Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
25. Januar 2022

Datenschutz in Bildungseinrichtungen: ein Überblick

Datenschutz in Bildungseinrichtugen ist äußerst vielfältig
Bild: iStock.com / RainStar
4,60 (5)
drucken
Verzeichnis von Verarbeitungstätigkeiten
In Deutschland gibt es sehr viele Bildungseinrichtungen in vielen verschiedenen Formen und Größen. So komplex diese Strukturen sind, so vielfältig und verflochten sind die Ströme der personenbezogenen Daten, wie zwei Beispiele zeigen.

Die meisten Menschen kennen als Bildungseinrichtungen die Grundschulen, weiterführenden Schulen und Hochschulen. Daneben existiert ein bunter Strauß an weiteren Angeboten zur schulischen, beruflichen und persönlichen Bildung.

Kategorien von Bildungseinrichtungen in Deutschland

  • öffentliche Bildungseinrichtungen, z.B. Kindergärten, Schulen, Hochschulen
  • Einrichtungen des Tertiären Bildungsbereichs wie Berufsakademien und Fachschulen
  • Institutionen der Erwachsenenbildung, z.B. Volkshochschule
  • ergänzende öffentliche Institutionen mit einem indirekten Bildungsauftrag, wie Museen und Bibliotheken
  • freie Weiterbildungsanbieter, z.B. Weiterbildungsakademien, Fortbildungsträger
  • nicht öffentliche Bildungseinrichtungen, etwa Akademien von Parteien, Kirchen, Gewerkschaften, Sozialverbänden, Wirtschaftsverbänden oder Selbsthilfegruppen
  • privatwirtschaftliche Bildungseinrichtungen (kommerzielle Angebote in den Bereichen Aus-, Fort- oder Weiterbildung)

Keine Gesamtbetrachtung möglich

Wie man sich angesichts der unübersichtlichen Strukturen vorstellen kann, ist es bei der datenschutzrechtlichen Betrachtung nicht möglich, von der Bildungseinrichtung und dem Bildungsträger als solches zu sprechen.

Zu einer besonderen Herausforderung wird die Betrachtung dort, wo neben staatlichen Trägern und sozialen Trägerstrukturen (Stiftungen, Vereine, gGmbHs etc.) auch gewinnorientierte Unternehmen (GmbHs, AGs etc.) auftreten.

Grundsätzlich: DSGVO und BDSG

Grundsätzlich gilt jedoch für alle Organisationsformen zunächst wie immer: Der Datenschutz orientiert sich an den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

Er schützt den Einzelnen davor, dass er durch die Verarbeitung personenbezogener Daten in unzulässiger Weise in seinem Recht beeinträchtigt wird. Außerdem bestimmt jeder selbst über die Preisgabe und Verwendung seiner Daten (informationelles Selbstbestimmungsrecht).

Zusätzlich: diverse Landesgesetze

Im Bereich der schulischen Bildung ergänzen Landesgesetze die Regelungen von DSGVO und BDSG. Mitarbeitende in den verschiedenen Bildungseinrichtungen müssen neben den originären gesetzlichen Rahmenbedingungen somit ergänzende und z.T. komplexe Vorgaben berücksichtigen.

Betrachtet man anhand des Beispiels NRW die dort geltenden Vorgaben, so werden die datenschutzrechtlichen Rahmenbedingen zunächst in den Regelungen für öffentliche Einrichtungen im Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) beschrieben und darüber hinaus für den schulischen Anwendungsbereich in den §§ 120 bis 122 des Schulgesetzes NRW (SchulG NRW).

Das definiert für den Schüler bzw. die Schülerin, aber auch für die Lehrenden und die Eltern den rechtlichen Rahmen, wie sie mit personenbezogenen Daten umzugehen haben.

Die Regelungen in den Landes(datenschutz)gesetzen sind z.T. strenger als das allgemeine Datenschutzrecht und unterstützen die Persönlichkeitsrechte von Teilnehmern in Bildungseinrichtungen.

