[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.02.2011

10. Schulen und Hochschulen

10.1. Und nochmals: eGovernment-Projekt "Amtliche Schuldaten"

Bereits mehrfach habe ich zu dem eGovernment-Projekt "Amtliche Schuldaten" des Staatsministeriums für Unterricht und Kultus in meinen Tätigkeitsberichten eingehend Stellung genommen (siehe hierzu 23. Tätigkeitsbericht, Nr. 23.1, und 22. Tätigkeitsbericht, Nr. 21.1). Auch im Berichtszeitraum hat mich die datenschutzrechtliche Begleitung dieses eGovernment-Großprojekts wiederum stark in Anspruch genommen.

Im Rahmen der eGovernment-Initiative der Staatsregierung hat das Staatsministerium für Unterricht und Kultus im Jahr 2005 eine vollständige Neukonzeption des Verfahrens "Amtliche Schuldaten" in Angriff genommen. Gegenstand dieses Projekts ist zum einen eine umfassende Restrukturierung der Geschäftsprozesse der Kultusverwaltung mit dem Ziel eines effektiven, netzbasierten Schulverwaltungsverfahrens und zum anderen eine Neukonzeption der Schulstatistik, die insbesondere durch die Ermöglichung von Bildungsverlaufsuntersuchungen die längerfristige Bildungsplanung verbessern soll. So sehr ich auch eine Rationalisierung von Arbeitsprozessen befürworte, stellt doch die mit einem derart umfangreichen, multifunktionalen eGovernment-Großprojekt entstehende Dateninfrastruktur besondere datenschutz- und statistikrechtliche Anforderungen, die von den vorhandenen Rechtsvorschriften (Art. 85, 113 Abs. 1 BayEUG) nicht mehr abgedeckt werden.

Seit dem Start des eGovernment-Projekts "Amtliche Schuldaten" im Jahre 2005 habe ich daher beim Staatsministerium für Unterricht und Kultus wiederholt die Schaffung einer normenklaren und umfassenden gesetzlichen Rechtsgrundlage angemahnt, in der nicht nur die Datenschutzrechte der Schüler und Lehrer, sondern auch die mit der Umstellung der Schulstatistik von Summendaten auf Individualdaten verbundenen erhöhten statistikrechtlichen Anforderungen sichergestellt werden müssen.

Anfang des Jahres 2007 hat mir das Staatsministerium für Unterricht und Kultus erstmals einen umfassenden Gesetzentwurf für das Gesamtprojekt "Amtliche Schuldaten" vorgelegt. Seitdem konnte ich im Zuge einer mehrjährigen, kritischen und intensiven Diskussion mit dem Staatsministerium für Unterricht und Kultus erhebliche datenschutz- und statistikrechtliche Verbesserungen gegenüber den ursprünglichen Planungen erreichen. Am 19.05.2010 hat der Landtag schließlich mit dem "Gesetz zur Änderung des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen" die Rechtsgrundlage für das eGovernment-Projekt "Amtliche Schuldaten" beschlossen, die im Wesentlichen am 01.06.2010 in Kraft getreten ist (GVBl S. 230).

Aus datenschutz- und statistikrechtlicher Sicht möchte ich insbesondere folgende Verbesserungen herausgreifen:

10.1.1. Schulverwaltung (Art. 85 a, 113 a BayEUG):

  • Alle personenbezogenen Schüler-, Eltern und Lehrerdaten werden im Gesetz abschließend aufgeführt.
  • Der Umfang der Schüler-, Eltern und Lehrerdaten wurde deutlich reduziert. Insbesondere entfällt die ursprünglich vorgesehene "Schüler-ID".
  • Es werden strenge Zugriffsrechte festgelegt. Die bisherigen Befugnisse insbesondere der Schulaufsichtsbehörden werden nicht ausgeweitet. Es bestehen keine Zugriffsrechte von außerhalb der Schulverwaltung.
  • Nur die im jeweiligen Einzelfall zuständige Schule hat Zugriff auf die personenbezogenen Daten "ihrer" Schüler und Erziehungsberechtigten. Ein Datenzugriff der Schulaufsichtsbehörden einschließlich des Staatsministeriums für Unterricht und Kultus ist insoweit ausgeschlossen.
  • Für das Lehrpersonal ist die Wahrung der personalaktenrechtlichen Bestimmungen sichergestellt.
  • Unmittelbar im Gesetz werden strenge Löschungsfristen festgelegt.
  • Die Datenbanken werden nicht beim Staatsministerium für Unterricht und Kultus, sondern beim Landesamt für Statistik und Datenverarbeitung - Rechenzentrum Süd angesiedelt.

10.1.2. Schulstatistik (Art. 113 b BayEUG):

  • Die bisher nur als Geschäftsstatistik erstellte Schulstatistik wird künftig als amtliche Landesstatistik im Sinne des Art. 9 BayStatG vom Landesamt für Statistik und Datenverarbeitung durchgeführt. Damit gilt das strenge Statistikgeheimnis des Art. 17 BayStatG.
  • Die Erhebungs- und Hilfsmerkmale werden im Gesetz im Einzelnen festgelegt. Es erfolgt eine frühestmögliche Pseudonymisierung/Anonymisierung.
  • Das zur Erstellung von Bildungsverlaufsstatistiken notwendige Pseudonym wird im Wege einer unumkehrbaren Einwegverschlüsselung erzeugt, um einen Rückschluss auf Einzelpersonen zuverlässig auszuschließen.
  • Schulübergreifende Geschäfts- oder Ergebnisstatistiken werden ausschließlich von den - vom Verwaltungsvollzug strikt abgeschotteten - Statistikstellen des Staatsministeriums für Unterricht und Kultus und des Staatsinstituts für Schulqualität und Bildungsforschung erstellt.

