Thüringen, das grüne Herz Deutschlands, hat eine Menge zu bieten. Auf viele Dinge kann man stolz sein. Einige Dinge lassen hingegen nur ein Kopfschütteln zu. Hierzu gehört zweifelsohne der Aktionismus der dortigen Landesdatenschutzaufsicht, der in der Corona-Pandemie leider zu häufig bestaunt werden konnte.

Betroffen sind insbesondere Lehrerinnen und Lehrer. Letztes Jahr wollte der Datenschutzbeauftragte Bußgelder gegen Lehrkräfte verhängen, die nicht datenschutzkonforme Software im Fernunterricht einsetzen und sorgte damit für gehörigen Wirbel (vgl. hier). Diesmal hat es, laut „ZEIT ONLINE“ eine Lehrerin getroffen, die in einer Deutschstunde Schülerinnen und Schüler fragte, ob sie sich gegen das Coronavirus impfen lassen würden. „Die Lehrerin habe die Schülerinnen und Schüler nach ihrer Impfbereitschaft gefragt, und das stelle nach Ansicht der Datenschutzbehörde eine unzulässige Verarbeitung besonderer Kategorien personenbezogener Daten dar […].
Der Datenschutzbeauftragte Lutz Hasse sagte, dass seine Behörde aufgrund einer Elternbeschwerde aktiv geworden sei. Er gab zu bedenken, dass es bei der Abfrage der Schülerinnen und Schüler möglicherweise auch um weltanschauliche Daten gegangen sein könnte. Auch dafür sei – je nach Alter der Schüler – gegebenenfalls eine Einwilligung der Eltern nötig.“

Ist der Anwendungsbereich der DSGVO eröffnet?

Will man den vorliegenden Fall rechtlich bewerten, stellt sich zu aller erst die Frage, ob der Anwendungsbereich der DSGVO eröffnet ist oder anders formuliert: Ist die Datenschutzaufsichtsbehörde überhaupt zuständig?

Nach Art. 2 Abs. 1 DSGVO gilt die DSGVO „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Die ganz oder teilweise automatisierte Datenverarbeitung erfordert einen, wie auch immer gelagerten Einsatz von Datenverarbeitungsanlagen, bei der Informationen auf einer kontinuierlichen Speichervorrichtung gesichert werden. Diese Voraussetzung ist hier nicht erfüllt.

Alternativ kann eine nichtautomatisierte Datenverarbeitung bei Speicherung in Dateisystemen den Anwendungsbereich der DSGVO eröffnen. Eine solche liegt vor, wenn sich die Verarbeitung in einer rein manuellen Verarbeitung erschöpft (die Lehrerin macht sich Notizen). Die Information muss oder soll aber dann in einem Dateisystem gespeichert werden.

Der Begriff des Dateisystems ist in Art. 4 Nr. 6 DSGVO legal definiert als „strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.“

Eine strukturierte Sammlung ist nach Erwägungsgrund 15 anzunehmen, bei Akten oder Aktensammlungen sowie ihrer Deckblätter, die nach bestimmten Kriterien geordnet sind. Derartige Kriterien können etwa eine Anordnung nach Jahr, Aktenzeichen oder Namen beispielsweise in alphabetischer Reihenfolge darstellen. Eine Sammlung weist dann eine Struktur auf, wenn sie nach zumindest zwei Kriterien sortierbar ist (Kühling/Buchner/Kühling/Raab, 3. Aufl. 2020, DS-GVO Art. 2 Rn. 18). Das wäre im Falle einer manifestierten Dokumentation nach Namen und Impfbereitschaft Ja/ Nein der Fall. Erfolgt hingegen keine Verschriftlichung, selbst wenn die Lehrkraft sich die Antworten der Schülerinnen und Schüler merkt, ist der Anwendungsbereich nicht erfüllt.

Zumindest zu diesem Ergebnis kommt auch der LfDI Thüringen:

„Hasse sagte auch, dass wenn sich herausstellen sollte, dass sich die Lehrerin keine Notizen von der Abfrage machte, sein Haus den Fall neu bewerten wolle.“

Wo ist die Grenze?

Der LfDI führte weiter aus, dass es bei der Abfrage der Schülerinnen und Schüler möglicherweise auch um weltanschauliche Daten gegangen sein könnte. Auch dafür sei – je nach Alter der Schüler – „gegebenenfalls eine Einwilligung der Eltern nötig.“

Hierbei stellt sich unweigerlich die Frage, welche Auswirkungen, unterstellt, die Ausführungen des LfDI sind zutreffend, die Bewertung des LfDI nach sich ziehen würde. So dürfte im Ethikunterricht die Frage nach dem Sinn des Lebens oder im Deutschunterricht die kritische Auseinandersetzung mit Themen wie „Legalisierung von Hanf“ oder „Sterbehilfe“ nur erfolgen, wenn die Eltern oder die Schülerinnen und Schüler eingewilligt hätten. Gerade vor dem Hintergrund der Dokumentation der schriftlichen Ausarbeitungen in den Schülerakten, müssten die Arbeiten und Bewertungen datenschutzrechtlich überprüft werden. Das könnte im schlimmsten Fall zur Unwirksamkeit von Benotungen führen, da die fehlende Einwilligung nicht nachträglich eingeholt werden kann. Nicht auszudenken, wenn es sich bei der unwirksamen Arbeit um eine Klausur zum Erreichen eines Schulabschlusses handelt. Ist der Abschluss dann unwirksam?

Kritische Themen betreffen regelmäßig den Bereich der besonderen Arten personenbezogener Daten. Deren Behandlung in der Schule kann nicht unter dem Vorbehalt einer datenschutzrechtlichen Einwilligung stehen! Hier hat der Datenschutz nichts verloren.

| | , | , , , , , , , , ,