Listen, Karteien, Akten – macht das einen Unterschied?

Aus allen relevanten Gesetzen ergibt sich in der Regel, dass es bei der Umsetzung der datenschutzrechtlichen Vorschriften unerheblich ist, ob die personenbezogenen Daten in Listen, Karteien oder Akten erfasst bzw. elektronisch verarbeitet werden.

Die einzuhaltenden Regelungen beziehen sich klar und eindeutig auf die Verarbeitung von personenbezogenen Daten, die Art. 4 Nr. 1 DSGVO konkret definiert.

Wer ist „Verantwortlicher“?

Als Verantwortliche für die Umsetzung der Pflichten aus den verschiedenen Datenschutzgesetzen nimmt in unserem Beispiel die Landesregierung NRW die Schulleiterinnen und Schulleiter in die Pflicht. Sie haben die konkrete Verantwortung für den Schutz der personenbezogenen Daten und die Einhaltung der datenschutzrechtlichen Bestimmungen in der Schule.

Das ist bei vielen Organisationen und Bildungseinrichtungen aus nicht öffentlichen Institutionen in der Regel anders. Dort liegt die Verantwortung für den Datenschutz im Sinne der Vorschriften von Art. 4 Nr. 7 DSGVO bei der Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet – das ist häufig der/die Geschäftsführende bzw. der/die Vorsitzende.

Wie fließen die Datenströme?

So komplex wie die Strukturen im System der Bildungseinrichtungen, so komplex sind die Datenströme. Die Übersicht in der Abbildung ist nicht abschließend, da in jeder Region Deutschlands unterschiedliche weitere Akteure aktiv sein können. Das sind z.B. Anbieter von Berufsfelderkundungen, von Potenzialanalysen, von Integrationsfachdiensten etc.

Typische Akteure, die personenbezogene Daten in Bildungseinrichtungen verarbeiten

Diese Akteure treten üblicherweise auf und verarbeiten Daten zu den Kindern, Schülern, Teilnehmenden oder Lernenden

Beispiel Kita

Wer beispielhaft ein fünfjähriges Kind in der Kindertagesstätte (Kita) betrachtet, stellt in der Betreuung des Kindes und bei der Verarbeitung der gesammelten Informationen zu diesem Vorschulkind schnell folgende Datenströme fest:

  • Die Erzieher und Erzieherinnen dokumentieren regelmäßig die Entwicklung des Kindes z.B. im Rahmen von Entwicklungsberichten. Sie sind dazu verpflichtet, die Entwicklung des Kindes im täglichen Miteinander zu beurteilen, zu bewerten, zu dokumentieren und fortzuschreiben. Somit sind innerhalb der Kita umfassende personenbezogene Daten vorhanden, die zwischen den verschiedenen Mitarbeitenden abgestimmt und ausgetauscht werden. Die Datenspeicherung erfolgt entweder in klassischen Akten oder elektronisch. Das Kind sollte in der Regel über seine Daten informiert sein – es wird unterstellt, dass ein Kind dies mit fünf Jahren weitestgehend verstehen kann.
  • Nachvollziehbarerweise tauschen die Erzieher und Erzieherinnen die Entwicklungen des Kindes in der Regel mit den Eltern bzw. Erziehungsberechtigten aus. Das geschieht im Gespräch oder über schriftliche Berichte – eine entsprechende Verpflichtung formuliert z.B. das Kinderbildungsgesetz (KiBiz).
  • Weiterhin erhalten in der Regel die Kommunen zu einem Kita-Kind personenbezogene Daten, da sie für die Finanzierung und Aufsicht der Kita verantwortlich sind. Hierzu ist die Verarbeitung von umfassenden personenbezogenen Daten notwendig, sowohl von den Kita-Kindern selbst als auch von ihren Eltern/Erziehungsberechtigten.
  • Die Kita ist bei der Bewertung der Schultauglichkeit sehr konkret eingebunden und muss an dieser Stelle dem schulmedizinischen und schulpsychologischen Dienst umfassende Informationen zum Kind überlassen. Dabei geht es in der Regel um Daten besonderer Kategorien gemäß Art. 9 DSGVO.
  • Die Kita überlässt Entwicklungsdaten der anschließenden Grundschule, damit sie sich auf das Kind vorbereiten kann. Das Gesetz schreibt in der Regel die Einwilligung der Eltern/Erziehungsberechtigten hierzu vor.
  • Im Rahmen der Mittagsverpflegung kommunizieren Mitarbeitende der Kita mit der Kantine über Unverträglichkeiten und Abrechnungsdaten zu dem Kind, somit sehr konkret über personenbezogene Daten.

