Eine Frage: Wer ist eigentlich Verantwortlicher in einer Schule deren Trägerschaft eine Kommune ist?
Der/die Bürgermeisterin der Kommune, oder der/die Schulleiterin?
Klingt trivial, ist aber vieldiskutiert 
Besten Dank.
1 „Gefällt mir“
Verantwortliche für die Verarbeitung der pbD einer Schule ist ganz klar die Schulleitung. Bietet die Kommune der Schule IT-Services an (E-Mail-Account, Netzwerktechnik, Geräte-Admin über MDM usw.) ist dafür ein Auftragsverarbeitungsvertrag erforderlich (Art. 28 DSGVO).
Auch bei einer Ganztagesbetreuung in einer Schule (also mit städtischem Personal neben dem Schulpersonal) ist i.d.R. ein Vertrag für gemeinsam für die Verarbeitung Verantwortliche notwendig (Art. 26 DSGVO).
Schulträger sehen da oft keine Notwendigkeit und fühlen sich manchmal sogar düpiert, weil sie der Meinung sind, dass es ja “ihre” Schulen sind. Ja, was die Ausstattung angeht - nein, was die personenbezogenen Daten der Schüler und Lehrkräfte angeht.
Könnt es auch ein “Kommt drauf an” sein? Wenn wir von einer Verarbeitung im Zusammenhang mit der reinen Schulpflicht ausgehen, sind dann nicht Zwecke und Mittel durch höhere Stellen vorgegeben (Kommune, oder gar Landesämter für Schule und Bildung etc.)?
Die Schule richtet sich nach dem Erziehungs- und Bildungsauftrag, der üblicherweise im Schulgesetz festgelegt ist. Mittel und Zweck meint, mit welchen (pädagogischen) Mitteln, dieser Erziehungs- und Bildungsauftrag umgesetzt wird. Es sind hier keine finanziellen Mittel gemeint.
Eine sehr schöne Übersicht über die Situation findet sich beim hessischen LfDI (zwar noch aus der Zeit vor der DSGVO, aber im Grunde im Kern auch unter der DSGVO nicht anders):
https://datenschutz.hessen.de/datenschutz/hochschulen-schulen-und-archive/dv-dienstleistungen-für-schulen-durch-schulträger-und
Ahh, ist zwar ein sehr technik-lastiger Artikel - eine DV muss ja nicht unbedingt was mit Netzen und Fernwartung zu tun haben - aber ich konnte herauslesen, dass “die Schule nach außen die Daten verarbeitende Stelle im Sinne des Hessischen Datenschutzgesetzes ist”.
Ich hatte hier an Art. 4 Abs. 7 DSGVO gedacht, der hat ja auch eine Öffnungsklausel. Die Schulpflicht ist ja ein gesetzlicher/staatlicher Auftrag und meine Vermutung war, dass es da Regularien für bestimmte Vorgänge gibt. Auch gut möglich, dass das weit her geholt ist. 
Für Schleswig-Holstein kann ich bestätigen, was UHEDY schreibt. Verantwortliche Stelle ist die Schule und damit ist die Schulleitung die verantwortliche Person. Auch die Erläuterungen zu Auftragsverarbeitungsverträgen werden hier genauso gesehen.
Sehr vieles stimmt von dem geschriebenen mit der Definition Verantwortlicher DSGVO Art. 4 überein. Es gibt jedoch Bereiche wie z.B. Videoüberwachung der Außenhaut und des Schulhofs, da ist eindeutig der Schulträger Verantwortlicher im Sinne der DSGVO. Wenn es um Videoüberwachung im Innenbereich geht, ist wieder die Schulleitung verantwortlich im Sinne der DSGVO. Gleiches gilt bei Personal, das durch den Schulträger eingestellt ist wie Schulsekretärin und Hausmeister und oft auch Nachmittagsbetreuung oder verlässliche Grundschule. Die Personalverantwortlichkeit liegt beim Schulträger.
Genau dieses Problem hatte ich jetzt auch. Ich bin bDSB eines Schulträgers. Die Prüfung der Videoüberwachung hat sehr viel Zeit in Anspruch genommen, zumal auch der Schulträger nach dem Schulgesetz ja die entsprechende Technik vorhalten muss. Die Verantwortlichkeit nach Artikel 4 DSGVO ist bei dieser Konstellation schon recht schwierig zu bewerten.
Uhedy: Schulträger sehen da oft keine Notwendigkeit und fühlen sich manchmal sogar düpiert, weil sie der Meinung sind, dass es ja “ihre” Schulen sind. Ja, was die Ausstattung angeht - nein, was die personenbezogenen Daten der Schüler und Lehrkräfte angeht.
Da muss ich widersprechen. Ich laufe seit 4 !!! Jahren hinten den Auftragsverarbeitungsverträgen der Schulen hinterher und seitens der Schulen passiert nichts. Zum einen wurden gar keine DSB in den Schulen bestellt und zum anderen wissen viele Schulleiter gar nichts mit AVV anzufangen. Mittlerweile sind in meinem Bundesland nun endlich (ich glaube seit 1 Jahr) 2 bDSB für die Schulen in Nord und in Süd bestellt worden. Die fangen dort bei Null an. Es ist mir seit Umsetzung der DSGVO im Jahre 2018 kein einziger AVV seitens der Schulen vorgelegt worden.
