Bußgeld für einen norwegischen Schulträger wegen Verstoß gegen DS-GVO

Lesezeit: 2 Minuten

Im norwegischen Bergen wurde jetzt ein Schulträger wegen eines massiven Verstoßes gegen die DS-GVO zu einer Geldstrafe in Höhe von umgerechnet 170.000 € verurteilt. In dem Fall geht es um die Zugangsdaten von 35.000 Schülern und Angestellten an den Schulen der Stadt, welche durch unzureichende Sicherheitsmaßnahmen offen zugänglich waren. Mittels dieser Zugangsdaten war es für jedermann möglich, sich in das Computersystem der Schule einzuloggen und Zugriff auf personenbezogenen Daten zu erhalten, darunter auch Noten und Bewertungen durch Lehrkräfte in einer Lernplattform. Die norwegische Aufsichtsbehörde war zu dem Schluss gekommen, dass der Schulträger gegen Art. 5 Abs. 1 lit. f (Grundsätze für die Verarbeitung personenbezogener Daten1“Personenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);”
) und Art. 32 (Sicherheit der Verarbeitung) der DS-GVO verstoßen hat.

Erschwerend kam in diesem Fall hinzu, dass es sich bei den betroffenen Personen vor allem um Kinder handelt. Diese genießen in der DS-GVO einen besonderen Schutzstatus. Außerdem war der Schulträger mehrfach auf die unzureichenden Sicherheitsmaßnahmen hingewiesen worden, auch von der Aufsichtsbehörde. In Orientierung an Art. 83 DS-GVO wurde dann eine Strafe verhängt, die nach Ansicht der Aufsichtsbehörde der Sachlage angemessen, abschreckend und wirksam ist.

Könnte es einen solchen Fall in Deutschland geben?

Möglich wäre ein vergleichbarer Verstoß gegen die DS-GVO in Deutschland durchaus, wenngleich es auch definitiv Unterschiede gäbe. Dass personenbezogene Daten von Schülern und Lehrkräften in dem Maße wie im norwegischen Bergen beim Schulträger verarbeitet werden, ist in Deutschland nur im Rahmen einer Auftragsverarbeitung vorstellbar. Das heißt, die Schule als Verantwortlicher wäre hier in einem solchen Fall rechtlich mit in der Verantwortung. Eine Schule wird sich natürlich auf den Schulträger verlassen und im Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO wird auch festgelegt, dass der Auftragnehmer entsprechend Abs. 3 lit. c “alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;“. Ein Vertrag ist die eine Sache. Rechtlich gesehen muss der Verantwortliche auch sicher sein, dass der Auftragnehmer die Bedingungen erfüllt. Wie sich dieses bei der Verhängung eines Bußgeldes bei einem ähnlichen Fall in Deutschland auswirken würde, bliebe abzuwarten, da es vergleichbare Fälle bisher vermutlich nicht gibt.

Der zweite Unterschied zum norwegischen Fall ist die Verhängung des Bußgeldes2Siehe auch Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen. In Deutschland würde das Bußgeld gegen Personen verhängt und nicht gegen den Schulträger. Da letzteres nur ein Umschichten von Steuergeldern bewirken würde, werden gegen öffentliche Stellen in Deutschland keine Bußgelder verhängt. Wen genau es in Deutschland treffen würde, lässt sich schwer sagen. Wäre es der Bürgermeister oder ein IT Verantwortlicher?

Fazit für Schulen in Deutschland

Wenn man als Schule aus dem Fall eines lernen kann, dann dass die Sicherheit bei der Verarbeitung von personenbezogenen Daten durch entsprechende Maßnahmen höchste Priorität haben sollte. Wer hier nachlässig handelt, setzt eventuell die Rechte und Freiheit von Schülern und Lehrkräften einem unnötigen Risiko aus und riskiert dafür eine Geldbuße und weitergehende rechtliche Konsequenzen.

