Auskunftsrecht und die Monatsfrist

Lesezeit: 8 Minuten

Die DS-GVO sichert Betroffenen mit Art. 15 das Recht zu, von Verantwortlichen jederzeit eine Bestätigung darüber zu verlangen, ob diese ihre Daten verarbeiten. Ist dies der Fall, steht den Betroffenen eine detaillierte Auskunft über die Verarbeitung ihrer personenbezogenen Daten sowie die Ausfertigung einer Datenkopie zu. Wie die Erfahrung vieler Schulen und auch Berichte in der Fachpresse zeigen, machen Betroffene zunehmend von diesem Recht Gebrauch.

Hintergrund des Auskunftsrechts ist es, Betroffenen eine Möglichkeit zu geben, ihr Recht auf informationelle Selbstbestimmung auszuüben. Können Betroffene sich einen Überblick über die Verarbeitung ihrer Daten verschaffen, dann haben sie in der Folge nicht nur die Möglichkeit die Rechtmäßigkeit der Verarbeitung zu überprüfen, sondern auch, von weiteren Betroffenenrechten Gebrauch zu machen – etwa eine Löschung, Berichtigung oder Einschränkung der Verarbeitung zu beantragen, einer Verarbeitung zu widersprechen, eine Einwilligung ganz oder in Teilen zu widerrufen oder sich bei einer Aufsichtsbehörde zu beschweren.

Machen Betroffene von ihrem Recht auf Auskunft Gebrauch, dann, so zeigt die Erfahrung ebenfalls, geht es im schulischen Alltag sehr oft weniger um das eigentliche Recht auf informationelle Selbstbestimmung. Häufig steht das Auskunftsbegehren im Kontext von tiefergehenden Auseinandersetzungen mit den Verantwortlichen, die völlig andere Hintergründe haben. Dies ändert aber nichts an der Tatsache, dass Verantwortliche dem Auskunftsbegehren nachkommen müssen.

Für Schulen ist die Beantwortung von Auskunftsersuchen keinesfalls eine Routineaufgabe. In der Regel müssen mehrere Personen eingebunden werden, um alle Bereiche der schulischen Datenverarbeitung lückenlos zu erfassen. Aus Unkenntnis der rechtlichen Vorgaben werden dabei häufig Fehler bei der Beantwortung gemacht.

Werden Anfragen in der Ferienzeit oder kurz davor gestellt, ist es für Schulen personell und organisatorisch kaum möglich, diese zeitnah und in vollem Umfang zu bearbeiten. Betroffene, die Auskunftsanfragen nutzen, um Schulen als Revanche für ein nach ihrem Empfinden erlittenes Unrecht unter Druck zu setzen, legen häufig besonderen Wert auf die strikte Einhaltung von Fristen. Manche setzen sogar eigenmächtig kürzere Fristen, wie dem Verfasser bekannte Fälle zeigen.

Ist das Verhältnis zwischen den Betroffenen und der Schule ohnehin schon angespannt, eskaliert die Situation durch eine solche Auskunftsanfrage schnell. Betroffene suchen dann häufig Unterstützung bei der zuständigen Aufsichtsbehörde. Diese fordert die Schule in der Folge zu einer Stellungnahme auf – insbesondere dazu, warum gesetzliche Fristen versäumt wurden und/oder warum die erteilte Auskunft unvollständig ist.

Und damit kommen wir zu den Fristen, um die es in diesem Beitrag gehen soll. Sehr häufig liest man, dass die Auskunftsanfrage innerhalb einer Monatsfrist beantwortet werden muss, beantwortet im Sinne von Auskunft erteilen gemäß Art. 15 DS-GVO.

Bei der LDI NRW geht man, wie einem Schreiben an eine Schule zu entnehmen ist, davon aus, dass Verantwortliche

“personelle und organisatorische Maßnahmen [ergreifen], die eine zügige Bearbeitung entsprechender Anträge ermöglichen, und [es ermöglichen, dass] Auskunftsansprüche betroffener Personen innerhalb der in Art. 12 Abs. 3 DS-GVO genannten Frist erfüllt werden.”

Auch auf der von der intersoft consulting betriebenen Website dsgvo-gesetz.de findet sich unter
Themen > Auskunftsrecht der betroffenen Person eine inhaltlich ähnliche Formulierung:

“Auskunftserteilungen müssen nach Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Nur in begründeten Ausnahmefällen darf die Monatsfrist überschritten werden.”

Demnach müssen Verantwortliche innerhalb einer Frist von einem Monat eine Auskunftsanfrage nicht nur beantworten, sondern auch erfüllen, indem die angefragte Auskunft vollständig erteilt wird. Der oder die Betroffene erhält dabei alle Informationen gemäß Artikel 15 Abs. 1 DS-GVO sowie die dazugehörige Datenkopie.

