Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen

Lesezeit: 3 Minuten

Im Zusammenhang mit dem Datenschutz kommt bei Schulleitungen immer wieder die Frage auf, ob gegen eine Schule von der Aufsichtsbehörde des Landes eine Geldbuße verhängt werden kann, wenn es zu einem Verstoß gegen eine datenschutzrechtliche Vorgabe kommt, sei es das die Datenschutzerklärung der Schulhomepage unzureichend ist oder es einen Datenschutzvorfall gegeben hat.

Gegen Schulen in öffentlicher Trägerschaft werden von den Aufsichtsbehörden in Nordrhein-Westfalen wie auch in anderen Bundesländern keine Bußgelder verhängt.

Aber so einfach ist es mit der Antwort leider doch nicht. Die Thematik ist vielschichtig, denn es geht nicht nur um die Schule als öffentliche Stelle, sondern auch die Personen, welche in einer Schule tätig sind. Wenn es in einer Schule zu einem Verstoß gegen das Datenschutzrecht kommt, muss man auf drei Ebenen schauen. Beim Datenschutzrecht greifen in Bezug auf Sanktionen das jeweilige Landesdatenschutzgesetz und auch die Datenschutz-Grundverordnung (DS-GVO).

Ganz wichtig! Bei allen folgenden Betrachtungen geht es ausschließlich um Schulen in öffentlicher Trägerschaft. Schulen in privater Trägerschaft, Ersatzschulen, unterliegen zumindest in Teilen anderen Rechtsvorschriften.

Im Folgenden geht es vor allem um rechtliche Folgen aus dem Datenschutz- und Zivilrecht.

Rechtliche Einordnung von Schulen in öffentlicher Trägerschaft

In Bezug auf die Verarbeitung von personenbezogenen Daten gilt eine Schule in öffentlicher Trägerschaft als öffentliche Stelle.

§ 5
Anwendungsbereich
(1)
Teil 2 dieses Gesetzes gilt für die Verarbeitung personenbezogener Daten durch die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform (öffentliche Stellen). Unbeschadet der Regelung des Satzes 1 gelten Schulen der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als öffentliche Stellen im Sinne dieses Gesetzes.” 1§5 Absatz 1 Satz 2 DSG NRW

Befugnisse der Aufsichtsbehörde gegenüber Schulen in öffentlicher Trägerschaft

Sie darf kontrollieren und dabei auch personenbezogene Daten einsehen. Im Falle von Verstößen gegen die auf Schulen anwendbaren Gesetze zum Datenschutz kann die Aufsichtsbehörde dieses beanstanden und eine Gelegenheit zur Stellungnahme geben. Außerdem hat sie die Möglichkeit, noch bevor sie eine Gelegenheit zur Stellungnahme gibt, zu bestimmten Maßnahmen zu greifen, die in Artikels 58 Absatz 2 Buchstabe b bis g, i und j der DS-GVO beschrieben sind.

§ 28
Befugnisse
(1) Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit ist befugt, personenbezogene Daten, die ihr oder ihm durch Beschwerden, Anfragen, Hinweise und Beratungswünsche bekannt werden, zu verarbeiten, soweit dies zur Erfüllung ihrer oder seiner Aufgaben erforderlich ist. Sie oder er darf im Rahmen von Kontrollmaßnahmen personenbezogene Daten auch ohne Kenntnis der betroffenen Person erheben. Von einer Benachrichtigung der betroffenen Person kann nach pflichtgemäßem Ermessen abgesehen werden.

(2) Kommt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

– bei der Landesverwaltung der zuständigen obersten Landesbehörde, beim
Landesrechnungshof der Präsidentin oder dem Präsidenten,
– bei der Kommunalverwaltung der jeweils verantwortlichen Gemeinde oder dem
verantwortlichen Gemeindeverband,
– bei den wissenschaftlichen Hochschulen und Fachhochschulen der
Hochschulpräsidentin oder dem Hochschulpräsidenten oder der Rektorin oder
dem Rektor, bei öffentlichen Schulen der Leitung der Schule oder
– bei den sonstigen Körperschaften, Anstalten und Stiftungen des öffentlichen
Rechts dem Vorstand oder dem sonst vertretungsberechtigten Organ

beanstanden und kann vor Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den Fällen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde. Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht.