Quelle: Administrative fine of 170.000 € imposed on Bergen Municipality, Datatilsynet, 12.04.2019

Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen

Lesezeit: 3 Minuten

Im Zusammenhang mit dem Datenschutz kommt bei Schulleitungen immer wieder die Frage auf, ob gegen eine Schule von der Aufsichtsbehörde des Landes eine Geldbuße verhängt werden kann, wenn es zu einem Verstoß gegen eine datenschutzrechtliche Vorgabe kommt, sei es das die Datenschutzerklärung der Schulhomepage unzureichend ist oder es einen Datenschutzvorfall gegeben hat.

Gegen Schulen in öffentlicher Trägerschaft werden von den Aufsichtsbehörden in Nordrhein-Westfalen wie auch in anderen Bundesländern keine Bußgelder verhängt.

Aber so einfach ist es mit der Antwort leider doch nicht. Die Thematik ist vielschichtig, denn es geht nicht nur um die Schule als öffentliche Stelle, sondern auch die Personen, welche in einer Schule tätig sind. Wenn es in einer Schule zu einem Verstoß gegen das Datenschutzrecht kommt, muss man auf drei Ebenen schauen. Beim Datenschutzrecht greifen in Bezug auf Sanktionen das jeweilige Landesdatenschutzgesetz und auch die Datenschutz-Grundverordnung (DS-GVO).

Ganz wichtig! Bei allen folgenden Betrachtungen geht es ausschließlich um Schulen in öffentlicher Trägerschaft. Schulen in privater Trägerschaft, Ersatzschulen, unterliegen zumindest in Teilen anderen Rechtsvorschriften.

Im Folgenden geht es vor allem um rechtliche Folgen aus dem Datenschutz- und Zivilrecht.

Rechtliche Einordnung von Schulen in öffentlicher Trägerschaft

In Bezug auf die Verarbeitung von personenbezogenen Daten gilt eine Schule in öffentlicher Trägerschaft als öffentliche Stelle.

§ 5
Anwendungsbereich
(1)
Teil 2 dieses Gesetzes gilt für die Verarbeitung personenbezogener Daten durch die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform (öffentliche Stellen). Unbeschadet der Regelung des Satzes 1 gelten Schulen der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als öffentliche Stellen im Sinne dieses Gesetzes.” 1§5 Absatz 1 Satz 2 DSG NRW

Befugnisse der Aufsichtsbehörde gegenüber Schulen in öffentlicher Trägerschaft

Sie darf kontrollieren und dabei auch personenbezogene Daten einsehen. Im Falle von Verstößen gegen die auf Schulen anwendbaren Gesetze zum Datenschutz kann die Aufsichtsbehörde dieses beanstanden und eine Gelegenheit zur Stellungnahme geben. Außerdem hat sie die Möglichkeit, noch bevor sie eine Gelegenheit zur Stellungnahme gibt, zu bestimmten Maßnahmen zu greifen, die in Artikels 58 Absatz 2 Buchstabe b bis g, i und j der DS-GVO beschrieben sind.

§ 28
Befugnisse
(1) Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit ist befugt, personenbezogene Daten, die ihr oder ihm durch Beschwerden, Anfragen, Hinweise und Beratungswünsche bekannt werden, zu verarbeiten, soweit dies zur Erfüllung ihrer oder seiner Aufgaben erforderlich ist. Sie oder er darf im Rahmen von Kontrollmaßnahmen personenbezogene Daten auch ohne Kenntnis der betroffenen Person erheben. Von einer Benachrichtigung der betroffenen Person kann nach pflichtgemäßem Ermessen abgesehen werden.

(2) Kommt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

– bei der Landesverwaltung der zuständigen obersten Landesbehörde, beim
Landesrechnungshof der Präsidentin oder dem Präsidenten,
– bei der Kommunalverwaltung der jeweils verantwortlichen Gemeinde oder dem
verantwortlichen Gemeindeverband,
– bei den wissenschaftlichen Hochschulen und Fachhochschulen der
Hochschulpräsidentin oder dem Hochschulpräsidenten oder der Rektorin oder
dem Rektor, bei öffentlichen Schulen der Leitung der Schule oder
– bei den sonstigen Körperschaften, Anstalten und Stiftungen des öffentlichen
Rechts dem Vorstand oder dem sonst vertretungsberechtigten Organ

beanstanden und kann vor Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den Fällen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde. Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht.