Vergleichbare Aussagen zum Auskunftsrecht finden sich an sehr vielen anderen Stellen. Auch in den führenden Kommentaren zu Art. 12 Abs. 3 DS-GVO. In einem der Standardwerke grenzt man das Recht auf Auskunft (sowie das Recht auf Datenübertragbarkeit) bezüglich der Fristenumsetzung sogar ausdrücklich von den übrigen Betroffenenrechten ab:

“Bei den Auskunftsansprüchen der betroffenen Person aus Art. 15 und bei dem Recht auf Datenübertragbarkeit aus Art. 20 besteht die Positivantwort darin, dass der Verantwortliche der betroffenen Person die begehrten Informationen mitteilt bzw. Daten herausgibt. Bei den anderen Betroffenenrechten muss der Verantwortliche die betroffene Person darüber informieren, welche Maßnahmen er auf ihren Antrag hin ergriffen hat.”1Kühling/Buchner/Bäcker, 4. Aufl. 2024, DS-GVO Art. 12 Rn. 32, beck-online

Eine „Positivantwort“ meint in diesem Kontext, dass tatsächlich Daten zur betroffenen Person vorliegen und dem Auskunftsersuchen folglich inhaltlich nachgekommen werden muss. Der Kommentar verschärft diese Pflicht im nächsten Textabschnitt sogar noch weiter:

“Die Pflicht zur unverzüglichen Positivantwort impliziert, dass der Verantwortliche das Betroffenenrecht selbst gleichfalls unverzüglich zu erfüllen hat.”2Kühling/Buchner/Bäcker, 4. Aufl. 2024, DS-GVO Art. 12 Rn. 33, beck-online

Schaut man direkt in den angeführten Art. 12 Abs. 3 DS-GVO, dann findet sich dort besagte Monatsfrist mit der Möglichkeit, diese unter bestimmten Bedingungen zu verlängern. Art. 12 bezieht sich allgemein auf die Modalitäten für die Ausübung der Rechte der betroffenen Person. Es geht an dieser Stelle also nicht exklusiv um das Recht auf Auskunft, sondern um alle Betroffenenrechte. Für die Umsetzung der Rechte aus den Artikeln 15 bis 22 setzt die DS-GVO den Verantwortlichen eine feste zeitliche Frist und bildet damit eine einheitliche Klammer für alle Betroffenenrechte, egal ob Auskunft, Löschung oder Berichtigung.

“Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.”

Man findet innerhalb der in der Praxis regelmäßig referenzierten Vorgabe von Art. 12 Abs. 3 DS-GVO bei genauem Hinsehen keinen expliziten Hinweis darauf, dass innerhalb dieser Frist der Antrag der betroffenen Person bereits vollständig umgesetzt und final erfüllt sein muss. Die Vorgabe beschränkt sich laut Wortlaut auf eine reine Information über die ergriffenen Maßnahmen.

Im konkreten Fall eines Auskunftsersuchens könnte dies beispielsweise die Information an die betroffene Person sein, dass die entsprechenden Lehrkräfte oder Abteilungen mit der Zusammenstellung der Übersicht gemäß Art. 15 Abs. 1 DS-GVO beauftragt, die Vorbereitung der Datenkopie in die Wege geleitet sowie etwaige externe Auftragsverarbeiter (wie z. B. die Betreiber von Schulplattformen) für die Bereitstellung von Datenexporten kontaktiert wurden.

Das Auskunftsrecht beschäftigt nicht nur die Schulen und im Falle von Beschwerden auch die Aufsichtsbehörden. Es sorgt vielmehr auch für eine stetig wachsende Zahl von Verfahren vor den Gerichten, wobei das Auskunftsrecht, dies sei nebenbei bemerkt, auch hier von den betroffenen Personen häufig zweckentfremdet eingesetzt wird.

Anders als Aufsichtsbehörden haben Gerichte in Streitfällen das letzte Wort. Während in der Vergangenheit Gerichte bezüglich der zeitlichen Umsetzung des Auskunftsrechts überwiegend die Rechtsauffassung der Aufsichtsbehörden und Fachkommentare vertraten, gibt es mittlerweile auch Gerichte, welche näher am Wortlaut der DS-GVO entscheiden. Exemplarisch sollen hierzu ein Gerichtsurteil und ein Beschluss zum Auskunftsrecht wiedergegeben werden.

Das Verwaltungsgericht Osnabrück setzt sich in seinem Urteil vom 13.01.2026 – 7 A 6/24 detailliert mit der Frage der Fristen auseinander. Wie die Entscheidung deutlich macht, bricht das Gericht hier mit der oben beschriebenen Praxis der Aufsichtsbehörden. In der Urteilsbegründung heißt es:

“Nach Art. 12 Abs. 3 DS-GVO stellt der Verantwortliche (hier: die Beklagte) der betroffenen Person (hier: dem Kläger) Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.”