(3) Die Stellungnahme nach Absatz 2 Satz 1 soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die in Absatz 2 Nummer 2 bis 4 genannten Stellen leiten der zuständigen Rechts- oder Fachaufsichtsbehörde eine Abschrift ihrer Stellungnahme an die oder den Landesbeauftragten für Datenschutz und Informationsfreiheit unverzüglich zu. 2DSG NRW (neu)

Die Befugnisse geben der Aufsichtsbehörde die Möglichkeit, eine Reihe von unmittelbaren Maßnahmen (Warnung, Verwarnung (Beanstandung), Anweisung, Verbot der Verarbeitung)  in Bezug auf die Verarbeitung von personenbezogenen Daten anzuordnen. Wird die Schule zu einer Stellungnahme aufgefordert, muss sie diese auch in Kopie an die zuständige Fachaufsichtsbehörde übermitteln. Das ist im Fall einer Schule in NRW dann die zuständige Bezirksregierung.

Art. 58 DSGVO
Befugnisse
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.3https://dsgvo-gesetz.de/art-58-dsgvo/ 4Die ausgegrauten Buchstaben a und h kommen laut §28 DSG NRW hier nicht in Frage.

Hier taucht jetzt auch die Geldbuße auf. Allerdings sind Schulen davon ausgenommen.

Ausnahme Schulen in öffentlicher Trägerschaft

§ 32
Geldbußen
Geldbußen nach Artikel 83 der Verordnung (EU) 2016/679 dürfen nur gegen öffentliche Stellen im Sinne des § 5 Absatz 5 Nummer 1 bis 4 verhängt werden. 5DSG NRW (neu)

Da Schulen, wie oben dargestellt, unter §5 Absatz 1 Satz 2 DSG NRW fallen und nicht unter die in § 5 Absatz 5 Nummer 1 bis 4 genannten öffentlichen Stellen, ist §58 Abs. 2 lit. i DS-GVO auf Schulen in öffentlicher Trägerschaft nicht anwendbar.

Strafen und Geldbußen gegen Personen

Auch wenn gegen eine Schule als öffentliche Stelle keine Geldbuße verhängt werden kann, sind damit nicht gleichzeitig die Personen in der Schule von rechtlichen Sanktionen ausgenommen. Personen in der Schule, die Schulleitung, Lehrkräfte oder andere Mitarbeiter, können durchaus bestraft oder mit einer Geldbuße belegt werden, wenn bestimmte Bedingungen zutreffen.

§ 34
Straftaten
(1) Wer in Ausübung seiner Tätigkeit für eine öffentliche Stelle einen der in § 33 Absatz 1 genannten Verstöße gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.

(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter sowie die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit.6 DSG NRW (neu)

§34 geht von vorsätzlichem Handeln aus.7§ 34 Abs. 1 DSG NRW spricht von sogenannten „Vorsatztaten„. „Allerdings genügt zur Verwirklichung auch der sogenannte bedingte Vorsatz genügt, d.h., wenn jemand „sehenden Auges“ die Schädigung des anderen billigend in Kauf nimmt, dann ist das Vorsatzmerkmal hier auch erfüllt…“ Aber selbst wenn ein Vorsatz vorliegt, wird die Aufsichtsbehörde die Tat nur verfolgen, wenn eine betroffene Person, der Verantwortliche, der Auftragsverarbeiter oder der LfDI einen Antrag dazu stellt.

Mögliche Verstöße

§ 33
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer entgegen den Vorschriften der Verordnung (EU) 2016/6798Meint die DS-GVO, dieses Gesetzes oder einer anderen Rechtsvorschrift des Landes Nordrhein-Westfalen9Dazu gehört auch das SchulG NRW geschützte personenbezogene Daten, die nicht offenkundig sind,

1) erhebt, speichert, verwendet, verändert, übermittelt, weitergibt, zum Abruf bereit hält, den Personenbezug herstellt oder löscht oder
2) abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlasst.

Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.10DSG NRW (neu)

Dieser Teil des DSG NRW beschreibt mögliche Verstöße gegen das Datenschutzrecht sehr genau. Alles das ist in Schule für die Akteure dort möglich.

(Zivilrechtlicher) Schadensersatz, Art. 82 DS-GVO

Art. 82
DSGVO

(1) Jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.11https://dsgvo-gesetz.de/art-82-dsgvo/

Die DS-GVO eröffnet in Art. 82 auch die Möglichkeit für Betroffene eines Verstoßes gegen die datenschutzrechtlichen Vorgaben zu einer zivilrechtlichen Klage. Hierbei ist unerheblich, ob ein Vorsatz vorliegt oder einfach nur Fahrlässigkeit. Ausgenommen ist von dieser Regelung der behördlich bestellte Datenschutzbeauftragte, da sich Art. 82 nur gegen Verantwortliche oder den Auftragsverarbeiter wendet.

(Zivilrechtlicher) Schadensersatz gem. BGB

§§ 823 ff. BGB (informationelles Selbstbestimmungsrecht =„sonstiges Recht“ i.S.v. „ 823 Abs.1 BGB) gegen Verantwortlichen, Auftragsverarbeiter und DSB12Folien zu einem Vortrag des LfDI BaWü für Kommunen

Das BGB eröffnet für Betroffene eine Klagemöglichkeit auf zivilrechtlicher Ebene, die auch den behördlich bestellten Datenschutzbeauftragten einschließt.

§823
Schadensersatzpflicht

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.13https://dejure.org/gesetze/BGB/823.html

Es geht dabei um Schadenersatz durch den Verursacher. Die Rechtsfolgen bei einer Verletzung des Allgemeine Persönlichkeitsrechts14Siehe auch http://www.juraindividuell.de/pruefungsschemata/allgemeines-persoenlichkeitsrecht-art-2-i-gg-art-1-i-gg-apr/, welches die Grundlage des Datenschutzrechts ist, sind ebenfalls im BGB geregelt.

VI. RECHTSFOLGE: SCHADENSERSATZ, §§ 249 FF. BGB
Bei der Verletzung des allgemeinen Persönlichkeitsrechts kommen als Rechtsfolge in Betracht Ansprüche auf:
– Unterlassung, Beseitigung und Gegendarstellung
– Geldentschädigung für immaterielle Schäden
– Schadensersatz bei Beeinträchtigung vermögenswerter Interessen15Schadenersatz gemäß § 823 I BGB

Unbelassen davon können für Personen in der Schule, welche gegen das Datenschutzrecht verstoßen, auch noch dienstrechtliche Konsequenzen folgen. Auf diese soll hier nicht weiter eingegangen werden.

Fazit

Von Seiten der Aufsichtsbehörden werden keine Geldbußen gegenüber Schulen in öffentlicher Trägerschaft verhängt.

Die Aufsichtsbehörde kann jedoch Freiheitsstrafen und Geldbußen gegenüber Personen verhängen, die für die Schule tätig sind, wenn ein Vorsatz vorliegt und die Tat auf Antrag verfolgt wird.

Für Betroffen ist es darüber hinaus möglich, einzelne Personen in der Schule zivilrechtlich zu belangen. Dazu kann die betroffene Person sich auf Art. 82 DS-GVO berufen und auf §§ 823 ff. BGB. Dabei ist es auch unerheblich, ob der Verstoß gegen das Recht auf informationelle Selbstbestimmung gegenüber der betroffenen Person auf Vorsatz oder Fahrlässigkeit beruht.

In den meisten Fällen wird auch die schulfachliche Aufsicht Kenntnis von einem Datenschutzvorfall erhalten, wenn dieser durch die Aufsichtsbehörde verfolgt wird. Dieses kann zusätzliche dienstrechtliche Konsequenzen nach sich ziehen.