(3) Die Stellungnahme nach Absatz 2 Satz 1 soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die in Absatz 2 Nummer 2 bis 4 genannten Stellen leiten der zuständigen Rechts- oder Fachaufsichtsbehörde eine Abschrift ihrer Stellungnahme an die oder den Landesbeauftragten für Datenschutz und Informationsfreiheit unverzüglich zu. 2DSG NRW (neu)

Die Befugnisse geben der Aufsichtsbehörde die Möglichkeit, eine Reihe von unmittelbaren Maßnahmen (Warnung, Verwarnung (Beanstandung), Anweisung, Verbot der Verarbeitung)  in Bezug auf die Verarbeitung von personenbezogenen Daten anzuordnen. Wird die Schule zu einer Stellungnahme aufgefordert, muss sie diese auch in Kopie an die zuständige Fachaufsichtsbehörde übermitteln. Das ist im Fall einer Schule in NRW dann die zuständige Bezirksregierung.

Art. 58 DSGVO
Befugnisse
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.3https://dsgvo-gesetz.de/art-58-dsgvo/ 4Die ausgegrauten Buchstaben a und h kommen laut §28 DSG NRW hier nicht in Frage.

Hier taucht jetzt auch die Geldbuße auf. Allerdings sind Schulen davon ausgenommen.

Ausnahme Schulen in öffentlicher Trägerschaft

§ 32
Geldbußen
Geldbußen nach Artikel 83 der Verordnung (EU) 2016/679 dürfen nur gegen öffentliche Stellen im Sinne des § 5 Absatz 5 Nummer 1 bis 4 verhängt werden. 5DSG NRW (neu)

Da Schulen, wie oben dargestellt, unter §5 Absatz 1 Satz 2 DSG NRW fallen und nicht unter die in § 5 Absatz 5 Nummer 1 bis 4 genannten öffentlichen Stellen, ist §58 Abs. 2 lit. i DS-GVO auf Schulen in öffentlicher Trägerschaft nicht anwendbar.

Strafen und Geldbußen gegen Personen

Auch wenn gegen eine Schule als öffentliche Stelle keine Geldbuße verhängt werden kann, sind damit nicht gleichzeitig die Personen in der Schule von rechtlichen Sanktionen ausgenommen. Personen in der Schule, die Schulleitung, Lehrkräfte oder andere Mitarbeiter, können durchaus bestraft oder mit einer Geldbuße belegt werden, wenn bestimmte Bedingungen zutreffen.

§ 34
Straftaten
(1) Wer in Ausübung seiner Tätigkeit für eine öffentliche Stelle einen der in § 33 Absatz 1 genannten Verstöße gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.

(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter sowie die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit.6 DSG NRW (neu)

§34 geht von vorsätzlichem Handeln aus.7§ 34 Abs. 1 DSG NRW spricht von sogenannten “Vorsatztaten“. “Allerdings genügt zur Verwirklichung auch der sogenannte bedingte Vorsatz genügt, d.h., wenn jemand “sehenden Auges” die Schädigung des anderen billigend in Kauf nimmt, dann ist das Vorsatzmerkmal hier auch erfüllt…” Aber selbst wenn ein Vorsatz vorliegt, wird die Aufsichtsbehörde die Tat nur verfolgen, wenn eine betroffene Person, der Verantwortliche, der Auftragsverarbeiter oder der LfDI einen Antrag dazu stellt.

Mögliche Verstöße

§ 33
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer entgegen den Vorschriften der Verordnung (EU) 2016/6798Meint die DS-GVO, dieses Gesetzes oder einer anderen Rechtsvorschrift des Landes Nordrhein-Westfalen9Dazu gehört auch das SchulG NRW geschützte personenbezogene Daten, die nicht offenkundig sind,

1) erhebt, speichert, verwendet, verändert, übermittelt, weitergibt, zum Abruf bereit hält, den Personenbezug herstellt oder löscht oder
2) abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlasst.

Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.10DSG NRW (neu)

Dieser Teil des DSG NRW beschreibt mögliche Verstöße gegen das Datenschutzrecht sehr genau. Alles das ist in Schule für die Akteure dort möglich.

(Zivilrechtlicher) Schadensersatz, Art. 82 DS-GVO

Art. 82
DSGVO

(1) Jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.11https://dsgvo-gesetz.de/art-82-dsgvo/

Die DS-GVO eröffnet in Art. 82 auch die Möglichkeit für Betroffene eines Verstoßes gegen die datenschutzrechtlichen Vorgaben zu einer zivilrechtlichen Klage. Hierbei ist unerheblich, ob ein Vorsatz vorliegt oder einfach nur Fahrlässigkeit. Ausgenommen ist von dieser Regelung der behördlich bestellte Datenschutzbeauftragte, da sich Art. 82 nur gegen Verantwortliche oder den Auftragsverarbeiter wendet.

(Zivilrechtlicher) Schadensersatz gem. BGB

§§ 823 ff. BGB (informationelles Selbstbestimmungsrecht =„sonstiges Recht“ i.S.v. „ 823 Abs.1 BGB) gegen Verantwortlichen, Auftragsverarbeiter und DSB12Folien zu einem Vortrag des LfDI BaWü für Kommunen

Das BGB eröffnet für Betroffene eine Klagemöglichkeit auf zivilrechtlicher Ebene, die auch den behördlich bestellten Datenschutzbeauftragten einschließt.

§823
Schadensersatzpflicht

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.13https://dejure.org/gesetze/BGB/823.html

Es geht dabei um Schadenersatz durch den Verursacher. Die Rechtsfolgen bei einer Verletzung des Allgemeine Persönlichkeitsrechts14Siehe auch https://www.juraindividuell.de/pruefungsschemata/allgemeines-persoenlichkeitsrecht/, welches die Grundlage des Datenschutzrechts ist, sind ebenfalls im BGB geregelt.

VI. RECHTSFOLGE: SCHADENSERSATZ, §§ 249 FF. BGB
Bei der Verletzung des allgemeinen Persönlichkeitsrechts kommen als Rechtsfolge in Betracht Ansprüche auf:
– Unterlassung, Beseitigung und Gegendarstellung
– Geldentschädigung für immaterielle Schäden
– Schadensersatz bei Beeinträchtigung vermögenswerter Interessen15Schadenersatz gemäß § 823 I BGB

Unbelassen davon können für Personen in der Schule, welche gegen das Datenschutzrecht verstoßen, auch noch dienstrechtliche Konsequenzen folgen. Auf diese soll hier nicht weiter eingegangen werden.

Fazit

Von Seiten der Aufsichtsbehörden werden keine Geldbußen gegenüber Schulen in öffentlicher Trägerschaft verhängt.

Die Aufsichtsbehörde kann jedoch Freiheitsstrafen und Geldbußen gegenüber Personen verhängen, die für die Schule tätig sind, wenn ein Vorsatz vorliegt und die Tat auf Antrag verfolgt wird.

Für Betroffene ist es darüber hinaus möglich, einzelne Personen in der Schule zivilrechtlich zu belangen. Dazu kann die betroffene Person sich auf Art. 82 DS-GVO berufen und auf §§ 823 ff. BGB. Dabei ist es auch unerheblich, ob der Verstoß gegen das Recht auf informationelle Selbstbestimmung gegenüber der betroffenen Person auf Vorsatz oder Fahrlässigkeit beruht.

In den meisten Fällen wird auch die schulfachliche Aufsicht Kenntnis von einem Datenschutzvorfall erhalten, wenn dieser durch die Aufsichtsbehörde verfolgt wird. Dieses kann zusätzliche dienstrechtliche Konsequenzen nach sich ziehen.