Ich prüfe VVT und Art 13 Infos für eine Schule. Komplexität dazu (Bayern): die Schule ist in Trägerschaft eines Vereins, womit eine andere Aufsichtsbehörde als für kommunale Schulen zuständig ist. Nun hat der bayerische Gesetzgeber gemeint in die Schulordnung verpflichtende Datenverarbeitungen reinzuschreiben und für praktische jegliche DV (einzige Ausnahme BayernCloud) die Einwilligung als Rechtsgrundlage zu verlangen.
Ich krieg den Konflikt schon in meinem Kopf nicht gerade hin. Noch weniger, wie man das anderen erklären könnte. Du musst zur Schule gehen, du musst zwingend deine Daten rausrücken aber das ganze musst du freiwillig tun. Und Widerrufsrecht bestünde nach der Logik faktisch auch nicht; der ganze Art 7 ad absurdum geführt.
Übrigens auch in den Erwägungsgründen findet sich keine Einsicht in die Quadratur des Kreises. Eher Bestätigung, dass es so nicht geht.
Wer kann mich erleuchten? Herzlichen Dank dafür vorab.
Durch eine andere Aufsichtsbehörde wird es nicht komplexer oder einfacher, weil die alle dasselbe Recht beaufsichtigen. Von daher ist es eigentlich egal, wer die Aufsichtsbehörde ist.
Wenn der Gesetzgeber etwas verpflichtend ins Gesetz schreibt, dann ist die Rechtsgrundlage für die Verarbeitung die “Rechtliche Verpflichtung” und eine Einwilligung ist nicht notwendig.
Eine Verarbeitung, die auf einer Einwilligung basiert, ist in der Regel erst einmal dubios, weil das genau die Verarbeitungen sind, für die man keine andere (vernünftige) Rechtsgrundlage gefunden hat. Sowas wie Tracking für Werbung, Weitergabe für Marketing etc. (Ausgenommen sind hier natürlich die Einwilligungen für besondere Kategorien.)
Haste mal einen §§, wo Einwilligungne verlangt werden?
Einwilligungen sind von den Bedingungen in Art. 7 abhängig, sonst sind es keine und die Schule muss sehen, wie sie ihr Anliegen gleichwertig anders zustande bringt. (Karierter Block statt Microsoft 365…)
Öffentliche Stellen können mit Einwilligungen schon rein logisch nur Verarbeitungen abdecken, die “zusätzlich” wären. Also wo ihre Verwaltungsaufgabe oder die staatliche Pflichtleistung bereits anderweitig zulässig ist. I. d. R. lit. e (öffentliches Interesse /öffentliche Gewalt) i. V. m. einer spezifischen Vorschrift, für die die Verarbeitung erforderlich ist.
Private Schulträger als nichtöffentliche Stelle können lit. c (rechtliche Verpflichtung) verwenden, falls sie von der Schulgenehmigungsbehörde dieselben Pflichten wie öffentliche Schulen auferlegt bekommen. Ansonsten evtl. Erfüllung von Schulverträgen mit den (gibt’s die Abkürzung schon?) SSuEE (Schüler und Schülerinnen, Eltern und Elterinnen). Einwilligungen wieder nur für “Zusätzliches” wie z. B. Foto-Veröffentlichungen, weil ja normalerweise der Vertrag bzw. die Leistung nicht von der Freiwilligkeit abhängen darf.
D., der an den Anforderungen und am Ergebnis interessiert ist.
Manchmal hat man beim Formulieren der Vorschriften die “Bauanleitung” in Art. 6 Abs. 3 bzw. Art. 23 Abs. 2 DSGVO nicht gelesen. Damit ist ihre Tragfähigkeit als Rechtsgrundlage für Verarbeitungen pbDaten fraglich.
D., der solche Gesetze gern auf den Prüfstand stellt, aber zunächst auch nichts daran ändern kann.
Gelesen wurden diese “Bauanleitungen” wahrscheinlich schon, aber leider muss man in vielen Bereichen annehmen, dass diese vom Gesetzgeber einfach nicht verstanden wurden bzw. nicht verstanden werden wollen. Lesen und das Gelesene dann auch zu verstehen und umzusetzen sind doch immer wieder zwei Aspekte die nicht zusammenpassen wollen…
Die gesetzlichen Regelungen sind trotzdem vergleichbar, höchstens andere Paragraphenangaben.
Es gibt keine “verpflichtende” Einwilligung. Entweder eine freiwillige Einwilligung oder eine gesetzliche Verpflichtung… wie @bdsb schon schrieb!
