Die Grafik für einen Überblick anklicken und vergrößern.
Ein Auskunftsersuchen nach Art. 15 DS-GVO geht ein
Der überwiegende Teil der Anfragen dürfte an Schulen per E-Mail eingehen. Möglich sind Auskunftsersuchen auch in Briefform, per Fax, telefonisch oder in mündlicher Form.
- Der Eingang der Anfrage sollte zunächst bestätigt werden, dass die betroffene Person weiß, ihr Anliegen wird bearbeitet.
Prüfung der Anfrage
Auskunftsanfragen können Schülern kommen, welche die Schule noch besuchen, die sie gerade erst verlassen haben oder aber sie vielleicht schon vor mehr als 20 Jahren verlassen haben. Auch Lehrkräfte können anfragen, aktive oder ehemalige. Im Folgenden geht es vor allem um Schüler.
- Werden oder wurden vom Betroffenen überhaupt personenbezogene Daten verarbeitet?
- Bei großen Systemen kann eine Prüfung länger dauern, je danach, in welcher Form und wo die Daten gespeichert bzw. archiviert sind.
- Kann die anfragende Person ohne Zweifel identifiziert werden?
- Die Schule sollte hier sicherstellen, dass es sich tatsächlich um die anfragende Person handelt, um zu vermeiden, personenbezogene Daten unrechtmäßig an eine andere Person weiterzugeben.
- Hat man die Person im System lokalisiert, kann man beispielsweise nach Informationen fragen, welche nur diese Person wissen kann, etwa wer Klassenlehrer war oder wie die Adresse in der Schulzeit lautete oder (am Gymnasium) welches die Abiturfächer waren.1Um eine Ausweiskopie sollte man nur in absoluten Ausnahmefällen bitten. “Die Niederländische Aufsichtsbehörde äußert sich in TV-Interview: Für eine Auskunft nach Art. 15 #DSGVO darf vom Verantwortlichen keine Ausweiskopie angefordert werden.” Twitter 17.01.2019 Eine Verifizierung kann je nach Fall auch mittels postalischer Adresse erfolgen, an welche ein Brief geschickt wird mit einer Bitte um Antwort.
- Kann die Frist von einem Monat für die Beantwortung der Anfrage eingehalten werden?
- In der Regel sollte es kein Problem sein, eine Anfrage innerhalb von vier Wochen zu bearbeiten. Hat man jedoch viele Anfragen auf einmal oder ist gerade mit gehäufter Verwaltungsarbeit belegt, z.B. Zeugniserstellung oder Anmeldephase, dann reicht ein Monat vielleicht nicht.
- Falls die Frist nicht zu halten ist, muss der Betroffene informiert werden und eine Begründung für die Verzögerung erhalten.
- Hat der Betroffene bereits exzessiv von seinem Auskunftsrecht Gebrauch gemacht und sehr häufige Anfragen gestellt?
- In solch einem Fall kann eine Auskunft abgelehnt werden.
- Hat der Betroffene schon wiederholt Anfragen gestellt, auch wenn keine Veränderungen bei den verarbeiteten personenbezogenen Daten zu erwarten war?
- Bei Schülern, die von der Schule abgegangen sind, ändert sich im Laufe der Jahre entsprechend der Aufbewahrungs- und Löschfristen wenig am Datenbestand der Schule. Das sollte jedem Betroffenen nach der ersten Anfrage mit Auskunft über Aufbewahrungs- und Löschfristen klar sein. Fragt hier ein Betroffener trotzdem wiederholt an, kann eine Auskunft wegen Unbegründetheit abgelehnt werden.
Zusammenstellung der Informationen und Daten für die Antwort
Falls nicht ganz gezielt nach bestimmten Informationen gefragt wird2Art. 15 DS-GVO lässt hier viel Raum, was die Inhalte einer Anfrage angeht: “so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten”. Die betroffene Person hat ein grundsätzliches Auskunfsrecht und zusätzlich noch ein Recht auf Auskunft über die unten aufgelisteten Informationen., besteht die Antwort überlicherweise aus zwei Teilen. Diese ergeben sich aus den Vorgaben in Art. 15 DS-GVO.
- Information über die verarbeiteten Daten
- Rohkopie der verarbeiteten Daten
Informationen über verarbeitete Daten
Nach den Vorgaben der DS-GVO ergeben sich Angaben zu neun Bereichen, die zu machen sind. Alle lassen sich für Schüler aus der VO-DV I und für Lehrkräfte aus der VO-DV II ableiten, müssen aber auf die jeweilige Schule und individuelle Laufbahn/Person des Betroffenen angepasst werden.3Für eine sehr ausführliche Erklärung siehe AUSKUNFTSRECHT ART. 15 DSGVO UND SCHULE – AUSFÜHRLICH ERKLÄRT
- Verarbeitungszwecke
- Kategorien von verarbeiteten personenbezogenen Daten
- Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten bezüglich denen die Daten der Betroffenen offengelegt wurden bzw. noch werden
- Aufbewahrung- und Löschfristen
- Aufklärung über Betroffenenrechte, soweit sie auf die vorliegenden personenbezogenen Daten anwendbar sind (Widerspruch, Löschung, Berichtigung, Einschränkung der Verarbeitung)
- Hinweis auf Beschwerderecht bei der Aufsichtsbehörde
- Herkunft von Daten, sofern sie nicht direkt beim Betroffenen oder (bei Schülern) den Erziehungsberechtigten erhoben wurden.