Damit wird der Wortlaut des Gesetzestextes von Art. 12 Abs. 3 DS-GVO unmittelbar wiedergegeben. Die Frist beginnt laut Urteilsbegründung mit dem Eingang des Antrags des Betroffenen beim Verantwortlichen. Muss der Verantwortliche erst die Identität des Betroffenen feststellen, beginnt die Frist, sobald diese zweifelsfrei festgestellt ist.

Lässt sich der Betroffene anwaltlich vertreten, was im Fall des Auskunftsrechts auch bei Schulen vorkommt, wie dem Verfasser bekannte Fälle belegen, dann beginnt die Frist, sobald die Originalvollmacht vorliegt, sofern der Verantwortliche eine solche verlangt.

Eine vergleichbare Auffassung vertritt auch das Verwaltungsgericht Düsseldorf in seinem Beschluss vom 5.9.2025 (29 K 6375/25). Die einmonatige Frist in Art. 12 Abs. 3 Satz 1 DS‑GVO betrifft nach Auffassung der Richter ausschließlich die Mitteilung über den Stand bzw. die ergriffenen Maßnahmen auf Antrag, nicht jedoch die tatsächliche Erfüllung der in den Art. 15 bis 22 DS‑GVO geregelten Rechte oder Ansprüche der betroffenen Person. Hierbei beruft es sich auf eine Reihe aktueller DS-GVO-Kommentare. 3Siehe auch https://beck-online.beck.de/Bcid/Y-300-Z-ZD-B-2026-S-116-N-1 (Link hinter Bezahlschranke)4 Hinweis: In früheren Auflagen einzelner der genannten DS‑GVO‑Kommentarwerke wird die vom Arbeitsgericht Duisburg vertretene Auffassung wiedergegeben Wortwörtlich heißt es so im Urteil:

Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die Frist in Art. 12 Abs. 3 Satz 1 DSGVO bezieht sich lediglich auf die Statusmeldung über die auf Antrag ergriffenen Maßnahmen. Nicht normiert ist dadurch eine Frist zur Erfüllung der in Art. 15-22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person.

Wie kommt es zu den beiden unterschiedlichen Auslegungen?

Die Antwort liegt in der unterschiedlichen Herangehensweise an den Gesetzestext. Bei der Interpretation von Gesetzen nutzen Juristen verschiedene Auslegungsmethoden. Sie betrachten den reinen Wortlaut, den Sinn und Zweck einer Regelung, den geschichtlichen Hintergrund oder den systematischen Aufbau des Gesetzes. Der Unterschied in den Ergebnissen entsteht dadurch, welche dieser Methoden stärker gewichtet wird.

Die LDI NRW wie auch andere Aufsichtsbehörden und der oben zitierte Fachkommentar gewichten vor allem den Sinn und Zweck (die sogenannte teleologische Auslegung) am höchsten: Für sie steht der effektive und zügige Schutz der Betroffenen im Vordergrund. Wenn eine betroffene Person monatelang auf ihre Daten warten müsste, würde das Recht auf Auskunft in der Praxis entwertet. Daher argumentiert der Verfasser des oben zitierten Fachkommentars mit dem „Beantwortungs- und Beschleunigungsgebot“, welches sich aus der Zusammenschau von Art. 12 Abs. 3 und Abs. 4 DS-GVO ergibt. Ein Antrag darf demnach weder liegengelassen noch das Verfahren künstlich verzögert werden.

Die Verwaltungsgerichte hingegen legen in ihren aktuellen Entscheidungen das Hauptgewicht auf den exakten Wortlaut und die Systematik des Gesetzes. Die Grenze jeder richterlichen Interpretation ist im Rechtsstaat der geschriebene Text. Und der Text von Art. 12 Abs. 3 DS-GVO spricht nun einmal explizit von der Unterrichtung über die „ergriffenen Maßnahmen“ und nicht von der finalen „Erfüllung“. Die Gerichte trennen daher strikt zwischen der verfahrensrechtlichen Pflicht (der Statusmeldung innerhalb eines Monats) und der materiellen Pflicht (der tatsächlichen Herausgabe der Datenkopie), für die das Gesetz an dieser Stelle keine starre Frist nennt.

Fazit und Handlungsempfehlungen für Schulleitungen

Was bedeutet das nun für die schulische Praxis, wenn eine Auskunftsanfrage kurz vor den Ferien eingeht, man sich vielleicht mitten in der heißen Phase der Zeugniserstellung befindet und die Zeit ohnehin knapp ist?

