Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DS-GVO) unmittelbar und in sämtlichen Mitgliedsstatten der Europäischen Union. Das derzeit bestehende Datenschutzrecht soll damit harmonisiert und durch einen einheitlichen europäischen Rechtsrahmen ersetzt werden. Allerdings enthält die DS-GVO auch eine Vielzahl von Öffnungsklauseln, die dem nationalen Gesetzgeber einen bestimmten Spielraum hinsichtlich der Umsetzung der Vorschrift einräumen.
Das Schulgesetz wird im Rahmen eines Anpassungsgesetzes nur dahingehend geändert, als der Anwendungsvorbehalt für die Übermittlung personenbezogener Daten an mit der externen Evaluierung Beauftragte wegfällt.
Das Hessische Datenschutzgesetz wird neu gefasst und um die Informationsfreiheit ergänzt. Die seit dem Jahr 2009 bestehende Verordnung zur Verarbeitung personenbezogener Daten in Schulen wird derzeit ebenfalls überarbeitet. Das Datenschutzrecht im schulischen Bereich steht also vor einer umfassenden Neustrukturierung.
Um den Vorgaben der DS-GVO zu entsprechen, müssen die Schulen in Hessen als öffentliche Stellen bestehende Strukturen und Prozesse zeitnah anpassen und fortentwickeln.
Wesentliche Veränderungen sind nachfolgend zusammengefasst:
- Erweitert wird der Umfang der Informations- und Auskunftspflichten gegenüber Schülern und Eltern (Art. 13-15 DS-GVO). Gem. Art. 12 Abs. 1 DS-GVO sind die Betroffenen (also hier: Eltern und Schüler) in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ über die Verarbeitung ihrer personenbezogenen Daten zu unterrichten.
- Auch die sonstigen Rechte der Betroffenen werden gegenüber dem bisherigen Recht erweitert. Neu ist u.a. das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).
- Die DS-GVO sieht erweiterte Dokumentations- und Nachweispflichten vor. Dies betrifft u.a. den Nachweis der Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 2 DS-GVO), die erforderlichen technischen und organisatorischen Maßnahmen (Art. 24 DS-GVO) und den Einsatz geeigneter Auftragsverarbeiter (Art. 28 DS-GVO). Weitere Dokumentationspflichten ergeben sich aus Art. 30 DS-GVO (Führung eines Verarbeitungsverzeichnisses) und Art. 33 DS-GVO (Dokumentation von Datenschutzvorfällen.
- Hat eine Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der Schüler und Eltern, so muss die Schule künftig eine Datenschutz-Folgeabschätzung (Art. 35 DS-GVO) durchführen. Die Datenschutz-Folgeabschätzung ersetzt das Instrument der Vorabkontrolle, die bislang in § 7 Hessisches Datenschutzgesetz geregelt war. Diese ist vom Verantwortlichen zu erstellen; der oder die Datenschutzbeauftragte hat hier nur noch eine beratende Funktion. Im Rahmen der Datenschutz-Folgeabschätzung sind u.a. die Eintrittswahrscheinlichkeit und die Schwere der möglichen Risiken zu bewerten und Maßnahmen zur Eingrenzung der Risiken zu prüfen. Soweit erforderlich, muss die Schule zuvor die Aufsichtsbehörde konsultieren (Art. 36 DS-GVO).
- Art. 25 DS-GVO regelt die Grundsätze des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen“. Demnach hat die Schule ihre IT-Systeme so auszugestalten, dass die Grundsätze des Art. 5 Abs. 1 DS-GVO (Grundsätze der Verarbeitung personenbezogener Daten) wirksam umgesetzt werden. Dies gilt insbesondere für das Gebot der Datenminimierung. Danach dürfen nur so viele Daten erhoben werden, wie zur Erfüllung des Zwecks benötigt sind. Zudem müssen IT-Systeme so voreingestellt werden, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden.
- Das Instrument der Auftragsdatenverarbeitung bleibt (Art. 28 DS-GVO). Allerdings ändert sich die Rolle des Auftragsverarbeiters hinsichtlich einer möglichen eigenen Haftung und Bußgeldpflicht. Bestehende Verträge sollten möglichst zeitnah auf einen durch die DS-GVO ausgelösten Anpassungsbedarf überprüft werden.
- Zudem wird durch Art. 82 DS-GVO die zivilrechtliche Haftung bei Datenschutzverstößen auch auf den Ersatz immaterieller Schäden erweitert.
- Erstmals wird auch für öffentliche Stellen eine Melde- und Benachrichtigungspflicht eingeführt (Art. 33 ff DS-GVO).
- Die Pflicht zu Bestellung einer oder eines Datenschutzbeauftragten sowie eines Vertreters bleibt für öffentliche Stellen und damit auch die Schulen zwingend erhalten (Art. 37 Abs. 1 DS-GVO). Dennoch ändert sich deren Rolle innerhalb der Schule: Während ihnen nach bisherigem Recht eine primär beratende und unterstützende Funktion im Hinblick auf die Einhaltung des Datenschutzes zukam, sieht Art. 39 Abs. 1 DS-GVO umfassende Pflichten zur Überwachung vor. Die eigentliche Umset-zungspflicht der datenschutzrechtlichen Vorgaben liegt jedoch nach wie vor bei der Schulleitung, welche einzelne Aufgaben delegieren kann.
Stand: 31.01.2018