Darüber hinaus verpflichtet das Gesetz die Staatsregierung, die Auswirkungen der Neuregelung insbesondere in datenschutzrechtlicher Hinsicht spätestens fünf Jahre nach Inkrafttreten zu evaluieren und dem Landtag darüber zu berichten.

10.1.3. Zusammenfassung und Ausblick

Im Ergebnis kann ich daher feststellen, dass die nunmehr vorliegende, mit mir abgestimmte gesetzliche Rechtsgrundlage für das eGovernment-Projekt "Amtliche Schuldaten" den datenschutz- und statistikrechtlichen Erfordernissen genügt. Zu respektieren habe ich dabei die politische Entscheidung von Staatsregierung und Landtag, Bildungsverlaufsuntersuchungen auf der Grundlage einer - jetzt immerhin durch das Statistikgeheimnis geschützten - Totalerhebung statt auf der Grundlage einer - von mir seit jeher grundsätzlich bevorzugten - wissenschaftlich basierten repräsentativen Stichprobenerhebung durchzuführen.

Nach Abschluss des Gesetzgebungsverfahrens gilt es, die korrekte praktische Umsetzung des Verfahrens aus datenschutzrechtlicher Sicht zu überprüfen. Ich sehe deshalb von meiner Seite auch in den nächsten Jahren noch Handlungsbedarf beim eGovernment-Projekt "Amtliche Schuldaten".

10.2. Nochmals: Internetauftritt von Schulen

Bereits im letzten Berichtszeitraum hatte ich mich intensiv mit datenschutzrechtlichen Problemen im Zusammenhang mit Schulhomepages befasst (siehe hierzu 23. Tätigkeitsbericht, Nr. 12.2.3 und Nr. 12.4). Auch in diesem Berichtszeitraum haben mich wieder zahlreiche Fragen rund um den Internetauftritt von Schulen beschäftigt.

10.2.1. Grundsatz: schriftliche Einwilligung

Für die weltweite Veröffentlichung personenbezogener Daten von Lehrkräften, Schülerinnen und Schülern, Erziehungsberechtigten und sonstigen am Schulleben Beteiligten auf der Schulhomepage - dazu gehören insbesondere auch Fotos - bedarf es grundsätzlich einer freiwilligen, informierten und schriftlichen Einwilligung des jeweiligen Betroffenen. Eine Ausnahme besteht nur hinsichtlich der dienstlichen Kommunikationsdaten (Name, Namensbestandteile, Vorname(n), Funktion, Amtsbezeichnung, Lehrbefähigung, dienstliche Anschrift, dienstliche Telefonnummer, dienstliche E-Mail-Adresse) der Schulleitung und von Lehrkräften, die an der Schule eine Funktion mit Außenwirkung wahrnehmen; lediglich insoweit ist keine Einwilligung erforderlich. Sind die Betroffenen noch minderjährig, so muss die Einwilligung bis zur Vollendung des 14. Lebensjahres durch die Erziehungsberechtigten und ab Vollendung des 14. Lebensjahres durch die Minderjährigen selbst und deren Erziehungsberechtigte erfolgen (siehe im Einzelnen Anlage 9 Nr. 3 der Verordnung des Staatsministeriums für Unterricht und Kultus zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzgesetzes - im Folgenden: Durchführungsverordnung).

10.2.2. Kein bloßes Widerspruchsrecht

Bei der datenschutzrechtlichen Prüfung eines städtischen Gymnasiums der Landeshauptstadt München habe ich festgestellt, dass das Gymnasium lediglich im ersten Elternbrief zu Schuljahresbeginn in einem Unterpunkt auf die Veröffentlichung personenbezogener Daten auf der Schulhomepage hingewiesen und den Eltern ein befristetes Widerspruchsrecht eingeräumt hatte. Eine solche Verfahrensweise genügt den in Art. 15 Abs. 2 bis 4, 7 BayDSG aufgestellten datenschutzrechtlichen Anforderungen an eine Einwilligung keinesfalls. Vielmehr muss eine ausdrückliche schriftliche Einwilligung eingeholt werden. Dabei sind die Betroffenen darüber zu informieren, welche personenbezogenen Daten zu welchem Zweck auf die Homepage eingestellt werden sollen. Ferner ist im Einwilligungsformular darauf hinzuweisen, dass die Einwilligung freiwillig und widerruflich ist sowie dass den Betroffenen keine Nachteile entstehen, wenn sie die Einwilligung verweigern oder widerrufen.