Diese sehr vereinfachte und nicht abschließende Aufstellung von Datenflüssen bei einem fünfjährigen Kind aus der Kita zeigt, an welchen Stellen Daten verarbeitet werden können, die personenbezogen sind, und welche Stellen diese Daten entsprechend den gesetzlichen Vorgaben behandeln müssen.

Die Kita ist, wie viele andere Unternehmen in Deutschland, dazu verpflichtet, zu den einzelnen Verarbeitungstätigkeiten ein Verzeichnis nach Art. 30 DSGVO zu führen. Die Dokumentation einer beispielhaften Verarbeitungstätigkeit könnte so aussehen:

Verarbeitungsübersicht für eine beispielhafte Verarbeitungstätigkeit in einer Kita

Verarbeitungsübersicht für eine beispielhafte Verarbeitungstätigkeit in einer Kita

Beispiel Erwachsenenbildung

Ein weiteres Beispiel veranschaulicht die Strukturen im Bereich der Erwachsenenbildung: Ein 19-jähriger junger Mann befindet sich in der überbetrieblichen Erstausbildungsmaßnahme eines Bildungsträgers, die von der Agentur für Arbeit gefördert wird.

Der junge Mann war zunächst bei der Agentur für Arbeit in Betreuung. Die Agentur hat viele verschiedene Daten gesammelt wie die kognitive Eignungsfeststellung über den psychologischen Dienst, die medizinische Eignungsfeststellung über den ärztlichen Dienst und Betreuungsdaten durch den Berufsberater sowie den Arbeitsvermittler.

Im Vorfeld zur eigentlichen Ausbildungsmaßnahme hat der Bildungsträger eine weitere Assessmentmaßnahme durchgeführt. Sie sollte die Eignung für das vorgesehene Bildungsziel und Förderschwerpunkte herausstellen.

Sobald die Maßnahme gestartet wurde, betreute ein interdisziplinäres Team, bestehend aus Ausbilder, Sozialpädagoge und Fallmanager, den jungen Menschen bei seiner Ausbildung: im Ausbildungsrahmen beim Bildungsträger, bei seiner Berufsschulteilnahme, in überbetrieblichen Ausbildungsabschnitten und bei betrieblichen Praktika-Phasen.

Während der Maßnahme hat die Agentur für Arbeit ein gesteigertes Interesse daran, zu erfahren, wie die Ausbildung verläuft (Entwicklungsberichte) und ob der Geförderte wichtige Prüfungen bestanden hat. Auch in diesem Fall hilft es, eine einzelne Verarbeitungstätigkeit beispielhaft zu betrachten, um die Strukturen zu verstehen.

Bei der Prüfung der Rechtmäßigkeit der Verarbeitung sind für jede Verarbeitungstätigkeit sehr konkret die Anforderungen von Art. 6 DSGVO zu berücksichtigen.

Liegt keine Rechtmäßigkeit für die Verarbeitung im Sinne von Art. 6 DSGVO vor, dürfen die Beteiligten die Daten, auch wenn das Sammeln aller ggf. relevanten Daten noch so sinnvoll erscheint, nicht verarbeiten.

Alle Akteure müssen bei jedem Arbeitsschritt die allgemeinen DSGVO-Grundsätze berücksichtigen. Das bedeutet konkret für unser Beispiel des jungen Mannes:

  • Eine Rechtsgrundlage muss die Verarbeitung seiner Daten begründen.
  • Die Zweckbindung verlangt von den Akteuren im Betreuungsprozess sehr konkret, dass sie Daten nur für festgelegte, eindeutige und legitime Zwecke (Art. 5 Abs. 1 Buchst. b DSGVO) erheben und verarbeiten dürfen.
  • Alle Beteiligten dürfen nur die Daten verarbeiten, die nach dem Erforderlichkeitsgrundsatz im Sinne der Datensparsamkeit und Datenvermeidung notwendig sind.
  • Sie dürfen nur Daten verarbeiten, die sachlich korrekt und richtig sind.
  • Sie müssen die Daten zu dem Auszubildenden löschen, sobald sie sie nicht mehr benötigen.
  • Die Beteiligten müssen die Grundsätze der Datensicherheit berücksichtigen, also die Integrität, Vertraulichkeit und sichere Verarbeitung der Daten wahren.
  • Der junge Mann muss über die Verarbeitung seiner Daten informiert sein und seine Rechte wahrnehmen können.
Verarbeitungsübersicht für eine beispielhafte Verarbeitungstätigkeit in der Erwachsenenbildung

Verarbeitungsübersicht für eine beispielhafte Verarbeitungstätigkeit in der Erwachsenenbildung

Musterverzeichnis für Bildungsträger

Bildungseinrichtungen sollten ihre Verfahrenstätigkeiten entsprechend den Vorgaben von Art. 30 DSGVO im Rahmen eines Verzeichnisses sauber dokumentieren.

Auch wenn Art. 30 Abs. 5 DSGVO die Verpflichtung, ein solches Verzeichnis zu führen, auf Unternehmen und Einrichtungen reduziert, die 250 Mitarbeiter und mehr beschäftigen, ist bei Bildungseinrichtungen davon auszugehen, dass sie nicht nur gelegentlich personenbezogene Daten verarbeiten.

Hinzu kommt, dass viele Einrichtungen zusätzlich besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeiten, also beispielsweise Gesundheitsdaten.

Für die Struktur des Verzeichnisses von Verarbeitungstätigkeiten sei auf unser Musterverzeichnis verwiesen. Es berücksichtigt die Grundsätze der Datenschutzkonferenz.

Arnd Fackeldey

Arnd Fackeldey
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Arnd Fackeldey
Arnd Fackeldey
Arnd Fackeldey ist Geschäftsführer der Digital Compliance Consulting GmbH. Als DSB und Auditor unterstützt er Unternehmen bei Design und Einführung von DS-Prozessen sowie DSB und BR bei Kontrollaufgaben.
Verwandte Beiträge
12. November 2024
DP+
Unternehmen in ihrer Rolle als datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO) dürfen nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien bieten, dass sie geeignete technische und organisatorische Maßnahmen zum Datenschutz (TOMs, Art. 32 DSGVO) umsetzen
Bild: iStock.com/Galeanu Mihai

Auditierung von Auftragsverarbeitern

Praxisbericht
Checklisten Tätigkeitsberichte
12. November 2024
DP+
Aktivitäten von Cyberkriminellen: Die EU-Agentur für Cybersicherheit ENISA warnt vor schwerwiegenden Folgen für Patienten
Bild: iStock.com/Tippapatt

Risiken und Nebenwirkungen von E-Health

Ratgeber
11. November 2024
DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector

EuGH: Risikomanagement ja, Risikofreiheit nein

Urteil
EuGH Urteil
11. November 2024
Schritt für Schritt zum Berechtigungskonzept
Bild: KrulUA / iStock / Thinkstock

Schritt für Schritt zum Berechtigungskonzept

Ratgeber
11. November 2024

Download Checkliste: Berechtigungskonzept

Downloads
Checklisten
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.