Die Schule sollte den Eingang der Anfrage in jedem Fall unmittelbar, spätestens jedoch innerhalb der gesetzlichen Monatsfrist, schriftlich bestätigen. In diesem Schreiben gilt es,5vorausgesetzt, es bestehen keine Zweifel bezüglich der Identität des Betroffenen und es soll auch keine Negativauskunft erteilt werden. der betroffenen Person zumindest erste Informationen über die bereits ergriffenen oder konkret geplanten Maßnahmen zur Erfüllung der Auskunft zukommen zu lassen.

Sollte es der Schule in dieser Zeit gar nicht möglich sein, bereits konkrete Maßnahmen zu benennen, etwa weil Schlüsselpersonen mit dem nötigen Spezialwissen (wie das Sekretariat, IT-Koordinatoren oder Lehrkräfte, die schulische Plattformen administrieren) in den Ferien schlichtweg nicht erreichbar sind, kann und sollte direkt innerhalb des ersten Monats formell eine begründete Fristverlängerung mitgeteilt werden. Im schulischen Kontext lässt sich hierbei sehr gut mit der Komplexität der Datenzusammenführung über verschiedene Systeme hinweg (z.B. Schulverwaltung, Lernplattformen, Arbeits- und Kommunikationsplattform, Geräteverwaltung, …) argumentieren. Damit demonstriert die Schule ein datenschutzkonformes sowie strukturiertes Vorgehen und agiert rechtlich auf der sicheren Seite.

Auch wenn die jüngere Rechtsprechung der Verwaltungsgerichte Osnabrück und Düsseldorf den Schulen bei kurzfristigen und komplexen Anfragen eine spürbare organisatorische Entlastung bringt, bleibt die Praxis im datenschutzrechtlichen Alltag von gegensätzlichen Erwartungen geprägt. Während die Gerichte, vor denen Auskunftsverfahren meist erst bei maximaler Eskalation landen, dazu tendieren, die Monatsfrist als reine „Statusmeldung“ zu interpretieren, fordern die Aufsichtsbehörden, die von Betroffenen in der ersten Eskalationsstufe angerufen werden, in ihren Schreiben weiterhin die vollständige Datenherausgabe innerhalb eines Monats.

Um in verfahrenen Konfliktsituationen die typische Eskalationsspirale zu bremsen und der Aufsichtsbehörde im Falle einer Beschwerde keine Angriffsfläche zu bieten, empfiehlt sich für Schulleitungen im Alltag die Berücksichtigung der folgenden Punkte:

  • Voraussetzungen prüfen: Es besteht das Recht, bei Vertretung durch Anwälte unverzüglich die Originalvollmacht einzufordern und bei begründeten Zweifeln oder falls die Person die Schule vor langer Zeit verlassen hat, Identitätsnachweise anzufordern. Solange diese Dokumente nicht vorliegen, beginnt die gesetzliche Monatsfrist überhaupt erst gar nicht zu laufen. Die Schule gewinnt so völlig legal wertvolle Zeit, noch bevor die rechtliche Uhr tickt.
  • Zwischenbescheid inhaltlich füllen: Wenn das oben beschriebene Schreiben aufgesetzt wird, sollten darin transparent die ersten (geplanten) Schritte aufgelistet werden. Sinnvoll ist beispielsweise die Nennung der notwendigen Abfrage bei den Lehrkräften nach Notenlisten, das Einholen von Datenexporten digitaler Lernplattformen oder die Kontaktaufnahme mit externen Auftragsverarbeitern. Je konkreter die “ergriffenen Maßnahmen” benannt werden, desto eher entspricht das Schreiben den Anforderungen von Art. 12 Abs. 3 DS-GVO. Wichtig: In jedem Schreiben im Kontext eines Auskunftverfahrens muss seitens der Schule zwingend auf die Möglichkeit hingewiesen werden, Beschwerde bei der zuständigen Datenschutzbehörde des jeweiligen Bundeslandes einzulegen.
  • Die Bearbeitung nicht grundlos aufschieben: Die durch den Zwischenbescheid oder die Fristverlängerung gewonnene Zeit ist kein Freibrief für Untätigkeit. Die DS-GVO verlangt grundsätzlich eine unverzügliche Bearbeitung. Die Atempause sollte daher genutzt werden, um nach der Rückkehr der Schlüsselpersonen eine fehlerfreie, gründliche und vollständige Zusammenstellung der Auskunft sowie der Datenkopie vorzubereiten.