10.2.3. Landeshauptstadt München: Einwilligungsformulare

Um den bei der Prüfung festgestellten datenschutzrechtlichen Mangel zu beheben, hat die für das städtische Gymnasium zuständige behördliche Datenschutzbeauftragte des Schul- und Kultusreferats der Landeshauptstadt München mehrere Formblätter für Einwilligungserklärungen - je eines für minderjährige Schülerinnen und Schüler, volljährige Schülerinnen und Schüler, Lehrkräfte und Verwaltungspersonal sowie Mitglieder des Elternbeirats - entwickelt. Diese Einwilligungsformulare regeln umfassend die Problematik der Veröffentlichung personenbezogener Daten durch die Schule, nicht nur auf der Schulhomepage, sondern auch im Jahresbericht und in der örtlichen Tagespresse. Die mit mir abgestimmten Formblätter hat die kommunale Datenschutzbeauftragte u.a. allen in der Landeshauptstadt München gelegenen Schulen aller Schularten zur Verfügung gestellt, so dass erfreulicherweise eine große Breitenwirkung erzielt werden konnte.

10.2.4. Passwortgeschützter Bereich

Im Zusammenhang mit schulischen Homepages wurde ich des Öfteren mit der Frage konfrontiert, ob auf eine Einwilligung verzichtet werden könne, wenn die personenbezogenen Daten in einen passwortgeschützten Bereich der Schulhomepage eingestellt würden, auf den nur berechtigte Lehrkräfte, Schülerinnen und Schüler sowie Erziehungsberechtigte Zugriff hätten.

Hierzu ist aus datenschutzrechtlicher Sicht Folgendes festzustellen:

  • Bei der Veröffentlichung in einem passwortgeschützten Bereich der Schulhomepage kann eine Einwilligung nur insoweit entfallen, als das Einwilligungserfordernis gerade darauf beruht, dass die personenbezogenen Daten weltweit im Internet veröffentlicht werden und damit eine Datenübermittlung an die Allgemeinheit vorliegt. Soweit hingegen personenbezogene Daten betroffen sind, deren Bekanntgabe - unabhängig von der Veröffentlichungsform - auch dann einer Einwilligung bedarf, wenn diese lediglich an Lehrkräfte, Schülerinnen und Schüler sowie Eltern weitergegeben werden, wird eine Einwilligung durch die Einrichtung eines passwortgeschützten Bereichs auf der Internetseite nicht entbehrlich.
  • Daran gemessen können z.B. Sprechstundenlisten und Vertretungspläne (siehe hierzu 23. Tätigkeitsbericht, Nr. 12.4) auch ohne schriftliche Einwilligung der Betroffenen in einen nur Lehrkräften, Schülerinnen und Schülern sowie Eltern zugänglichen, geschützten Bereich der Schulhomepage eingestellt werden. Denn nur die weltweite Übermittlung dieser Daten an die Allgemeinheit wäre mit dem Datenschutz nicht vereinbar; hingegen ist die Bekanntgabe an Lehrkräfte, Schülerinnen und Schüler sowie Eltern der jeweiligen Schule - wie bei herkömmlichen, papiergebundenen Sprechstundenlisten und Vertretungsplänen - gem. Art. 85 Abs. 1 Satz 1 BayEUG datenschutzrechtlich möglich. Bei Elternbriefen und sonstigen klassen- und fachbezogenen Informationen kommt es auf den Inhalt an. Enthalten diese personenbezogene Daten, deren Bekanntgabe an Lehrkräfte, Schülerinnen und Schüler sowie Eltern nur mit Einwilligung der Betroffenen möglich ist (z.B. die Schwangerschaft einer Lehrkraft), ist auch bei einer Veröffentlichung in einem geschützten Bereich der Homepage eine Einwilligung erforderlich.
  • Aus technischer und organisatorischer Datenschutzsicht sind die Inhalte eines geschützten Bereichs bei der Übertragung durch geeignete Verschlüsselung zu sichern (https). Der Zugriff ist durch ein Passwort zu schützen, das mindestens zu Beginn jedes Schuljahres zu wechseln ist und auf geeignete Weise sicher den Zugriffsberechtigten mitzuteilen ist. Die Art der betroffenen Daten kann es erlauben, ausnahmsweise von der Forderung nach einem individuellen Login/Passwort pro Benutzer, das auch nur diesem Benutzer bekannt ist, abzuweichen. Sollte es bei dieser Vorgehensweise zu Sicherheitsproblemen kommen (z.B. Bekanntwerden des Passworts für eine Vielzahl von Nichtberechtigten, etwa durch unerlaubte Publizierung im Internet), so ist das Passwort unverzüglich zu wechseln. Sollte es auch dann erneut zu Problemen kommen, sind allerdings individuelle Passwörter für die einzelnen Benutzer unumgänglich.
  • Schließlich ist zu beachten, dass die Veröffentlichung personenbezogener Daten in einem geschützten Bereich der Schulhomepage einer datenschutzrechtlichen Freigabe des Internetauftritts durch den für die Schule zuständigen behördlichen Datenschutzbeauftragten bedarf. Denn die Einrichtung eines geschützten Bereichs auf der Schulhomepage ist in Anlage 9 der Durchführungsverordnung nicht vorgesehen und damit auch vom Staatsministerium für Unterricht und Kultus nicht generell freigegeben. Einen geschützten Bereich einzurichten, kommt deshalb vor allem für Schulen in kommunaler Trägerschaft in Betracht, da in diesen Fällen der behördliche Datenschutzbeauftragte der Kommune tätig werden kann. Schwieriger erweist sich die Umsetzung hingegen bei staatlichen Schulen, die
    - gestützt auf § 2 der Durchführungsverordnung - leider oftmals keinen behördlichen Datenschutzbeauftragten bestellt haben. Außerdem bedarf nach Nr. 9 der "Erläuternden Hinweise für die Schulen zum Vollzug des Bayerischen Datenschutzgesetzes" (Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus und Wissenschaft, Forschung und Kunst vom 19.04.2001, KWMBl S. 112, geändert durch Bekanntmachung vom 10.10.2002, KWMBl S. 354) die Einrichtung eines geschützten Bereichs auf der Schulhomepage bei staatlichen Schulen der Genehmigung durch das Staatsministerium für Unterricht und Kultus.

