Im Spannungsfeld von Beamten-, Dienst- und Datenschutzrecht ergeben sich sehr viele Fragen - konkret am Beispiel für Schulleiter als Verantwortliche für die Verarbeitung personenbezogener Daten, aber auch für einzelne Lehrkräfte.
Als DSB habe ich viel mit einigen Schulleitern und Personalräten diskutiert. Wir konnten aber keine befriedigenden Antworten finden. Vielleicht gibt es im Forum auch Experten im Bereich Beamtenrecht?
Die Schulaufsichtsbehörden haben die Fach- und Dienstaufsicht über die Schulen bzw. die Schulleitungen. Eine zentrale Frage ist, ob unter Fach- und Dienstaufsicht auch die datenschutzrechtliche Aufsicht fällt, konkret also, ob die Schulaufsichtsbehörde die Nutzung einer bestimmten Software für die Verarbeitung personenbezogener Daten einer Schule vorschreiben kann bzw. bei Kenntnis der Unrechtmäßigkeit der Verarbeitung die Nutzung einer Software sogar untersagen muss - und zwar unabhängig von der Datenschutzaufsichtsbehörde. Eine Schulleitung ist im Handeln an Recht und Gesetz gebunden, darf also streng genommen keine personenbezogene Daten verarbeiten, deren Verarbeitung unrechtmäßig ist. Die Frage ist, ob eine Schulaufsichtsbehörde den Prozess der Einführung einer Software (Einbeziehung Datenschutzbeauftragter, Durchführung Datenschutz-Folgenabschätzung, Führung Verarbeitungsverzeichnis, Beteiligung Personalvertretung usw.) im Rahmen der Fach- und Dienstaufsicht ebenfalls beaufsichtigen muss.
Viele Schulen haben im Rahmen der Corona-Pandemie Microsoft 365 eingesetzt, ohne die Rechtmäßigkeit der Datenflüsse (in die USA) zu prüfen. Die meisten Datenschutzaufsichtsbehörden haben mittlerweile festgestellt, dass das System nicht rechtskonform eingesetzt werden kann. Könnten nun von betroffenen Eltern Schadenersatzansprüche nach Art. 82 DSGVO gegenüber der Schule bzw. dem Land geltend gemacht werden, wenn durch die Verarbeitung ihren Kindern ein materieller oder immaterieller Schaden entstanden ist? Neben Microsoft 365 haben viele Schulen auch andere Verarbeitungen übereilt und nicht formgerecht eingeführt, im Grunde ebenso unrechtmäßig.
Aus all diese Konstellationen ergeben sich zahlreiche Folgefragen, u.a. für den einzelnen Schulleiter bzw. für eine Lehrkraft, die ein IT-System mit einer unrechtmäßigen Verarbeitung nutzen muss:
-
Welche Haftung ergeben sich für den Schulleiter gegenüber seinem Dienstherrn, wenn bei einer rechtswidrigen (Vorsatz und grobe Fahrlässigkeit) Verarbeitung personenbezogener
Daten einer betroffenen Person ein materieller oder immaterieller Schaden entsteht und der Betroffene die Schule nach Art. 82 DSGVO auf Schadenersatz verklagt? -
Wann liegen Vorsatz und grobe Fahrlässigkeit bei der unrechtmäßigen Verarbeitung personenbezogener Daten vor? Für einen Schulleiter eine entscheidende Frage in Bezug auf die Haftung gegenüber dem Dienstherrn. Hätte also ein Schulleiter wissen müssen, dass Microsoft 365 nicht rechtmäßig ist?
-
Ist die Nutzung einer rechtswidrigen Verarbeitung bereits eine schuldhafte Verletzung einer Dienstpflicht, also ein Dienstvergehen? Sind Disziplinarmaßnahmen nach LDG möglich? Wären auch Dienstaufsichtsbeschwerden von Eltern, Schüler oder Lehrkräften möglich?
-
Hat die Schulaufsichtsbehörde im Rahmen ihrer Dienst- und Fachaufsicht auch eine gewisse datenschutzrechtliche Aufsichtspflicht oder ist dafür ausschließlich nur die
Datenschutzaufsichtsbehörde zuständig? -
Hätte die Schulaufsichtsbehörde bei Kenntnis des Einsatzes einer (vermutlich) rechtswidrigen Verarbeitung an einer Schule eingreifen müssen? Hat damit evtl. die Schulaufsichtsbehörde selbst ihre Pflichten verletzt?
-
Haftet ein neuer Schulleiter für rechtswidrige Verarbeitungen personenbezogener Daten, die der Vorgänger eingeführt hat? Oder muss er diese umgehend beenden, um nicht selbst zu haften?
-
Ist die verpflichtende Nutzung eines IT-Systems zur Verarbeitung personenbezogener Daten auch als eine Form einer dienstlichen Anordnung im Sinne von § 36 BeamtStG zu sehen?
Müsste demzufolge ein Lehrer (Beamter), der die datenschutzrechtliche Unrechtmäßigkeit eines IT-Systems erkennt oder gar davon weiß und der dieses System aber dienstlich nutzen muss, Bedenken unverzüglich auf dem Dienstweg geltend machen (Remonstrationspflicht), um aus der eigenen Verantwortung befreit zu werden? -
Kann ein Lehrer, dessen personenbezogene Daten unrechtmäßig in einem Schulsystem verarbeitet werden, seinen Dienstherrn auch auf Schadenersatz nach Art. 82 DSGVO verklagen?
Das sind eine ganze Reihe von spannenden Fragen. Gibt es hier einen Beamtenrechtsexperten unter uns? Auch wenn die Problematik hier am Beispiel von Schulen geschildert wird, ist sie sicherlich auch für andere Bereiche vergleichbar.