Auskunftsersuchen nach Artikel 15 DS-GVO sind auch ein Thema für Schulen. Einige Schulen haben bereits erste Erfahrungen gemacht und mussten Auskunftsersuchen bearbeiten. Ein dabei nicht zu unterschätzender Punkt ist die Prüfung der Identität der anfragenden Person, denn Auskunft darf nur der betroffenen Person gegeben werden, bzw. im Fall von minderjährigen Schülern auch den Erziehungsberechtigten.
Wie ein amerikanischer Doktorand eindrücklich zeigen konnte1siehe Datenschutzauskunft als Sicherheitsrisiko, Golem 08/2019 und Wenn private Daten an den Falschen gehen, FAZ, 08/2019, birgt das Auskunftsrecht auch ein großes Missbrauchspotential in sich und kann so unter Umständen sogar zum Identitätsdiebstahl genutzt werden, wenn die auskunftgebenden Stellen nicht die erforderliche Sorgfalt bei Prüfung der Identität der anfragenden Person walten lassen. In Schulen hängt viel der jeweiligen Situation ab, ob und wie die Prüfung der Identität durchgeführt werden muss. Wichtig ist grundsätzlich:
Liegen an der Schule Daten zur angefragten Person vor, sollte darüber keine Auskunft gegeben werden, solange die Identität der anfragenden Person nicht zweifelsfrei geklärt ist.
Warum? Bereits die Information, dass zu einer Person personenbezogene Daten an der Schule vorliegen bzw. dort verarbeitet werden, ist ein personenbezogenes Datum, dessen Bekanntwerden für die betroffene Person Risiken bergen kann. Ein Beispiel: An Schulen gibt es immer wieder Kinder, deren Datensatz mit einer Auskunftssperre versehen ist, in der Regel weil die Eltern in Trennung leben und dem anderen Elternteil der Aufenthaltsort zum Schutz des Kindes und der Mutter nicht bekannt werden darf. Legt sich der Vater nun eine entsprechende E-Mail Adresse mit dem Namen der Mutter an und schreibt alle in Frage kommenden Schulen in einer Region an mit einem Auskunftsersuchen, so könnte er darüber bereits in Erfahrung bringen, welche Schule sein Kind besucht. Auf die möglichen Folgen davon braucht nicht weiter eingegangen werden. Würde die Schule dann noch der vermeintlich anfragenden Mutter sämtliche gespeicherten personenbezogenen Daten übermitteln, würden dem Vater dadurch auch noch Wohnort, Arbeitgeber und mehr bekannt.
Als datenverarbeitende Stelle ist die Schule nicht nur in der Pflicht, Auskunft zu erteilen, sondern auch sicherzustellen, dass nur berechtigte Personen Auskunft erhalten. Entsprechend heißt es auch im offiziellen Kurzpapier der Datenschutzkonferenz:
“Es muss sichergestellt werden, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten. Hat der Verantwortliche begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so kann er nach Art. 12 Abs. 6 DS-GVO zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Postadresse bei elektronischem Auskunftsantrag).”
Wie kann die Identität der Anfragenden sichergestellt werden?
Fall 1: Anfrage per E-Mail bezüglich eines Schülers, der aktuell die Schule besucht
Da die Schule von allen aktuellen Schülern über umfangreiche Kontaktinformationen verfügt, kann man diese zur Identitätsprüfung nutzen. E-Mail Absender sind allerdings sehr leicht zu fälschen (Spoofing). Man könnte hier einfach die Eltern telefonisch kontaktieren und nachfragen.
Nutzt die Schule eine Plattform zur Kommunikation, könnte man darum bitten, die Anfrage über das Nutzerkonto des Betroffenen zu stellen.