10.3. Passwortgeschützte Lernplattformen wie "BayernMoodle"

Im schulischen Bereich hat E-Learning - das Lehren und Lernen unter Einsatz elektronischer Medien - mittlerweile auch zur Entwicklung "virtueller Klassenzimmer", sog. Lernplattformen, geführt. So wird den bayerischen Gymnasien beispielsweise von den Ministerialbeauftragten für die Gymnasien in Bayern die Lernplattform "BayernMoodle" kostenfrei zur Verfügung gestellt. "BayernMoodle" hat inzwischen deutlich über 30.000 Nutzer. Ebenso kostenfrei können die bayerischen Realschulen im Rahmen des Bayerischen Realschulnetzes die Lernplattform "BRN-Moodle" nutzen. Bei Moodle (modular object-oriented dynamic learning environment) handelt es sich um eine Lernplattform auf Open-Source-Basis, die nicht nur als bloße "Materialverteilstation" fungiert, sondern einen "Online-Kursraum" zur Verfügung stellt. In diesem können u.a. Arbeitsmaterialien und Lernaktivitäten bereitgestellt sowie vielfältige Kommunikationsmöglichkeiten unter den Nutzern eröffnet werden. In aller Regel kostenpflichtige Lernplattformen können daneben auch von privaten Anbietern bezogen werden.

10.3.1. Datenschutzrechtliche Problematik

Aus datenschutzrechtlicher Sicht sind derartige Lernplattformen durchaus problematisch. Zum einen, weil sich die Nutzer in aller Regel personalisiert anmelden müssen. Zum anderen, weil alle Nutzungsbewegungen protokolliert werden können. So kann beispielsweise festgehalten werden, welcher Nutzer wann auf welche Seite zugegriffen hat oder sich ob und wie an Tests beteiligt hat. Damit besteht die Möglichkeit, detaillierte Verhaltensprofile der einzelnen Nutzer anzulegen.

Dem hierdurch ausgelösten datenschutzrechtlichen Regelungsbedarf ist das Staatsministerium für Unterricht und Kultus - in Abstimmung mit mir - durch Erlass der Anlage 10 "Passwortgeschützte Lernplattform" der Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzgesetzes (im Folgenden: Durchführungsverordnung) nachgekommen (siehe hierzu 23. Tätigkeitsbericht, Nr. 12.2.4). In Anlage 10 der Durchführungsverordnung finden sich detailliert die rechtlichen Rahmenbedingungen für den Einsatz von passwortgeschützten Lernplattformen an bayerischen Schulen, beispielsweise im Hinblick auf den zulässigen Umfang der Datenspeicherung sowie die zulässige Speicherdauer.

Unter diesem spezifisch bayerischen Datenschutzregime wurden "BayernMoodle" und "BRN-Moodle" von der bayerischen Kultusverwaltung entwickelt. Insoweit gebotene datenschutzrechtliche Verbesserungen konnte ich in Zusammenarbeit mit dem Staatsministerium für Unterricht und Kultus erreichen.

10.3.2. Rechtsgrundlage: Einwilligung

Nach Nr. 3.2 und 3.3 der Anlage 10 der Durchführungsverordnung müssen die Schulen für den Einsatz von passwortgeschützten Lernplattformen grundsätzlich die Einwilligung der Lehrkräfte sowie der Schüler und/oder Erziehungsberechtigten einholen. Diese Einwilligungserklärungen müssen unter Beachtung der vom bayerischen Gesetzgeber in Art. 15 Abs. 2 bis 4 und 7 BayDSG aufgestellten, strengen Anforderungen erfolgen. Danach stellt eine Einwilligung insbesondere nur dann eine tragfähige Rechtsgrundlage dar, wenn sie freiwillig, informiert und grundsätzlich schriftlich erfolgt.

Im Berichtszeitraum bin ich von verschiedener Seite darauf aufmerksam gemacht worden, dass zahlreiche Schulen die geforderte Einwilligung pauschal - beispielsweise im Rahmen eines (Unterpunktes eines) Elternbriefes - einholen, also ohne die Betroffenen vorher auch nur ansatzweise über Gegenstand und Einsatzzweck der passwortgeschützten Lernplattform sowie Art, Umfang, Verarbeitung, Nutzung und Löschung der dort gespeicherten personenbezogenen Daten aufzuklären. Diese Vorgehensweise hat nicht nur bei vielen Schülern und Erziehungsberechtigten zu Unklarheiten und Unsicherheiten geführt; sie genügt auch nicht den gesetzlichen Anforderungen an eine informierte Einwilligung.

