Datenschutzrecht im Spannungsfeld mit Beamtenrecht

Datenschutz
1

Im Spannungsfeld von Beamten-, Dienst- und Datenschutzrecht ergeben sich sehr viele Fragen - konkret am Beispiel für Schulleiter als Verantwortliche für die Verarbeitung personenbezogener Daten, aber auch für einzelne Lehrkräfte.

Als DSB habe ich viel mit einigen Schulleitern und Personalräten diskutiert. Wir konnten aber keine befriedigenden Antworten finden. Vielleicht gibt es im Forum auch Experten im Bereich Beamtenrecht?

Die Schulaufsichtsbehörden haben die Fach- und Dienstaufsicht über die Schulen bzw. die Schulleitungen. Eine zentrale Frage ist, ob unter Fach- und Dienstaufsicht auch die datenschutzrechtliche Aufsicht fällt, konkret also, ob die Schulaufsichtsbehörde die Nutzung einer bestimmten Software für die Verarbeitung personenbezogener Daten einer Schule vorschreiben kann bzw. bei Kenntnis der Unrechtmäßigkeit der Verarbeitung die Nutzung einer Software sogar untersagen muss - und zwar unabhängig von der Datenschutzaufsichtsbehörde. Eine Schulleitung ist im Handeln an Recht und Gesetz gebunden, darf also streng genommen keine personenbezogene Daten verarbeiten, deren Verarbeitung unrechtmäßig ist. Die Frage ist, ob eine Schulaufsichtsbehörde den Prozess der Einführung einer Software (Einbeziehung Datenschutzbeauftragter, Durchführung Datenschutz-Folgenabschätzung, Führung Verarbeitungsverzeichnis, Beteiligung Personalvertretung usw.) im Rahmen der Fach- und Dienstaufsicht ebenfalls beaufsichtigen muss.

Viele Schulen haben im Rahmen der Corona-Pandemie Microsoft 365 eingesetzt, ohne die Rechtmäßigkeit der Datenflüsse (in die USA) zu prüfen. Die meisten Datenschutzaufsichtsbehörden haben mittlerweile festgestellt, dass das System nicht rechtskonform eingesetzt werden kann. Könnten nun von betroffenen Eltern Schadenersatzansprüche nach Art. 82 DSGVO gegenüber der Schule bzw. dem Land geltend gemacht werden, wenn durch die Verarbeitung ihren Kindern ein materieller oder immaterieller Schaden entstanden ist? Neben Microsoft 365 haben viele Schulen auch andere Verarbeitungen übereilt und nicht formgerecht eingeführt, im Grunde ebenso unrechtmäßig.

Aus all diese Konstellationen ergeben sich zahlreiche Folgefragen, u.a. für den einzelnen Schulleiter bzw. für eine Lehrkraft, die ein IT-System mit einer unrechtmäßigen Verarbeitung nutzen muss:

  1. Welche Haftung ergeben sich für den Schulleiter gegenüber seinem Dienstherrn, wenn bei einer rechtswidrigen (Vorsatz und grobe Fahrlässigkeit) Verarbeitung personenbezogener
    Daten einer betroffenen Person ein materieller oder immaterieller Schaden entsteht und der Betroffene die Schule nach Art. 82 DSGVO auf Schadenersatz verklagt?

  2. Wann liegen Vorsatz und grobe Fahrlässigkeit bei der unrechtmäßigen Verarbeitung personenbezogener Daten vor? Für einen Schulleiter eine entscheidende Frage in Bezug auf die Haftung gegenüber dem Dienstherrn. Hätte also ein Schulleiter wissen müssen, dass Microsoft 365 nicht rechtmäßig ist?

  3. Ist die Nutzung einer rechtswidrigen Verarbeitung bereits eine schuldhafte Verletzung einer Dienstpflicht, also ein Dienstvergehen? Sind Disziplinarmaßnahmen nach LDG möglich? Wären auch Dienstaufsichtsbeschwerden von Eltern, Schüler oder Lehrkräften möglich?

  4. Hat die Schulaufsichtsbehörde im Rahmen ihrer Dienst- und Fachaufsicht auch eine gewisse datenschutzrechtliche Aufsichtspflicht oder ist dafür ausschließlich nur die
    Datenschutzaufsichtsbehörde zuständig?

