Datenschutz an Schulen: Fünf häufige Missverständnisse und die Faktenlage
Der sensible Umgang mit Daten an Schulen wird immer komplexer: Wer trägt die finale Verantwortung für den Datenschutz? Was genau gehört zum Zuständigkeitsbereich von Datenschutzbeauftragten? Wie und wo können sich die Zuständigen weiterbilden? Und was muss bei der Implementierung neuer Geräte oder Programme beachtet werden? Ein Überblick.

1. Fakt: Die Schulleitung haftet für alle Datenschutzfragen
   Entgegen häufiger Aussagen wird die Schulleitung nicht durch den Schulträger von der Haftung für den Datenschutz entbunden. Es ist also weder eine Kommune, noch die Bezirksregierung, das Kultusministerium oder ein privater Schulträger zuständig, sondern allein die Schulleitung. Sie muss alle Datenschutz-Anforderungen, also die EU-DSGVO oder die entsprechenden Regelungen in den landesspezifischen Schulgesetzen, einhalten, kontrollieren und die Kontrolle nachweisen können (vgl. EU-DSGVO, Artikel 5, Absatz 2). Beraten werden soll sie dabei vom/von der Datenschutzbeauftragten der Schule.
2. Fakt: Der Job des/der Datenschutzbeauftragten erfordert immenses Fachwissen
   Die Ernennung eines/einer Datenschutzbeauftragten ist an Schulen Pflicht. Er oder sie kann entweder aus den Reihen des Kollegiums stammen und diese Rolle für die eigene Schule übernehmen, oder aber eine Stadt/Kommune beschäftigt eine abgeordnete Lehrkraft, die für alle Schulen der Stadt/Kommune die Rolle des/der Datenschutzbeauftragten übernimmt. Unverzichtbar für diese Tätigkeit ist sowohl eine fundierte Kenntnis der internen Abläufe an Schulen als auch technisches Know-how sowie juristisches Wissen, um rechtssicher handeln zu können.
3. Fakt: Software ist nur so sicher wie ihre Handhabung
   Häufig versehen Software-Hersteller ihre Produkte mit Hinweisen wie: „Unsere Software ist DSGVO-konform“ oder „Dieses Programm ist datenschutzkonform“. Hierbei handelt es sich genau genommen um eine Vortäuschung falscher Tatsachen. Denn ein Programm an sich ist nur so sicher wie das schwächste Glied in seiner Handhabungskette. So muss der Schule beispielsweise eine Vereinbarung zur Auftragsverarbeitung mit externen Dienstleistern vorliegen, mit der die Schule gewährleistet, dass nach außen gegebene Daten z.B. von Schüler*innen auch von der empfangenden Stelle datenschutzrechtlich einwandfrei behandelt werden.
4. Fakt: Datenschutz duldet keinen Aufschub
   Auch extrem aufwendige datenschutzrechtliche Maßnahmen, wie zum Beispiel das initiale Erstellen eines sogenannten Verzeichnisses von Verarbeitungstätigkeiten (hält fest, welche Daten an der Schule zu welchem Zweck, in welchem Umfang, in welchem Zeitraum an wen, von wem und wodurch übermittelt werden) muss von der Schule ohne Aufschub angefertigt werden – ohne Rücksicht auf eventuelle personelle Engpässe. Somit kommt Datenschutz nicht erst bei zunehmendem Digitalisierungsgrad zum Tragen, sondern bereits in der alltäglichen schulischen Verwaltung.
5. Fakt: „Serverstandort Deutschland“ garantiert nicht automatisch sicheren Datenschutz
   Häufig werben Software-Anbieter mit Zusätzen wie „Serverstandort Deutschland“ oder „DSGVO-sicheres Rechenzentrum“. Doch weder Serverstandort noch Art der Software garantieren für sich genommen Datenschutz. Vielmehr ist Datenschutz die Gesamtheit aller Prozesse, die personenbezogene Daten erheben und verarbeiten.
   Die hier erwähnten juristischen Hinweise sind allgemeiner Art, nach bestem Wissen und Gewissen verfasst, erheben aber keinen Anspruch auf Vollständigkeit und stellen keine Rechtsberatung dar. Konsultieren Sie für rechtssichere Informationen bitte einen Fachanwalt.