10.3.3. Rundschreiben des Kultusministeriums

Vor diesem Hintergrund habe ich das Staatsministerium für Unterricht und Kultus gebeten, im Rahmen seiner datenschutzrechtlichen Gesamtverantwortung gem. Art. 25 Abs. 1 BayDSG die Schulen für die schul- und datenschutzrechtliche Problematik des Einsatzes von passwortgeschützten Lernplattformen zu sensibilisieren. Gebeten habe ich das Kultusministerium insbesondere darum, dafür zu sorgen, dass die Schulen den Anforderungen des Bayerischen Datenschutzgesetzes und der Anlage 10 der Durchführungsverordnung Rechnung tragen. Zudem habe ich beim Kultusministerium angeregt, den Schulen je eine Muster-Einwilligungserklärung für Lehrkräfte und Schüler/Erziehungsberechtigte zu Verfügung zu stellen.

Das Staatsministerium für Unterricht und Kultus ist meiner Bitte mit Rundschreiben vom 18.08.2010 (Az.: I.5-5 L 0572.2/28/16) an alle öffentlichen Schulen und staatlich anerkannten Ersatzschulen sowie an alle nachgeordneten Schulaufsichtsbehörden rechtzeitig vor dem Unterrichtsbeginn des Schuljahres 2010/2011 nachgekommen; in diesem Zusammenhang hat es den Schulen auch die mit mir abgestimmten Muster-Einverständniserklärungen zur künftigen Verwendung übersandt.

10.4. Weitergabe von Schülerdaten zu Werbezwecken

Gleich in einer Reihe von Fällen wurde ich im Berichtszeitraum darauf aufmerksam, dass noch immer Daten und Unterlagen über Schülerinnen und Schüler sowie deren Erziehungsberechtigte von Schulen an außerschulische Stellen für kommerzielle Zwecke weitergegeben werden. Dabei macht es keinen Unterschied, ob die Schulen die Daten selbst weitergeben oder ob sie Datenerhebungen durch außerschulische Stellen - oftmals getarnt als Geschenkauslobungen oder (Wissens-)Wettbewerbe - in der Schule dulden. Aufgefallen in diesem Zusammenhang sind mir vor allem Kreditinstitute, Krankenkassen und (Buch-)Direktvertriebsunternehmen, aber auch nichtgewerbliche Akteure wie beispielsweise Musikchöre, die an Schulen um neue Mitglieder werben.

Als besonders anschauliches Beispiel greife ich folgenden Fall heraus: Die Erziehungsberechtigten eines ABC-Schützen haben mich darüber informiert, dass die Eltern aller künftigen Schulanfänger noch vor dem ersten Schultag persönlich adressierte Anschreiben der örtlichen Sparkasse erhalten hatten. In diesen Schreiben hatte die Sparkasse Glückwünsche zur Einschulung des Kindes übermittelt und eine - persönlich von Sparkassenmitarbeitern in der Schule zu überreichende - Trinkflasche ausgelobt. "Daneben" hatte die Sparkasse auf die Bedeutung des richtigen Umgangs mit Geld hingewiesen und insoweit sogleich ihre Beratung angeboten. Die für die Anschreiben erforderlichen Adress- und Namensdaten der Erziehungsberechtigten der künftigen Schulanfänger hatte die Sparkasse von der Grundschule erhalten.

Obwohl es sich nicht nur in diesem Beispielsfall um eine Problematik handelt, die ich in der Vergangenheit schon mehrmals aufgegriffen habe (siehe hierzu 16. Tätigkeitsbericht 1994, Nr. 16.1), werden offensichtlich die insoweit zu beachtenden schul- und datenschutzrechtlichen Vorgaben noch nicht von allen Schulen eingehalten. Ich nehme dies daher zum Anlass, nochmals aus schul- und datenschutzrechtlicher Sicht auf Folgendes hinzuweisen:

Nach Art. 85 Abs. 1 Satz 1 und Abs. 2 Satz 1 BayEUG ist den Schulen die Weitergabe von Daten und Unterlagen über Schülerinnen und Schüler und Erziehungsberechtigte an außerschulische Stellen untersagt, es sei denn, die Weitergabe erfolgt zur Erfüllung der den Schulen durch Rechtsvorschriften jeweils zugewiesenen Aufgaben oder es besteht ein rechtlicher Anspruch auf die Herausgabe der Daten. In Konkretisierung dieser gesetzlichen Bestimmung ist es gem. Nr. 4.4 Buchstabe b) Satz 4 Spiegelstrich 1 der mit mir abgestimmten und für die Schulen verbindlichen "Erläuternden Hinweise für die Schulen zum Vollzug des Bayerischen Datenschutzgesetzes" (Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus und Wissenschaft, Forschung und Kunst vom 19.04.2001, KWMBl S. 112, geändert durch Bekanntmachung vom 10.10.2002, KWMBl S. 354) den Schulen verboten, Schülerdaten zu Werbezwecken weiterzugeben. Diese Bestimmung korrespondiert mit dem in Art. 84 Abs. 1 BayEUG vom bayerischen Gesetzgeber aufgestellten Verbot der kommerziellen Werbung an Schulen. So sind nach Art. 84 Abs. 1 BayEUG der Vertrieb von Gegenständen aller Art, Ankündigungen und Werbung hierzu, das Sammeln von Bestellungen sowie der Abschluss sonstiger Geschäfte in der Schule grundsätzlich untersagt.