  5. Hätte die Schulaufsichtsbehörde bei Kenntnis des Einsatzes einer (vermutlich) rechtswidrigen Verarbeitung an einer Schule eingreifen müssen? Hat damit evtl. die Schulaufsichtsbehörde selbst ihre Pflichten verletzt?

  6. Haftet ein neuer Schulleiter für rechtswidrige Verarbeitungen personenbezogener Daten, die der Vorgänger eingeführt hat? Oder muss er diese umgehend beenden, um nicht selbst zu haften?

  7. Ist die verpflichtende Nutzung eines IT-Systems zur Verarbeitung personenbezogener Daten auch als eine Form einer dienstlichen Anordnung im Sinne von § 36 BeamtStG zu sehen?
    Müsste demzufolge ein Lehrer (Beamter), der die datenschutzrechtliche Unrechtmäßigkeit eines IT-Systems erkennt oder gar davon weiß und der dieses System aber dienstlich nutzen muss, Bedenken unverzüglich auf dem Dienstweg geltend machen (Remonstrationspflicht), um aus der eigenen Verantwortung befreit zu werden?

  8. Kann ein Lehrer, dessen personenbezogene Daten unrechtmäßig in einem Schulsystem verarbeitet werden, seinen Dienstherrn auch auf Schadenersatz nach Art. 82 DSGVO verklagen?

Das sind eine ganze Reihe von spannenden Fragen. Gibt es hier einen Beamtenrechtsexperten unter uns? Auch wenn die Problematik hier am Beispiel von Schulen geschildert wird, ist sie sicherlich auch für andere Bereiche vergleichbar.

2

Das sind brandinteressante Fragen.
Verantwortlich i. S. der Dsgvo dürfte wohl der Schulträger sein. Diesem kann sicherlich vorgeworfen werden, seine Datenschutzpflichten nicht ordentlich erfüllt zu haben. Prüfpflichtig sind vor dem LfDI sicherlich die behördlichen DSB.

Die einzelnen Ausführenden sind gerade als Beamte an Recht und Gesetz gebunden, also auch an die DSGVO. Wurde diese nicht befolgt, steht zumindest die Möglichkeit eines Dienstvergehens im Raum. Davon unabhängig können für persönliches Fehlverhalten Dienstaufsichtsbeschwerden reinflattern. Dabei geht es dann aber nicht um Rechtsverstöße, sondern wirklich nur ‘falsche Umgangsformen’, salopp gesagt.

Mal auf die Schnelle reingetippt… Mit etwas mehr Zeit liefere ich nach…

3

Verantwortlich i. S. der Dsgvo dürfte wohl der Schulträger sein.

Das kann in den Bundesländern durchaus unterschiedlich gesehen werden. In Schleswig-Holstein ist es so, dass die Schule die verarbeitende Stelle ist und die Schulleitung damit Verantwortliche/Verantwortlicher. Mit Schulträgern müssen ggf. Auftragsverarbeitungsvertrag abgeschlossen werden.

4

Zur speziellen rechtlichen Konstruktion in Schulen ist es in der Tat so, dass die Schule im datenschutzrechtlichen Sinne verantwortliche Stelle für die Verarbeitung der personenbezogenen Daten von Schülern und Lehrkräften ist. Stellt der Schulträger z.B. zentrale Dienste zur Verfügung ist dieser Auftragsverarbeiter.
Bei meiner Frage bzw. bei meinem aufgeworfenen Thema geht es mir allerdings weniger um dieses Konstrukt, sondern um den einzelnen Beamten (egal ob Schulleiter oder Lehrkraft) und die beamtenrechtlichen Folgen bei der Verantwortung/Nutzung eines nicht datenschutzkonformes Systems. Wie gesagt, das habe ich zwar am Beispiel Schule ausgeführt, aber es kann natürlich auch alle anderen Verwaltungsbereiche betreffen (Forstverwaltung, Kommunalverwaltung, Kita, usw.). In allen Verwaltungsbereichen gibt es die abgestuften Hierarchien und Ebenen mit einer Dienstaufsicht.

5

Verantwortlich i. S. der Dsgvo dürfte wohl der Schulträger sein.