Die Praxis zeigt, wer von vornherein zeitnah und transparent kommuniziert und Zwischenbescheide sachgerecht einsetzt, hält sich in arbeitsintensiven Phasen wie der Zeugniserstellung den Rücken frei und gewinnt den nötigen zeitlichen Puffer, um das Auskunftsverfahren danach rechtssicher und ohne Hektik zu erledigen. In vielen Fällen sollte es so auch möglich sein, Beschwerden durch die Betroffenen bei der Aufsichtsbehörde zu vermeiden, denn auch deren Bearbeitung kostet eine Schule Zeit. Auch wenn die beiden Gerichtsdokumente derzeit noch eher eine Minderheitsmeinung repräsentieren, bieten sie eine wichtige Absicherung. Sollten Schulen durch eine unspezifizierte und umfangreiche Auskunftsanfrage – oder Forderungen weit über Art. 15 hinaus – trotz guter Vorarbeit arg unter Druck geraten, kann man sich auf die Aussagen dieser Gerichte berufen, um sich zu entlasten. Sie entbinden Schulen zwar nicht von ihrer Pflicht zur fortlaufend zügigen Bearbeitung der Auskunft, sie nehmen jedoch spürbaren Druck aus der organisatorischen Umsetzung im Schulbetrieb.

Weiterlesen

Unter dem Schlagwort Art. 15 finden sich auf dieser Website vertiefende Informationen samt Musterschreiben zum gesamten Auskunftsverfahren.

Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen

Lesezeit: 3 Minuten

Im Zusammenhang mit dem Datenschutz kommt bei Schulleitungen immer wieder die Frage auf, ob gegen eine Schule von der Aufsichtsbehörde des Landes eine Geldbuße verhängt werden kann, wenn es zu einem Verstoß gegen eine datenschutzrechtliche Vorgabe kommt, sei es das die Datenschutzerklärung der Schulhomepage unzureichend ist oder es einen Datenschutzvorfall gegeben hat.

Gegen Schulen in öffentlicher Trägerschaft werden von den Aufsichtsbehörden in Nordrhein-Westfalen wie auch in anderen Bundesländern keine Bußgelder verhängt.

Aber so einfach ist es mit der Antwort leider doch nicht. Die Thematik ist vielschichtig, denn es geht nicht nur um die Schule als öffentliche Stelle, sondern auch die Personen, welche in einer Schule tätig sind. Wenn es in einer Schule zu einem Verstoß gegen das Datenschutzrecht kommt, muss man auf drei Ebenen schauen. Beim Datenschutzrecht greifen in Bezug auf Sanktionen das jeweilige Landesdatenschutzgesetz und auch die Datenschutz-Grundverordnung (DS-GVO).

Ganz wichtig! Bei allen folgenden Betrachtungen geht es ausschließlich um Schulen in öffentlicher Trägerschaft. Schulen in privater Trägerschaft, Ersatzschulen, unterliegen zumindest in Teilen anderen Rechtsvorschriften.

Im Folgenden geht es vor allem um rechtliche Folgen aus dem Datenschutz- und Zivilrecht.

Rechtliche Einordnung von Schulen in öffentlicher Trägerschaft

In Bezug auf die Verarbeitung von personenbezogenen Daten gilt eine Schule in öffentlicher Trägerschaft als öffentliche Stelle.

§ 5
Anwendungsbereich
(1)
Teil 2 dieses Gesetzes gilt für die Verarbeitung personenbezogener Daten durch die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform (öffentliche Stellen). Unbeschadet der Regelung des Satzes 1 gelten Schulen der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als öffentliche Stellen im Sinne dieses Gesetzes.” 1§5 Absatz 1 Satz 2 DSG NRW

Befugnisse der Aufsichtsbehörde gegenüber Schulen in öffentlicher Trägerschaft

Sie darf kontrollieren und dabei auch personenbezogene Daten einsehen. Im Falle von Verstößen gegen die auf Schulen anwendbaren Gesetze zum Datenschutz kann die Aufsichtsbehörde dieses beanstanden und eine Gelegenheit zur Stellungnahme geben. Außerdem hat sie die Möglichkeit, noch bevor sie eine Gelegenheit zur Stellungnahme gibt, zu bestimmten Maßnahmen zu greifen, die in Artikels 58 Absatz 2 Buchstabe b bis g, i und j der DS-GVO beschrieben sind.

§ 28
Befugnisse
(1) Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit ist befugt, personenbezogene Daten, die ihr oder ihm durch Beschwerden, Anfragen, Hinweise und Beratungswünsche bekannt werden, zu verarbeiten, soweit dies zur Erfüllung ihrer oder seiner Aufgaben erforderlich ist. Sie oder er darf im Rahmen von Kontrollmaßnahmen personenbezogene Daten auch ohne Kenntnis der betroffenen Person erheben. Von einer Benachrichtigung der betroffenen Person kann nach pflichtgemäßem Ermessen abgesehen werden.