Art. 84 Abs. 1 BayEUG Kommerzielle und politische Werbung

Der Vertrieb von Gegenständen aller Art, Ankündigungen und Werbung hierzu, das Sammeln von Bestellungen sowie der Abschluss sonstiger Geschäfte sind in der Schule untersagt. 2 Ausnahmen im schulischen Interesse insbesondere für Sammelbestellungen regelt die Schulordnung.

Art. 85 Abs. 1 Satz 1 und Abs. 2 Satz 1 BayEUG Erhebung und Verarbeitung von Daten

(1) Die Schulen dürfen die zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlichen Daten erheben, verarbeiten und nutzen.

(2) Die Weitergabe von Daten und Unterlagen über Schülerinnen und Schüler und Erziehungsberechtigte an außerschulische Stellen ist im Übrigen untersagt, falls nicht ein rechtlicher Anspruch auf die Herausgabe der Daten nachgewiesen wird.

In dem von mir eingangs herausgegriffenen Beispielsfall war die Übermittlung der Schülerdaten durch die Grundschule an die örtliche Sparkasse weder zur Erfüllung der den Schulen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlich, noch hatte die Sparkasse einen rechtlichen Anspruch auf die Herausgabe dieser Daten. Ich habe die Schule daher darauf hingewiesen, dass die Datenübermittlung unzulässig war. Die Grundschule hat unverzüglich ihren Fehler eingeräumt und mir für die Zukunft die genaue Beachtung der schul- und datenschutzrechtlichen Vorgaben zugesichert.

Um den notwendigen Schutz personenbezogener Daten von Schülerinnen und Schülern sowie deren Erziehungsberechtigten sicherzustellen, habe ich - über meine einzelfallbezogene Kontrolltätigkeit hinaus - das Staatsministerium für Unterricht und Kultus eindringlich gebeten, alle bayerischen Schulen für die Problematik nochmals eingehend zu sensibilisieren. Das Staatsministerium für Unterricht und Kultus hat meiner Bitte mit Rundschreiben vom 30.04.2009 (Az.: II.1-5 O 4101.2-6.46827) und vom 09.06.2010 (Az.: II.1-5 O 4101.2-6.141716) jeweils an alle bayerischen öffentlichen Schulen entsprochen.

In diesem Zusammenhang möchte ich noch auf zwei Punkte aufmerksam machen: Zum einen, dass auf die zur Rechtfertigung der Übermittlung von Schülerdaten an Kreditinstitute in der Vergangenheit (fälschlicherweise) gerne herangezogene "Pflege des Spargedankens in den Schulen" schon deswegen nicht mehr abgestellt werden kann, weil die zugrundeliegende Bekanntmachung aus dem Jahr 1978 mit Wirkung vom 01.09.2009 aufgehoben wurde. Zum anderen, dass die vorgenannten Grundsätze auch dann gelten, wenn die außerschulischen Akteure mit den Schülerdaten grundsätzlich billigenswerte Zwecke, wie etwa die Förderung der Musikalität von Schülerinnen und Schülern, verfolgen.

10.5. Meldungen von Erkrankungen an der Neuen Grippe durch Schulen

Ende 2009 wurde ich durch eine Eingabe darauf aufmerksam, dass einige Schulen
- unter Berufung auf eine entsprechende Anweisung des Staatsministeriums für Unterricht und Kultus - an der Neuen Grippe (sog. "Schweine-Grippe") erkrankte Schüler namentlich sowohl an das jeweils zuständige Gesundheitsamt als auch an das Kultusministerium gemeldet hatten. Meine umgehend eingeleitete Sachverhaltsaufklärung ergab, dass das Staatsministerium für Unterricht und Kultus - nach Abstimmung mit dem Staatsministerium für Umwelt und Gesundheit - die Schulen in der Tat mit Schreiben vom 08.09.2009 darauf hingewiesen hatte, dass Erkrankungen an der Neuen Grippe gemäß § 34 Abs. 6 Infektionsschutzgesetz (IfSG) namentlich dem zuständigen Gesundheitsamt zu melden sind. Derartige Erkrankungen stellten auch besondere Vorkommnisse im Sinne des § 35 Lehrerdienstordnung (LDO) dar und seien entsprechend den dort genannten öffentlichen Stellen (vorgesetzte Behörde und Aufwandsträger, ggf. Kultusministerium, ggf. Ministerialbeauftragter) zu melden.