- Falls es eine einer automatisierte Entscheidungsfindung gab bezüglich des Betroffenen, was bei Schulen in der Regel nicht der Fall ist, Informationen über die Logik dahinter und die Tragweite der Entscheidungen
- Falls personenbezogene Daten an ein unsicheres Drittland oder an eine internationale Organisation übermittelt werden oder wurden, was bei Schulen in der Regel nicht zutrifft, Informationen über Sicherheitsgarantien
Wer als Schule bereits ein Informationsschreiben nach Art. 13 DS-GVO zur Information der Betroffenen bei der Erhebung von Daten im Rahmen der Anmeldung an der Schule erstellt hat, kann sich leicht an diesem orientieren, um zu den obigen neun Punkten Auskunft zu erteilen. Eine Vorlage für ein solches Informationsschreiben findet sich unter Informationen Schule (NRW) zum Download. Anpassungen sind erforderlich, was die jeweilige Schulform angeht, da es hier Besonderheiten bezüglich der verarbeiteten Daten geben kann. Dies betrifft auch die Empfänger bzw. Kategorien von Empfängern von personenbezogenen Daten. Ein Teil ist durch schulrechtliche Vorgaben gesetzt. Je nach Stand der Dokumentation muss man sich hier eventuell mit allgemeinen Angaben begnügen und dieses entsprechend begründen. Teilweise trifft dieses auch auf die Herkunft von Daten zu. Die Punkte 8 und 9 treffen auf Schulen in der Regel nicht zu und werden entsprechend mit einer negativen Auskunft versehen.
Rohkopie der verarbeiteten Daten
Der Punkt, welcher Schulen einige Arbeit verursachen kann, ist die Rohkopie der verarbeiteten Daten. Die betroffene Person hat ein Anrecht auf eine digitale Kopie der Daten, wenn die Anfrage in digitaler Form gestellt wurde oder die Person ausdrücklich darum bittet. Analog vorliegende Daten müssen dann möglicherweise digitalisiert werden, etwa als PDF Kopie4Es gibt keine Vorgaben, dass diese PDF Kopie unbedingt maschinenlesbar sein müsste.. Wichtig ist, dass durch eine Kopie keine personenbezogenen Daten Dritter mit weitergegeben werden. Diese müssen entsprechend unkenntlich gemacht werden.
- Bei Schülern, die schon vor sehr langer Zeit aus der Schule entlassen wurden, gibt es oft nicht mehr als Kopien alter Zeugnisse und eventuell noch Abiturarbeiten. Aufgrund der Löschfristen nach VO-DV I sind die meisten Unterlagen mit personenbezogenen Daten entweder vernichtet oder eventuell an ein Archiv übergeben worden.5Falls dieses zutreffend ist, muss unter Punkt 3 ein entsprechender Hinweis gegeben werden, denn das Archiv ist dann ein Empfänger. Rechtliche Grundlage für die Weitergabe ist VO-DV I. Von Daten, die dem Archiv übergeben wurden, muss die Schule keine Rohkopie liefern.
- Bei Schülern, deren Schulzeit noch nicht lange in der Vergangenheit liegt, könnten noch Schülerstammblätter vorliegen, von denen dann eine (digitale) Kopie anzufertigen ist. Gleiches gilt für Zeugnisse und sonstige Unterlagen (z.B. Krankmeldungen, Protokolle von Teilkonferenzen, Mitteilungen von Ordnungsmaßnahmen, andere Mitteilungen, Versäumnisanzeigen, …).6Es ist übrigens nicht zulässig, Unterlagen einfach zu vernichten, damit man sie nicht bei einer Auskunftsanfrage als Rohkopie bereitstellen muss.
- Für den Fall, dass noch Daten im Schulverwaltungsprogramm oder einer Sicherung vorliegen, müssen diese Daten in einem gängigen Format exportiert werden. Das kann eine CSV oder TXT Datei sein.
- Erfolgt die Anfrage in den ersten 5 Jahren nach Verlassen der Schule, liegen eventuell auch noch Unterlagen zu sonderpädagogischem Förderbedarf, Gutachten und ähnliche vor. Auch hier sind (digitale) Kopien anzufertigen.
- Zu berücksichtigen ist eventuell auch die Schulhomepage, falls dort personenbezogene Daten der betroffenen Person veröffentlicht wurden. Gleiches gilt für eine Schulchronik.