Nein, keine kirchliche Aufsicht. Wir bewegen uns im Umfeld von BayLDA, Ansbach (eigentlich zuständig, macht aber nix mit Schulen) und BayLfD, München (kümmert sich vorrangig um Schulen, aber nicht zuständig).
Ich komme mittlerweile zu dem Schluss, dass die Quadratur des Kreises nicht möglich ist und bekanntes Wissen weiterhin gilt. Auslöser war übrigens die Diskussion, ob man Berechtigtes Interesse als RGL bei den Lehrkräften für zig web-basierte Lerntools anwenden könnte, um die Flut an Einwilligungen einzudämmen. Was wiederum Folge meiner Frage war: wie wollte ihr diese Flut handhaben.
Ein berechtigtes Interesse kann NICHT für die Verarbeitung der Daten von Lehrkräften genommen werden - hier muss man auf die Erlaubnistatbestände im Rahmen vom Beschäftigtendatenschutz schauen!
Berechtigtes Interesse erfordert auch immer eine Abwägung mit den Interessen der Betroffenen. Hier habe ich was zu Schulen gefunden und denke, das gilt so auch in Bayern https://datenschutz-schule.info/2018/09/17/verarbeitung-auf-grundlage-einer-interessenabwaegung-geht-das-bei-schulen/
Also der Weg mit den gesetzlichen Regelungen/Vorschriften, was für Schulen verpflichtend oder erlaubt ist, ist schon der richtige!
Da stimme ich Ihnen voll zu. Von den bayerischen Behörden erwarte ich nichts anderes als etwa von NRW.
Kurze Geschichte dazu: Lehrkraft X findet, dass es im Web ein breites Angebot Tools gibt, die die Lehre unterstützen. Alleine entscheidet sie es natürlich nicht, sondern die Schule tritt als verantwortliche Stelle auf, zeichnet Nutzungsvertrag, sowie auch AVV (ja, sowas kommt doch vor). Sie machen auch alles richtig und legen für die Kinder Pseudonyme an. Da die RGL für Schüler eindeutig ist (es fallen min. IP-Adressen an) bleibt Schule und Eltern der Papierkrieg nicht erspart.
Was mir nicht einleuchtet ist, warum man den Lehrkräften unterstellen muss, sie hätten abweichende Interessen als ihre Schüler. Zum einem sind sie selbst die Initiatoren. Zum anderen könnte man wissen, wie sehr sie reine Überzeugungstäter (Anwalt der Kinder) sind. Die Abwägung der Interessen kann auch dann kein Ungleichgewicht ergeben, wenn man Böswilliges oder negative Motive unterstellt. Schon gar nicht, da sie mit Art 21 ein starkes Abwehrmittel haben.
Es geht auch nicht nur um ein web-basiertes Tool. Leseludi, Anton, Antolin, Guttenberg sind mir ad hoc in Erinnerung und das war nicht das Ende der Liste.
So viel zum Donnerstags-Rant. Bringt nichts, außer mal die Seele zu entlasten. Ich danke Ihnen für Ihren Beitrag.
ByCS: "Die Schule entscheidet entsprechend ihren pädagogischen Zielsetzungen, welche Anwendungen verpflichtend und damit einwilligungsfrei genutzt werden und welche zur freiwilligen Nutzung bereitgestellt werden und damit eine Einwilligungserklärung benötigen. " … “Die Schule entscheidet entsprechend ihren pädagogischen Zielsetzungen, welche Anwendungen verpflichtend genutzt werden und welche zur freiwilligen Nutzung bereitgestellt werden. Für die freiwillige Nutzung ist eine Einwilligung notwendig. Eine Vorlage für eine Einwilligungserklärung zu Messenger, Drive mit Office und Videokonferenz, in der Sie die Zwecke im Rahmen der freiwilligen Nutzung eintragen können, stellen wir Ihnen im Folgenden zur Verfügung!”
Das darf dann nix sein, was die Schulen /Lehrkräfte alternativlos vorsehen; wenn z. B. etwas nur in “Drive” exklusiv zu haben wäre. Darüber könnte man keine Einwilligung einholen.
Art. 85 BayEUG: Da steht nicht von Einwilligung. Schulen dürfen verarbeiten, was für ihre gesetzlichen Aufgaben erforderlich ist. Für öffentliche Stellen übersetzt wäre der Erlaubnistatbestand Art. 6 Abs. 1 lit. e DSGVO i. V. m. Art. 85 BayEUG UND immer i. V. m. der konkreten Vorschrift zur Aufgabe.
