglich einer Datenkopie ein.

Dieses Recht ist ausgeschlossen, soweit dadurch berechtigte Geheimhaltungsinteressen Dritter beeinträchtigt würden; in diesen Fällen ist eine Auskunft über die verarbeiteten Daten zu erteilen. Zwischenbewertungen des Lernverhaltens in der Schule sowie persönliche Aufzeichnungen der Lehrkräfte über Schülerinnen und Schüler und deren Eltern sind von dem Recht auf Einsichtnahme und Auskunft ausgenommen.

Für die Praxis bedeutet dieses beispielsweise, dass bei der Kopie einer Seite aus einem Klassenbuch oder einer Notenliste die Daten aller anderen Schüler ausgeschwärzt werden müssen, um die Rechte der anderen Schüler nicht zu verletzen.

Wie beim allgemeinen Auskunftsrecht gilt auch bei dem Recht auf Datenkopie: stellt die betroffene Person den Antrag in elektronischer Form, so muss die Schule die Datenkopie in elektronischer Form bereitstellen, außer die betroffene Person wünscht ausdrücklich eine andere Form. Als Format ist bei der elektronischen Form ein gängiges Format zu wählen, welches die betroffene Person mit allgemein verfügbarer Software verarbeiten kann. Diese muss nicht unbedingt kostenlos sein. Im Fall der Schule und der dort verarbeiteten Daten werden dieses das CSV oder TXT Format sein, sowie das PDF Format.

Für die elektronische Bereitstellung der Datenkopie sind verschiedene Wege denkbar, die jedoch den Anforderungen der Datensicherheit genügen müssen. Möglich wäre ein passwortgeschützter Download-Zugang, eine Übersendung per verschlüsseltem E-Mail oder auch ein Übermittlung auf Datenträger per Post.

Die erste Datenkopie ist unentgeltlich zur Verfügung zu stellen. In Schule fällt unter dieses Recht auch die erste beglaubigte Kopie eines Abschlusszeugnisses, die über die bei der Zeugnisausgabe mit ausgegebenen Kopien hinausgeht. Für weitere Datenkopien kann die Schule ein angemessenes Entgelt verlangen, vor allem bei häufiger Wiederholung (exzessiven Anträgen einer betroffenen Person) oder sich weigern, dem Antrag nachzukommen.

Dieser Text als DOCX Datei zur Nachnutzung:

 

Weiter lesen: