Öffentliche Schulen unterliegen in der Regel den jeweiligen Landesdatenschutzgesetzen. Diese haben üblicherweise geregelt, dass wegen Verstößen gegen die DSGVO gegen öffentliche Stellen kein Bußgeld verhängt werden kann. Dadurch können öffentliche Schulen auch recht locker mit den Datenschutzvorschriften umgehen und z.B. ohne drohende Konsequenzen pb Daten von Kindern an Microsoft in die USA übermitteln.
Doch wie sieht es mit Privatschulen aus? Für diese gilt doch wie für jedes Unternehmen auch das BDSG? Sehe ich das richtig? Privatschulen könnten demnach mit Bußgeldern belegt werden - eben weil sie ja keine öffentliche Stelle sind. Sehe ich das richtig?
Eine Schulleitung einer privaten Schule muss sich demnach dieses (wirtschaftliche) Risiko bewusst sein und darf sich nicht so ohne weiteres an Tools und Verarbeitungen orientieren, die in öffentlichen Schulen recht unbedarft eingesetzt werden.
Hallo UHEDY,
spontan würde ich deine Einschätzung teilen. Im konkreten Fall müsste man noch schauen, wer genau der Schulträger ist und welche Rechtsform er hat. Für Schulen in kirchlicher Trägerschaft, die man ja landläufig auch gerne als “Privatschulen” bezeichnet, wäre ja zB die eigenen Aufsichtsbehörden zuständig.
Stimmt. Ich hatte jetzt eine privatrechtlich organisierte Privatschule im Sinn. Aber es stimmt natürlich. Es gibt zahlreiche kirchliche (Privat-)Schulen. Die hatte ich nicht im Sinn. Das Kirchendatenschutzrecht hatte ich bislang gar nicht auf dem Schirm. https://www.kirchenrecht-ekd.de/document/41335#s47000118
Demnach könnten z.B. nach § 46 die kirchlichen Aufsichtsbehörde durchaus Bußgelder gegen Schulen verhängen, wenn diese als Unternehmen am Wettbewerb teilnehmen. Mmh? Das wird nun beliebig kompliziert: nimmt eine Schule einer Kirche als Schulträger am Wettbewerb teil und gilt als “Unternehmen”?
Moin, hallo UHEDY, aus meinem Ehrenamt heraus würde ich noch die Unterscheidung in “echte” Privatschulen und “Schulen in freier Trägerschaft” machen wollen. Die ersten sind als GmbH o.ä. unterwegs, die anderen deutlich nicht, von da kann dann noch eine weitere Unterscheidung kommen. LG
Ich würde als Schulleiter schon sehr genau prüfen, ob der Datenschutz korrekt umgesetzt wird, um durch eine lockere Handhabung nicht in eine zivilrechtliche Thematik reinzurutschen- und wenn ich nur eine Mitschuld trage, weil ich die Lehrerschaft nicht angemessen geschult habe oder die Prozesse nicht im Griff habe, wenn neue Verarbeitungsprozesse / IT-Systeme etabliert werden.
Mir ging es in diesem Post primär um das Bußgeld gegenüber einer Schule, das gegenüber einer öffentlichen Schule nicht verhängt werden kann.
Allerdings sollte ein Schulleiter nicht die (zivilrechtliche) Schadensersatzmöglichkeit nach Art. 82 DSGVO aus dem Blick verlieren. Das richtet sich wohl zunächst auch erst einmal gegen die Schule, also in der Regel gegen das Land. Ich denke aber, dass ggf. das Land in Regress gegenüber dem Schulleiter oder der Lehrkraft gehen wird, wenn hier vorsätzlich oder grob fahrlässig ein materieller oder immaterieller Schaden durch eine rechtswidrige Verarbeitung erfolgt ist. (Was ist also, wenn der Schulleiter weiß, dass der Einsatz von MS 365 in Schulen nicht rechtskonform ist und es dennoch einsetzt und dann Eltern auf Schadenersatz klagen sollten?)