BaySchO2016-46: Sagt direkt nichts von Einwilligungen. Seine Anlage 2 schreibt bei manchen Situationen Einwilligungen vor, aber nur wo die (ich leih mir mal ein Wort:) Schulaufgabe nicht zutrifft. (“einer Einwilligung bedarf es nicht, soweit…”)
Es kommt also immer auf die Zwangsläufigkeit der schulischen Aufgabe an. Wo die Schule Daten nicht verarbeiten MUSS, kann sie um Einwilligungen bitten.
D., der jetzt nicht sieht, dass die Schule auf Einwilligungen angewiesen wäre. Erfahrungsgemäß machen die das in der Praxis trotzdem falsch. Evtl. weil sie gehört haben, dass man pbDaten nur mit Einwilligung verarbeiten darf.
Ich werfe das Stichwort “Kollektivvereinbarung” mal in den Raum. In Betrieben, welche dem BetrVG unterliegen hat eine Betriebsvereinbarung gesetzlichen Charakter und kann eine Rechtmäßigkeit einer Verarbeitung im Beschäftigungskontext darstellen (Art. 88 DSGVO, § 26 BDSG). Für öffentliche Behörden sollte es was vergleichbares geben.
Die Freiwilligkeit einer Einwilligung wird insbesondere im Beschäftigungskontext häufig genug angezweifelt.
Meine Erfahrung ist, dass die Möglichkeiten des Art. 88 DSGVO und § 26 BDSG recht selten genutzt werden. Das liegt nicht selten daran, dass Verantwortlich gar keine Ahnung vom Datenschutzrecht haben. Gut gestaltete Betriebs- oder Dienstvereinbarungen können eine Rechtmäßigkeit nach Art. 6 herstellen.
Ob Kompetenzen aus § 80 BetrVG eingehalten werden, wird im Einzelfall auch mit einem Arbeitsrechtler zu besprechen sein, Gerichtsurteile sind da gelegentlich überraschend und Arbeitsrecht ist komplex.
Die DS-GVO darf jedenfalls nicht unterlaufen werden. Und wenn persönliche Einwilligungen fragwürdig / nicht haltbar sind, dann stellt sich die Frage, ob sie kollektiv erteilt werden können.
Es ging mir eingangs nicht um das Unterlaufen von Einwilligungen, sondern eher um das direkte Gegenteil: welchen Sinn ergibt es nahezu jede DV auf Einwilligung zu basieren? Und der praktische Aspekt, wie verwaltet man diese Flut, wenn es mal viele werden (Annahme: es gibt nie 100% Einwilligungen, also muss ich die Ausnahmen im Griff haben)? Und ganz grundsätzlich die Frage was soll daran freiwillig sein, wenn die Einwilligung eh verpflichtend ist? Noch dazu im Beschäftigungskontext, wo es mit der Freiwilligkeit bekanntermaßen nicht so weit her sein kann?
Vielen Dank für den Link! Den kannte ich noch nicht.
Die Haltbarkeit von Einwilligungen ist aktuelle bei in der Tat Thema. Ich bin bDSB in einem Krankenhaus in einem Klinikverbund. Jetzt ist es so, dass die bisherige Diktatlösung (lokal installiere Sprecherkennung im IT-Rechenzentrum des VErbundes) für Arztbriefe vom Anbieter zukünftig nicht weiter supportet wird. Die angebotene Alternative ist eine KI-gestützte Cloudlösung. Dabei wird ein personenbezogenes Sprachprofil in der Cloud des Anbieters gespeichert. Die KI wandelt mir Unterstützung des Sprachprofils Sprache zu Text um.
Der Vorgang wurde die alle Kollegen DSB beurteilt. Klar war allen, die externe Speicherung von Art. 9 Daten (Spracheprofil) braucht eine Rechtsgrundlage und das kann nur die Einwilligung sein.
Dass eine Rechtsgrundlage benötigt wird ist klar, die Einwilligung hat jedoch zwei große "Probleme:
die Freiwilligkeit
die Widerrufbarkeit
In beiden Fällen ist ein Plan B notwendig und den hat man nicht (mehr). Dazu kommt der bürokratische Aufwand der Einwilligungen zur Nutzung der Diktatsoftware durch Ärzte: Einholen, Gewährleistung der Betroffenenrechte usw.
Ich bin als bDSB noch ordentliches BR-Mitglied und ich habe die BV in den Raum geworfen. Und wird grade ausgearbeitet
Für jede Datenvereinbarung braucht man eine Rechtsgrundlage nach Art. 6. Und da sind lit. a) und c) und u.U. f) die häufigsten Anwendungsfälle im Beschäftigungskontext, wobei die Freiwilligkeit einer Einwilligung im Beschäftigungskontext schon häufiger in Frage gestellt wird.
Und genau da kann eine Dienst- oder Betriebsvereinbarung häufig als Mittel der Wahl für Abhilfe sorgen.
?