(2) Kommt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

– bei der Landesverwaltung der zuständigen obersten Landesbehörde, beim
Landesrechnungshof der Präsidentin oder dem Präsidenten,
– bei der Kommunalverwaltung der jeweils verantwortlichen Gemeinde oder dem
verantwortlichen Gemeindeverband,
– bei den wissenschaftlichen Hochschulen und Fachhochschulen der
Hochschulpräsidentin oder dem Hochschulpräsidenten oder der Rektorin oder
dem Rektor, bei öffentlichen Schulen der Leitung der Schule oder
– bei den sonstigen Körperschaften, Anstalten und Stiftungen des öffentlichen
Rechts dem Vorstand oder dem sonst vertretungsberechtigten Organ

beanstanden und kann vor Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den Fällen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde. Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht.

(3) Die Stellungnahme nach Absatz 2 Satz 1 soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die in Absatz 2 Nummer 2 bis 4 genannten Stellen leiten der zuständigen Rechts- oder Fachaufsichtsbehörde eine Abschrift ihrer Stellungnahme an die oder den Landesbeauftragten für Datenschutz und Informationsfreiheit unverzüglich zu. 2DSG NRW (neu)

Die Befugnisse geben der Aufsichtsbehörde die Möglichkeit, eine Reihe von unmittelbaren Maßnahmen (Warnung, Verwarnung (Beanstandung), Anweisung, Verbot der Verarbeitung)  in Bezug auf die Verarbeitung von personenbezogenen Daten anzuordnen. Wird die Schule zu einer Stellungnahme aufgefordert, muss sie diese auch in Kopie an die zuständige Fachaufsichtsbehörde übermitteln. Das ist im Fall einer Schule in NRW dann die zuständige Bezirksregierung.

Art. 58 DSGVO
Befugnisse
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.3https://dsgvo-gesetz.de/art-58-dsgvo/ 4Die ausgegrauten Buchstaben a und h kommen laut §28 DSG NRW hier nicht in Frage.

Hier taucht jetzt auch die Geldbuße auf. Allerdings sind Schulen davon ausgenommen.

Ausnahme Schulen in öffentlicher Trägerschaft

§ 32
Geldbußen
Geldbußen nach Artikel 83 der Verordnung (EU) 2016/679 dürfen nur gegen öffentliche Stellen im Sinne des § 5 Absatz 5 Nummer 1 bis 4 verhängt werden. 5DSG NRW (neu)

Da Schulen, wie oben dargestellt, unter §5 Absatz 1 Satz 2 DSG NRW fallen und nicht unter die in § 5 Absatz 5 Nummer 1 bis 4 genannten öffentlichen Stellen, ist §58 Abs. 2 lit. i DS-GVO auf Schulen in öffentlicher Trägerschaft nicht anwendbar.

Strafen und Geldbußen gegen Personen

Auch wenn gegen eine Schule als öffentliche Stelle keine Geldbuße verhängt werden kann, sind damit nicht gleichzeitig die Personen in der Schule von rechtlichen Sanktionen ausgenommen. Personen in der Schule, die Schulleitung, Lehrkräfte oder andere Mitarbeiter, können durchaus bestraft oder mit einer Geldbuße belegt werden, wenn bestimmte Bedingungen zutreffen.

§ 34
Straftaten
(1) Wer in Ausübung seiner Tätigkeit für eine öffentliche Stelle einen der in § 33 Absatz 1 genannten Verstöße gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.

(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter sowie die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit.6 DSG NRW (neu)

§34 geht von vorsätzlichem Handeln aus.7§ 34 Abs. 1 DSG NRW spricht von sogenannten “Vorsatztaten“. “Allerdings genügt zur Verwirklichung auch der sogenannte bedingte Vorsatz genügt, d.h., wenn jemand “sehenden Auges” die Schädigung des anderen billigend in Kauf nimmt, dann ist das Vorsatzmerkmal hier auch erfüllt…” Aber selbst wenn ein Vorsatz vorliegt, wird die Aufsichtsbehörde die Tat nur verfolgen, wenn eine betroffene Person, der Verantwortliche, der Auftragsverarbeiter oder der LfDI einen Antrag dazu stellt.

Mögliche Verstöße

§ 33
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer entgegen den Vorschriften der Verordnung (EU) 2016/6798Meint die DS-GVO, dieses Gesetzes oder einer anderen Rechtsvorschrift des Landes Nordrhein-Westfalen9Dazu gehört auch das SchulG NRW geschützte personenbezogene Daten, die nicht offenkundig sind,

1) erhebt, speichert, verwendet, verändert, übermittelt, weitergibt, zum Abruf bereit hält, den Personenbezug herstellt oder löscht oder
2) abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlasst.

Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.10DSG NRW (neu)

Dieser Teil des DSG NRW beschreibt mögliche Verstöße gegen das Datenschutzrecht sehr genau. Alles das ist in Schule für die Akteure dort möglich.