Das sehe ich nicht so. Der Schulträger ist für die Errichtung, Unterhaltung und Verwaltung der Schule verantwortlich und trägt in der Regel die Sachkosten. Er entscheidet nicht über Lehrinhalte und die angewendeten Medien (hier: Microsoft 365). Das regelt das Bildungsgesetz oder andere Vorgaben des Bildungsministeriums der jeweiligen Bundesländer. Im Sinne der DSGVO ist der verantwortlich, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Wenn die Schule entscheidet, ein bestimmtes Programm (hier Microsoft 365) einzusetzen, ist sie auch dafür verantwortlich, oder eine übergeordnete Instanz hat diese Entscheidung (z.B. eine Anordnung des Ministeriums, Schulamtes) getroffen. In der Regel haben Schulämter auch einen DSB. Stellt der Schulträger Dienste zur Verfügung, ist dieser wie @UHEDY schon richtig sagt ein Auftragsverarbeiter.

6

Für Landesbeamte folgt das aus § 48 BeamtStG: “Beamtinnen und Beamte, die vorsätzlich oder grob fahrlässig die ihnen obliegenden Pflichten verletzen, haben dem Dienstherrn, dessen Aufgaben sie wahrgenommen haben, den daraus entstehenden Schaden zu ersetzen.”

Bedeutet: Pflichtverletzung muss min. grob fahrlässig erfolgen. Rechtsfolge ist der Regress beim Beamten: Der komplette aus dieser Pflichtverletzung entstandene Schaden ist dem Dienstherrn zu erstatten. Die Frage ist aber, welcher konkrete Schaden durch eine datenschutzwidrige Nutzung von MS365 entsteht. Nicht die Verletzung datenschutzrechtlicher Pflichten wird sanktioniert, sondern der aus dieser Verletzung resultierende Schaden. Das ist ein wichtiger Unterschied zum Bußgeld.

Einfache Fahrlässigkeit kann man schnell annehmen. Grobe Fahrlässigkeit ist ein anderes Kaliber. Versetzen wir uns doch in die Situation eines Schulleiters: die Landesschulbehörde will es einführen; die Datenschutzbehörden zanken sich und veröffentlichen divergierende Meinungen. Wie soll der Schulleiter nun entscheiden, was rechtens ist? Vor diesem Hintergrund gibt es gute Gründe, eine grobe Fahrlässigkeit zu verneinen. Anders sieht es aus, wenn der DSB dem Schulleiter die Rechtswidrigkeit aufzeigt. Dann ist der Schulleiter bösgläubig und ich würde ihm die Remonstration empfehlen (siehe unten).

Dienstvergehen sind Handlungen, bei denen der Beamte schuldhaft seine Pflichten verletzt. Wenn er den Datenschutzverstoß nicht erkennt oder erkennen konnte, liegt auch kein Verschulden vor. In praktischer Hinsicht stelle ich mir das Diszi interessant vor, wenn die Diszinparbehörde (= Landesschulbehörde) dann ein Verhalten sanktionieren will, das sie selbst vorgegeben hat.

Hier muss man unterscheiden: Dienstaufsicht meint Organisations- und Personalhoheit. Die Fachaufsicht umfasst auch die Rechtsaufsicht und ist die Befugnis gegenüber den nachgeordneten Behörden, die Recht- und Zweckmäßigkeit des Verwaltungshandelns zu überprüfen und ggf. Anordnungen/Weisungen zu treffen. Die Dienstaufsicht ist betroffen, wenn jemand zum DSB bestellt werden soll, wobei meist solche alltäglichen Personalfragen an die nachgeordneten Behörden per Erlass delegiert werden. Im Rahmen der Fachaufsicht erfolgt wie erwähnt eine Kontrolle des rechtmäßigen Handelns, die Fachaufsichtsbehörde könnte also auch Weisungen in Bezug auf den Datenschutz erteilen.

Die Fachaufsicht hat grds. ein Ermessen, ob und wie sie eingreift. Bei den Schulaufsichtsbehörden kommt hinzu, dass sie meist die Eigenverantwortung der Schulen zu respektieren haben. Dann gibt es immer 2-3 Meinungen, so dass ich glaube, dass ohne Kontrolle des LfD(I) nix passieren dürfte.

Der Schulleiter haftet nicht, sondern der Verantwortliche. Der Regress erfordert Verschulden (s.o.).

Ist die Nutzungspflicht eine individuelle Weisung? Denn davon spricht ja § 36 BeamtStG. Ich denke nicht, dass er auf kollektive Tatbestände anwendbar ist.

Die Treuepflicht gebietet, zunächst erst mal andere Wege in Betracht zu ziehen. Die entscheidende Frage bei Art. 82 DSGVO ist doch: wo ist der Schaden?

7

Danke @daimos für die hilfreichen Antworten auf meine Fragen!