- Bei Lehrkräften, Lehramtsanwärtern und Praktikanten fallen in der Regel nicht so viele Daten an wie bei Schülern.7Siehe hierzu VO-DV II. Zusätzlich sind die Aufbewahrungs- und Löschfristen insgesamt deutlich kürzer. Nach 5 Jahren spätestens sind an einer Schule keine Daten mehr vorhanden, abgesehen von der Schulchronik und vielleicht auf einer Schulhomepage.8Letzteres, falls hier eine entsprechende Einwilligung eingeholt wurde. Personenbezogene Daten können je nach Auskunftssituation in der Schulverwaltungssoftware vorliegen, in der Akte der Schulleitung, in Form von Textdateien und ähnlich. Auch Stundenpläne stellen personenbezogene Daten dar.
Beantwortung der Anfrage
Sobald alle Informationen zusammengestellt sind und die Rohkopie vollständig ist, wird dem Betroffenen die Anfrage beantwortet. Die Anfrage bestimmt das Format der Antwort. Oberstes Gebot bei der Übermittlung der Auskunft, wenn diese eine Rohkopie einschließt, ist die Sicherheit! Die personenbezogenen Daten des Betroffenen dürfen nicht in fremde Hände gelangen. Dieses zu gewährleisten, ist unter Umständen umständlich. Eine Schule, welche die Daten ungeschützt übermittelt, verstößt gegen die datenschutzrechtlichen Vorgaben und riskiert rechtliche Folgen.
Wie kann man die Auskunft übermitteln?
Analog, ausgedruckt, per Brief
Wurde die Anfrage per Brief gestellt und es wurde kein Wunsch auf eine digitale Antwort geäußert, kann man die Antwort durchaus in analoger Form bereitstellen. In der Mehrheit der Fälle kann man von einem digitalen Format ausgehen.
Analog und digital mit Brief und CD/DVD
Ist keine der komplett digitalen, unten beschriebenen, Lösungen möglich, kann man die Daten auf eine CD oder DVD packen, welche man per Brief versendet. Zur Sicherheit sollten die Daten in eine mit Passwort geschützte ZIP Datei gepackt werden, bevor man sie auf dem Datenträger speichert. Das Passwort fragt der Betroffene dann telefonisch ab.9Eigentlich sollte auch eine CD/DVD im Brief recht sicher sein. Druckt man die Daten aus, sind sie nicht geschützt, falls der Brief abhanden kommt. Ob man also die Daten vor dem Brennen auf den Datenträger in eine ZIP Datei packt und diese mit Passwort schützt, muss man für sich entscheiden. Bei digitalen Daten gelten jedoch schon etwas andere Maßstäbe, da das digitale Format je nach Inhalten ein größeres Missbrauchspotential bietet.
Per verschlüsseltem E-Mail
Da es bei der Auskunft um personenbezogene Daten geht, können diese nicht einfach per E-Mail versandt werden, wenn die anfragende Person keinen öffentlichen Schlüssel zur Verschlüsselung des E-Mails angegeben hat oder die Schule nicht das technische Wissen hat, um E-Mails zu verschlüsseln.10Sollte die Anfragende Person darum bitten, die Daten auch unverschlüsselt per E-Mail zu senden, sollte sich die Schule auf keinen Fall darauf einlassen. Im Zweifelsfall muss die Schule sich für den Fehler verantworten. 11Auch vom Versand der Daten in Form einer gezippten und mit Passwort geschützten Datei ist abzuraten, wenn das E-Mail selbst nicht verschlüsselt ist.
Download in geschütztem Verzeichnis anbieten
Sollte eine Schule die Möglichkeit haben, ein geschütztes Verzeichnis12Für so etwas sollte man Logineo NRW nutzen können. Von der Nutzung von Cloud Diensten wie DropBox, Google Drive, OneDrive und ähnlich ist dringend abzuraten, da man damit in der Regel gegen datenschutzrechtliche Vorgaben verstößt. Hat man es mit einem datenschutzrechtlich einigermaßen versierten Anfragenden zu tun, endet so etwas dann leicht vor Gericht mit einer Schadensersatzklage. über einen Link anzubieten, so kann sie die Daten dort hinterlegen und der anfragenden Person einen passwortgeschützten Link zum Verzeichnis senden. Das Passwort kann dann durch den Betroffenen an der Schule telefonisch erfragt werden.
Dokumentation
Nach abschließender Beantwortung der Auskunftsanfrage, egal ob es sich um eine Negativantwort handelt oder um eine Auskunft mit Übermittlung von Informationen über die verarbeiteten personenbezogenen Daten und eine Rohkopie, sollte man die Bearbeitung der Anfrage dokumentieren. Damit kann man bei zukünftigen Anfragen durch die gleiche Person entsprechend reagieren.