 

Eltern klagen wegen Veröffentlichung eines Klassenfotos und unvollständiger Auskunft

Lesezeit: 2 Minuten

Wie der Bayrische Rundfunk berichtet, entschied das Verwaltungsgericht Augsburg am 12.07.2018 über einen Fall, in welchem Eltern eines 13 jährigen Schülers wegen der Veröffentlichung eines Klassenfotos in einem Jahresbericht klagen, auf welchem der Sohn abgebildet ist.

Das Verwaltungsgericht Augsburg entscheidet heute über eine ungewöhnliche Klage: Die Eltern eines 13 Jahre alten Schülers hatten verlangt, dass ein Klassenfoto, auf dem ihr Sohn zu sehen ist, nicht veröffentlicht werden darf. Im Jahresbericht der Schule wurde das Bild dann aber doch abgedruckt. Die Leitung der Geschwister-Scholl-Mittelschule in Aichach hat nach Angaben des Gerichts einen Fehler eingeräumt. Sie habe sich auch bei den Eltern entschuldigt.

Dem Bericht nach haben die Eltern in einer „Datenschutzerklärung“, gemeint sein wird wohl eine datenschutzrechtliche Einwilligung, der Anfertigung eines Klassenfotos mit dem Sohn zugestimmt, dabei jedoch keine Einwilligung zu einem „Abdruck in einer Lokalzeitung oder für die Verwendung im Internet“ oder im Jahresbericht gegeben. In letzterem wurde das Bild dann abgedruckt, rechtswidrig wie die Eltern meinen. Diesen Tatbestand soll das Gericht bestätigen. Eine Entschuldigung der Schule, die ihren Fehler einräumt, reicht den Eltern nicht aus.

Dem Bericht nach haben die Eltern wohl auch von ihrem Auskunftsrecht gegenüber der Schule nach Art. 15 DS-GVO Gebrauch gemacht. Da sie der Meinung sind, die Schülerakte nicht vollständig erhalten zu haben, klagen sie auch diesbezüglich.

Für mich stellt sich die Frage, was die Eltern mit ihrer Klage bewecken. Geht es nur ums Recht oder will man auf Schadensersatz klagen? Normalerweise ist so etwas zunächst ein Fall für die Aufsichtsbehörde.

Das Urteil ist noch nicht publiziert. Es sollte jedoch in Kürze unter VG Augsburg – Rechtsprechungsübersicht (dejure.org) nachzulesen sein.

Was der Fall auf jeden Fall zeigt: es ist wichtig, nicht nur Einwilligungen von Erziehungsberechtigten bezüglich der Anfertigung und Veröffentlichung von Fotografien einzuholen, sondern bei einer Nichteinwilligung auch entsprechend zu handeln.

Es wäre in diesem Fall sinnvoll gewesen, auch Klassenfotos ohne den betreffenden Schüler anzufertigen, um Material für das Jahrbuch zu haben. Dass Eltern ihre Einwilligung zur Veröffentlichung von Fotografien, vor allem wenn es um Klassenfotos oder Gruppenaufnahmen geht, verweigern, ist eher die Ausnahme als die Regel. Wenn es aber einen solchen Fall gibt, sollte eine Schule besondere Sorgfalt walten lassen, um hier keine Fehler zu begehen. Wie das Beispiel zeigt, können derartige Fehler Konsequenzen nach sich ziehen, und wenn es nur Gerichtstermine sind. Im schlimmsten Fall kann es zu Schadensersatzforderungen kommen, auch wenn es nur um immaterielle Schäden16Nach Art. 82 DS-GVO Abs. 1 hat ein Betroffener auch bei immateriellen Schäden „Anspruch auf Schadenersatz gegen den Verantwortlichen“, in diesem Fall die Schule. geht.

Quelle: Streit um Datenschutz in der Schule – Eltern klagen wegen Klassenfoto ihres Sohnes