§ 34 Abs. 6 IfSG Gesundheitliche Anforderungen, Mitwirkungspflichten, Aufgaben des Gesundheitsamtes

Werden Tatsachen bekannt, die das Vorliegen einer der in den Absätzen 1, 2 oder 3 aufgeführten Tatbestände annehmen lassen, so hat die Leitung der Gemeinschaftseinrichtung das zuständige Gesundheitsamt unverzüglich zu benachrichtigen und krankheits- und personenbezogene Angaben zu machen. Dies gilt auch beim Auftreten von zwei oder mehr gleichartigen, schwerwiegenden Erkrankungen, wenn als deren Ursache Krankheitserreger anzunehmen sind. Eine Benachrichtigungspflicht besteht nicht, wenn der Leitung ein Nachweis darüber vorliegt, dass die Meldung des Sachverhalts durch eine andere in § 8 genannte Person bereits erfolgt ist.

§ 35 LDO Besondere Vorkommnisse

Bei Vorkommnissen von besonderer Bedeutung für die Schule, wie Bränden, großen Wasserschäden, Einbrüchen im Schulhaus, schweren Unfällen während des Unterrichts oder im Schulbereich usw. ist der vorgesetzten Behörde und dem Aufwandsträger unverzüglich zu berichten. In besonders schwerwiegenden Fällen ist das Staatsministerium für Unterricht und Kultus fernmündlich zu verständigen. Von schriftlichen Berichten ist bei Realschulen, Fachoberschulen, Berufsoberschulen und Gymnasien dem Ministerialbeauftragten ein Abdruck vorzulegen.

Die Rechtslage war in diesem Schreiben jedoch zumindest sehr missverständlich wiedergegeben worden. Da Erkrankungen an der Neuen Grippe nicht unter die in § 34 Abs. 1 bis 3 IfSG aufgezählten Tatbestände fallen, besteht für die betroffene Schule keine einzelfallbezogene Meldepflicht an das Gesundheitsamt nach § 34 Abs. 6 Satz 1 IfSG. Dem Gesundheitsamt sind von der betroffenen Schule nach § 34 Abs. 6 Satz 2 IfSG Erkrankungen an der Neuen Grippe vielmehr nur dann namentlich zu melden, wenn in zeitlichem Zusammenhang mindestens zwei gleichartige, schwerwiegende Krankheitsfälle aufgetreten sind. Keinesfalls aber dürfen unter Berufung auf § 35 LDO personenbezogene Angaben, insbesondere die Namen der Erkrankten, an die dort genannten öffentlichen Stellen gemeldet werden. Denn die Übermittlung dieser personenbezogenen Gesundheitsdaten ist allenfalls zur Aufgabenerfüllung der Gesundheitsämter erforderlich; die Namen der Erkrankten benötigen zur Erfüllung ihrer gesetzlich zugewiesenen Aufgaben aber weder die Kultusverwaltung noch gar die schulischen Aufwandsträger. Meiner Auffassung nach können der Kultusverwaltung und den Aufwandsträgern unter den in § 35 LDO genannten Voraussetzungen daher höchstens die Tatsache und ggf. die Anzahl der Erkrankungen an der Neuen Grippe in einer bestimmten Schule mitgeteilt werden.

Nach Abstimmung mit dem Staatsministerium für Umwelt und Gesundheit hat sich das Staatsministerium für Unterricht und Kultus meiner Rechtsauffassung angeschlossen. In seiner Stellungnahme hat es mir ausdrücklich versichert, dass es zu keinem Zeitpunkt seine Absicht gewesen sei, die Namen erkrankter Personen zu sammeln bzw. in Erfahrung zu bringen. Vielmehr wollte das Kultusministerium lediglich über die Anzahl der aufgetretenen Fälle informiert sein, um bei Bedarf entsprechende Maßnahmen einleiten zu können. Im Übrigen sei es nur in wenigen Einzelfällen zu namentlichen Meldungen durch Schulen gekommen.

Da die Neue Grippe zwischenzeitlich stark abgeflaut war, habe ich auf die Versendung eines klarstellenden Schreibens durch das Kultusministerium an alle Schulen in Bayern verzichtet. Ich habe aber das Staatsministerium für Unterricht und Kultus gebeten, diejenigen Schulen, die datenschutzrechtlich unzulässige Meldungen erstattet hatten, schriftlich auf die Rechtslage hinzuweisen. Dieser Bitte ist das Kultusministerium umgehend nachgekommen.

Im Falle etwaiger zukünftiger Pandemien habe ich das Staatsministerium für Unterricht und Kultus ebenso wie das Staatsministerium für Umwelt und Gesundheit gebeten, die Schulen über Art und Umfang der gesundheits- und schulrechtlichen Meldepflichten rechtzeitig, klar und unmissverständlich zu unterrichten. Dies betrifft insbesondere die Fragen, unter welchen Voraussetzungen eine gesetzliche Meldepflicht der Schulen besteht und ob und an wen die Schulen personenbezogene Daten übermitteln dürfen. Dabei sollten die Schulen auch darauf hingewiesen werden, ob die Schüler bzw. deren Sorgeberechtigte gegenüber der Schule zur Meldung verpflichtet sind (§ 34 Abs. 5 IfSG).

Gesundheitsdaten stellen besonders schutzwürdige Daten dar. Sie dürfen von den Schulen nur unter den gesetzlich geregelten Voraussetzungen erhoben und übermittelt werden.