(Zivilrechtlicher) Schadensersatz, Art. 82 DS-GVO

Art. 82
DSGVO

(1) Jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.11https://dsgvo-gesetz.de/art-82-dsgvo/

Die DS-GVO eröffnet in Art. 82 auch die Möglichkeit für Betroffene eines Verstoßes gegen die datenschutzrechtlichen Vorgaben zu einer zivilrechtlichen Klage. Hierbei ist unerheblich, ob ein Vorsatz vorliegt oder einfach nur Fahrlässigkeit. Ausgenommen ist von dieser Regelung der behördlich bestellte Datenschutzbeauftragte, da sich Art. 82 nur gegen Verantwortliche oder den Auftragsverarbeiter wendet.

(Zivilrechtlicher) Schadensersatz gem. BGB

§§ 823 ff. BGB (informationelles Selbstbestimmungsrecht =„sonstiges Recht“ i.S.v. „ 823 Abs.1 BGB) gegen Verantwortlichen, Auftragsverarbeiter und DSB12Folien zu einem Vortrag des LfDI BaWü für Kommunen

Das BGB eröffnet für Betroffene eine Klagemöglichkeit auf zivilrechtlicher Ebene, die auch den behördlich bestellten Datenschutzbeauftragten einschließt.

§823
Schadensersatzpflicht

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.13https://dejure.org/gesetze/BGB/823.html

Es geht dabei um Schadenersatz durch den Verursacher. Die Rechtsfolgen bei einer Verletzung des Allgemeine Persönlichkeitsrechts14Siehe auch https://www.juraindividuell.de/pruefungsschemata/allgemeines-persoenlichkeitsrecht/, welches die Grundlage des Datenschutzrechts ist, sind ebenfalls im BGB geregelt.

VI. RECHTSFOLGE: SCHADENSERSATZ, §§ 249 FF. BGB
Bei der Verletzung des allgemeinen Persönlichkeitsrechts kommen als Rechtsfolge in Betracht Ansprüche auf:
– Unterlassung, Beseitigung und Gegendarstellung
– Geldentschädigung für immaterielle Schäden
– Schadensersatz bei Beeinträchtigung vermögenswerter Interessen15Schadenersatz gemäß § 823 I BGB

Unbelassen davon können für Personen in der Schule, welche gegen das Datenschutzrecht verstoßen, auch noch dienstrechtliche Konsequenzen folgen. Auf diese soll hier nicht weiter eingegangen werden.

Fazit

Von Seiten der Aufsichtsbehörden werden keine Geldbußen gegenüber Schulen in öffentlicher Trägerschaft verhängt.

Die Aufsichtsbehörde kann jedoch Freiheitsstrafen und Geldbußen gegenüber Personen verhängen, die für die Schule tätig sind, wenn ein Vorsatz vorliegt und die Tat auf Antrag verfolgt wird.

Für Betroffene ist es darüber hinaus möglich, einzelne Personen in der Schule zivilrechtlich zu belangen. Dazu kann die betroffene Person sich auf Art. 82 DS-GVO berufen und auf §§ 823 ff. BGB. Dabei ist es auch unerheblich, ob der Verstoß gegen das Recht auf informationelle Selbstbestimmung gegenüber der betroffenen Person auf Vorsatz oder Fahrlässigkeit beruht.

In den meisten Fällen wird auch die schulfachliche Aufsicht Kenntnis von einem Datenschutzvorfall erhalten, wenn dieser durch die Aufsichtsbehörde verfolgt wird. Dieses kann zusätzliche dienstrechtliche Konsequenzen nach sich ziehen.

 

Müssen Schulen einen Datenschutzbeauftragten an die Aufsichtsbehörden melden?

Lesezeit: 2 Minuten

Pflicht zur Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden

Nach Art 37 Abs 7 der DS-GVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten 1Siehe dazu auch den Beitrag Muss der Datenschutzbeauftragte auf die Schulhomepage? 2Siehe auch Datenschutzbeauftragte FAQ Grundlagen und Benennung – der LDI NRW < und

“teilt diese Daten der Aufsichtsbehörde mit.”

Diese Vorgabe gilt auch für öffentliche Stellen wie Schulen. Für die Aufsichtsbehörde ist diese Meldung von Bedeutung, da der Datenschutzbeauftragte nur so in der Lage ist seiner Tätigkeit als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen zu können (vgl. Artikel 39 Absatz 1 Buchstabe e) DS-GVO).

Praktische Umsetzung bei Schulen – offene Fragen

Bisher ist leider nicht klar, ob jede einzelne Schule diese Meldung separat für sich machen muss. Schulen in NRW brauchen keine eigenen Datenschutzbeauftragten, denn es gibt die behördlich bestellten schulischen Datenschutzbeauftragten. In jedem Kreis bzw. jeder kreisfreien Stadt wurde dafür eine zuständige Person benannt. Teilweise sind es auch zwei Personen, die sich diese Zuständigkeit teilen. Alle diese Personen sind dem MSB bekannt (siehe Übersicht Behördliche Datenschutzbeauftragte) wie auch den fünf Bezirksregierungen.