Guten Morgen Zusammen,
nach dem Motto: “es ist schon alles gesagt, aber noch nicht von jedem” möchte ich noch die Situation in Baden-Württemberg ergänzen.
Hier ist unstrittig, dass die SL verantwortliche Stelle ist für schulische Daten ist, also solche, die im Zusammenhang mit dem Erziehungs- und Bildungsauftrag (§1 SchG BW) anfallen. Die SL entscheidet über Mittel und Zwecke der Verarbeitung im Sinne des Art. 4 Abs. 7 DSGVO. Offensichtlich ist das bundesweit nicht grundsätzlich unstrittig (?) - oben wurde die Verantwortlichkeit allerdings bereits fundiert begründet.
Unerheblich ist, ob die Schule in Landes-, kommnaler (Gemeinde oder Kreis) oder privater Trägerschaft ist.
Es gibt in BW auch landeseinheitliche Vordrucke für Schüleraufnahmebögen und in der Verwaltungsvorschrift Datenschutz an öffentlichen Schulen ist geregelt, welche Daten von SuS und LuL verarbeitet werden dürfen.
Personal des ST wird hier ds-rechtlich als Teil der Schule betrachtet, so dass man z. B. für das Sekretariat keine gemeinsame Verantwortlichkeit sieht.
Letztere könnte jedoch bei der in BW über eine VwV geregelten Kooperation zwischen Kindertageseinrichtung und Schule (vor der Einschulung) relevant sein - das ist hier noch nicht endgültig geklärt. Der Einwilligungsvordruck hierfür sieht jedenfalls beide Einrichtungen als verantwortliche Stellen (“kann gegenüber der Schule und der Kindertageseinrichtung widerrufen werden”). Gibt es solche Kooperationen auch in anderen Bundesländern? Die Regelungen dazu würde mich durchaus interessieren.
Interessant zumindest in BW ist, dass gem. §23 Abs. 1 SchG BW Schulen nicht rechtsfähige Anstalten des öffentlichen Rechts sind (!). D. h. aufgrund der DSGVO werden Sie in Datenschutzangelegenheiten teilrechtsfähig. Das führt auch oft zur Verwirrung.
Ein Beispiel: eigentlich kann eine Schule gar keinen Nutzungsvertrag mit einem SaaS Anbieter abschließen weil sie ja gar nicht Vertragspartner sein kann (das tut der ST, der für die sächliche Ausstattung zuständig ist §27 Abs. 1 SchG BW). Datenschutzrechtlich ist jedoch wieder die Schule verantwortlich und damit Vertragspartner des Av-Vertrags und eben nicht der ST.
In der Praxis schließt die Schule meist beide Verträge ab, was aber keine faktischen Auswirkungen haben dürfte.
Zur Videoüberwachung:
In der oben angesprochenen VwV DS ist in BW dieses Thema spezialrechtlich geregelt - Nr . 1.2 verweist zunächst auf §18 LDSG BW und legt fest, dass der ST für die Videoüberwachung im Außenbereich verantwortliche Stelle ist (nebst Hnweis auf die Notwendigkeit einer DSFA), während des Schulbetriebs und innerhalb des Gebäudes wird gleichzeitig Videoüberwachung nahezu vollständig ausgeschlossen.
Die Frage nach der Verantwortlichkeit stellt sich übrigens auch bei elektronischen Schließanlagen. Hier gibt es in den FAQ des Kultusministeriums BW eine Aussage, dass die Verantwortlichkeit beim ST liegt (womit die durchaus berechtigte Diskussion darüber endet).
Vielleicht gibt es in anderen Bundesländern ja ähnliche leges speciales? Ich glaube z. B. in NRW (?) gibt es sogar ein eigenes Gesetz zu DS an Schulen.
Viele Grüße aus dem Süden!
Hallo Kolleg*innen,
das Thema ist komplex und zur Verkomplizierung trägt im vorliegenden Fall bei, dass die Videoüberwachung dem Schutz der Schüler dienen soll. In der Vergangenheit wurde öfter ein Mann beobachtet, der Schüler*innen in diesem bereich angesprochen hat. Die Schulleitung und die Elternschaft möchte, zurecht wie ich meine, dass die Einsichtnahme von festgelegten Personen der Schule erfolgen soll und die EDV des Schulträgers nur für die Wartung des Systems Zugriff haben soll. Und das auch nur im Beisein einer der festgelegten Personen der Schule. Es soll vermieden werden, dass die EDV unkontrollierten, permanenten Zugriff auf die Videodaten der Schüler hat.
Nun ist die Frage ob hier ein AVV notwendig ist, oder ob man das über eine Dienstanweisung Videoüberwachung regeln kann.
Beim LfDI Baden-Württemberg gibt es eine hilfreiche Praxishilfe Videoüberwachung für öffentliche Stellen:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/03/Video%C3%BCberwachung-durch-%C3%B6ffentliche-Stellen-in-Baden-W%C3%BCrttemberg.pdf
Ich glaube, es dürfte nahezu unmöglich sein, eine Videoüberwachung mit Videoaufzeichnung damit zu begründen, dass jemand Schüler in einem öffentlich zugänglichen Raum anspricht.
Nein, es ist ein in sich geschlossener Raum, nämlich der Schulhof und die Außentoilette. Der Mann steigt dazu über den Jägerzaun.