Fall 2: Anfrage per E-Mail bezüglich eines ehemaligen Schülers
Da innerhalb der ersten 20 Jahre nach Ende der Schulzeit noch das Schülerstammblatt in der Schule vorhanden ist, könnte man per E-Mail auf die Anfrage antworten und dort beispielsweise die letzte in der Schulzeit bekannte Adresse des Wohnortes und Arbeitsstelle eines Elternteiles abfragen oder Geburtsdatum und Geburtsort.
Hat der ehemalige Schüler die Schule bereits vor mehr als 20 Jahre verlassen, liegen der Schule nur noch Zweitschriften von Abgangs- und Abschlusszeugnissen vor und eventuell Einträge in einer Schulchronik. Liegen nur noch Zweitschriften von Zeugnissen vor, hat die Schule nur wenige Daten, gegen die sie eine Identitätsprüfung durchführen kann. Hier müsste man dann kreativ sein. Man könnte um eine Kopie eines alten Zeugnisses bitten, welches von der Schule ausgestellt wurde. Es würde hier die Kopie des Kopfes mit dem Namen der Schule und des Schülers, Schuljahr und Klasse ausreichen.
Hat die Person eine eigene Firma oder ist in einer Firma beschäftigt, wo sie auf der Website namentlich aufgeführt ist? Ist die Person in einem Vereinsvorstand? Gibt es gar nichts, könnte man eventuell eine Ausweiskopie (dazu mehr unten) anfragen.
Fall 3: Anfrage per Telefon bezüglich eines ehemaligen Schülers
Auf telefonische Anfragen sollten grundsätzlich keine Auskünfte gegeben werden. Hier sollten Anfragende immer auf den Schriftweg per E-Mail, Brief oder Fax verwiesen werden, kombiniert mit der Bitte, die Identität nachzuweisen.
Fall 4: Die anfragende Person erscheint persönlich
In diesem Fall kann man die Person, sofern sie nicht persönlich bekannt ist, darum gebeten werden, sich auszuweisen. Danach kann die Frage beantwortet werden, ob Daten verarbeitet werden.
Identitätsprüfung mittels Ausweiskopie
Die Prüfung der Identität des um Auskunft Ersuchenden über eine Ausweiskopie sollte das letzte Mittel sein, denn sie wird unter Datenschützern nicht unkritisch gesehen, da der Ausweis selbst viele personenbezogene Daten enthält. Was man als Schule anfragen würde, wäre eine Ausweiskopie, bei der die nicht benötigten Informationen ausgeschwärzt sind. Beim Bundesbeauftragten für Datenschutz und Informationsfreiheit heißt es dazu unter Auskunftsrecht:
“Hierzu werden auf der Ausweiskopie regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt. Alle anderen auf dem Personaldokument befindlichen Daten (zum Beispiel Ausweisnummer, Lichtbild, persönliche Merkmale, Staatsangehörigkeit) können auf der Kopie grundsätzlich geschwärzt werden.”
Das könnte dann in etwa wie folgt aussehen:
Zu beachten wäre hierbei, dass die Ausweiskopie aus Sicherheitsgründen per Post oder Fax an die Schule übermittelt wird.
Weitere Möglichkeiten zur Identitätsprüfung, welche sich aber nicht sämtlich auf Schule übertragen lassen, finden sich bei der Aufsichtsbehörde von Baden Württemberg unter Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO
Empfehlung
Unabhängig davon, ob einer Schule Daten von einer Person, zu welcher ein Auskunftsersuchen gestellt wurde, vorliegen oder nicht, eine Antwort ist immer erforderlich.
Im ersten Schritt sollte geprüft werden, ob Daten zur angefragten Person vorliegen oder nicht. Liegen keine Daten vor, erhält die anfragende Person eine Bestätigung über den Eingang der Anfrage verbunden mit einem negativen Bescheid, liegen Daten vor, wird der anfragenden Person der Eingang der Anfrage bestätigt. Außerdem wird eine Prüfung der Identität eingeleitet, sofern die anfragende Person der Anfrage nicht bereits ausreichende Unterlagen beigefügt hat.