In NRW gibt es 5.436 öffentliche Schulen3siehe Schulen, Klassen, Schülerinnen, Schüler und Lehrkräfte an
allgemeinbildenden und beruflichen Schulen 2019 nach Schulformen – IT.NRW
. Würde jede einzelne eine Meldung machen, wären es entsprechend viele Meldungen. Da jeder behördliche Datenschutzbeauftragte für mehrere Schulen zuständig ist, würde jede dieser Personen x-fach gemeldet.

Von daher macht es eher Sinn, wenn das MSB jetzt am Start einmal die Aufsichtsbehörde, die LDI NRW, informiert. Das wäre eine Meldung. Spätere Änderungen werden dann entweder die Kreise bzw. kreisfreien Städte oder die Bezirksregierungen mitteilen. Dass jede Schule dieses für sich übernimmt, führt zu einer unnötigen Flut an Meldungen und Arbeit. Übernehmen die Kreise und kreisfreien Städte diese Aufgabe, geht es um 52 behördliche Datenschutzbeauftragte plus eventuell deren Vertreter.

Mitteilungen an die LDI NRW werden ab dem 25. Mai 2018 möglich sein. Nach einer Information der LDI NRW soll es dazu dann eine Möglichkeit zur Online-Meldung über die Homepage der Aufsichtsbehörde geben.

Wird der Datenschutzbeauftragte nicht gemeldet, so stellt dieses bereits einen Verstoß gegen die Vorgaben der Datenschutzgesetzgebung dar.

Abwarten empfohlen

Es soll für den Start eine Übergangsfrist geben. Dieses ist auf der Homepage der LDI NRW bekanntgegeben.

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

Das MSB hat sich bisher nicht zu der Frage geäußert, wie die Meldung praktisch umgesetzt werden soll, ob es eine erste Meldung durch das MSB gibt oder die Bezirksregierungen. Da bis zum 31.12.2018 eine Übergangsfrist besteht, empfehle ich Schulen in NRW (bis zur Klärung dieser Frage) zunächst einige Wochen abzuwarten. Es wird hier sicher noch eine Mitteilung von Seiten des Ministeriums oder der Bezirksregierungen geben. Natürlich steht es jeder Schule frei, ihren Datenschutzbeauftragten direkt nach dem 25.05.2018 zu melden. Es ist kein Schaden.

Datenschutzgesetz NRW – dauert noch (ein paar Tage)

Lesezeit: 2 Minuten

Schon erstaunlich, dass die Übergangsfrist von zwei Jahren in NRW scheinbar kaum genutzt wurde, um das alte Datenschutzgesetz NRW auf die Vorgaben der Europäischen Datenschutz Grundverordnung anzupassen. Die 1. Lesung zum neuen Datenschutzgesetz fand Anfang März diesen Jahres statt. Am 16.05.2018 soll nun die 2. Lesung stattfinden. Wie aus dem Beratungsverlauf ersichtlich und den Stellungnahmen, sind zahlreiche öffentliche Stellen und Interessengruppen am Gesetzgebungsverfahren beteiligt. Die LDI NRW ist mit der Umsetzung ihrer Vorschläge wohl nicht völlig einverstanden. Es sieht aber trotz allem sehr danach aus, als werde es am ersten Entwurf keine großen Veränderungen mehr geben. Entsprechend empfielt der Hauptausschuss des Landtags den Parteien, mit ihren Stimmen den Gesetzes entwurf mit dem Namen Drucksache 17/1981 anzunehmen.

Für Schulen gibt es im Gesetzesentwurf eine interessante Stelle, die man kennen sollte.

§ 28 Befugnisse
(2) Kommt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

3. …. bei öffentlichen Schulen der Leitung der Schule  …

beanstanden und kann vor Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den Fällen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde.
Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht.

Die Aufsichtsbehörde des Landes NRW, also die Landesbauftragte für Datenschutz und Informationsfreiheit, hat demnach auch die Möglichkeit,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

Es kann aber sicher davon ausgegangen werden, dass hier schon extreme Fälle von Verstößen gegen das Datenschutzgesetz vorliegen müssen und dass die Schulleitung keinerlei Einsicht zeigt und Willen, den Problemen abzuhelfen.

Das alles ist nicht komplett neu, fand sich im alten Datenschutzgesetzt nur auf verschiedene Stellen verteilt § 24 Beanstandungen durch den Landesbeauftragten und § 34 Ordnungswidrigkeiten.

Eingreifen kann die LDI NRW auch, wenn eine Schule ihren Pflichten nach dem Informationsfreiheitsgesetz NRW nicht nachkommt. Hier allerdings gehen die Maßnahmen nicht über die Möglichkeiten hinaus, eine Stellungnahme anzufordern.