10.6. Datenschutz beim "Nationalen Bildungspanel"

Im Berichtszeitraum habe ich mich intensiv mit dem Datenschutz beim "Nationalen Bildungspanel" für die Bundesrepublik Deutschland (National Educational Panel Study - NEPS) auseinandergesetzt. Diese Längsschnittstudie wird von einem Konsortium unter Federführung der Otto-Friedrich-Universität Bamberg durchgeführt. Beteiligt sind zahlreiche weitere Universitäten und Forschungseinrichtungen; mit den tatsächlichen Befragungen sind verschiedene Erhebungsinstitute beauftragt. Ziel des "Nationalen Bildungspanels" ist es nach eigener Darstellung, Längsschnittdaten zu Kompetenzentwicklungen, Bildungsprozessen, Bildungsentscheidungen und Bildungsrenditen über die gesamte Lebensspanne zu erheben. NEPS umfasst acht Etappen (u.a. zu den Bereichen Kindergarten, Schule, Hochschule und Berufsausbildung) mit ca. 144 Einzelbefragungen. Die NEPS-Daten sollen der nationalen und internationalen Wissenschaft in anonymisierter Form zugänglich gemacht werden; sie sollen auch die Grundlagen für eine verbesserte Bildungsberichterstattung und Politikberatung in Deutschland schaffen. Nähere Informationen zu NEPS sind auf der Homepage der Otto-Friedrich-Universität Bamberg unter www.uni-bamberg.de/neps/ (externer Link) zu finden.

NEPS ist derart umfassend und vielgestaltig, dass es mir nicht möglich ist, an dieser Stelle über alle bei meiner Tätigkeit aufgetretenen datenschutzrechtlichen Problemstellungen erschöpfend zu berichten. Aufgreifen möchte ich nachfolgend nur einige der Punkte, die bei meiner - leider zumeist unter äußerst engen zeitlichen Vorgaben von NEPS vorgenommenen - datenschutzrechtlichen Bewertung von NEPS eine besondere Rolle gespielt haben und die zudem auch für vergleichbare Langzeit-Forschungsprojekte von Bedeutung sein können:

10.6.1. Einwilligung

Die Erhebung personenbezogener Daten ist bei Befragungen wie NEPS nur auf der Grundlage einer Einwilligung der Betroffenen möglich. Die Einwilligung muss insbesondere freiwillig, widerrufbar, informiert und in aller Regel schriftlich erfolgen (vgl. Art. 15 Abs. 2 bis 4 und 7 BayDSG).

Im Einzelnen stellten sich bei NEPS diesbezüglich vor allem folgende Probleme:

  • Bei einem Teil der Befragungen möchte NEPS auch Daten zu Personen erfahren, die keine Einwilligung erteilt haben, diese mitunter sogar ausdrücklich verweigert haben, und deshalb nicht an der Befragung teilnehmen (Nichtteilnehmer). Auf diese Weise sollen Aussagen über die sog. Grundgesamtheit getroffen werden können. Da die Erhebung personenbezogener Daten eine Einwilligung des jeweiligen Betroffenen voraussetzt, ist ein solches Vorgehen nur zulässig, wenn die Daten zu den Nichtteilnehmern zu keinem Zeitpunkt einer bestimmten oder bestimmbaren Person zugeordnet werden können, also von Anfang an anonymisiert sind (vgl. Art. 4 Abs. 8 BayDSG).

    Auf meine entsprechende Forderung hin hat NEPS verbesserte Verfahrensweisen entwickelt, mit denen eine erhebliche Reduzierung des Identifizierungsrisikos erreicht werden konnte.
  • Bei verschiedenen Etappen von NEPS werden Telefoninterviews mit einem Elternteil durchgeführt. Dabei stellt NEPS dem Gesprächspartner auch zahlreiche Fragen zu seinem (Ehe-)Partner. Da auf diese Weise personenbezogene Daten des Partners erhoben werden, muss auch der Partner mit der Befragung einverstanden sein.

Nach einer längeren und intensiven Diskussion mit NEPS konnte ich erreichen, dass nunmehr in den betreffenden Einwilligungsformularen die Möglichkeit vorgesehen ist, dass beide (Ehe-)Partner die Einwilligungserklärung unterzeichnen. Unterschreibt trotzdem nur eine Person, muss diese zusätzlich erklären, dass sie von ihrem Partner bevollmächtigt ist, die Einwilligungserklärung auch in dessen Namen zu unterschreiben, und dass der Partner insbesondere damit einverstanden ist, dass auch die Fragen zu seiner Person beantwortet werden.

  • Teilweise ist bei NEPS vorgesehen, dass die Teilnehmer an der Befragung Sach- und Geldgeschenke (sog. Incentives) erhalten sollen. Incentivierungen sind datenschutzrechtlich bedenklich, weil die Gefahr besteht, dass die Einwilligung nicht mehr freiwillig ist. Datenschutzrechtlich unzulässig sind deshalb insbesondere Geschenke, mit denen ein Gruppendruck aufgebaut wird. Dies wäre z.B. dann der Fall, wenn die Höhe eines einer Schulklasse gewährten Geldbetrags von der Zahl der teilnehmenden Schüler abhängig gemacht würde.

    NEPS hat mir zugesichert, dass es bei den Befragungen allenfalls kleinere, individuelle Belohnungen für einzelne Teilnehmer verteilen wird. Hingegen wird keine auf die Klasse oder die Jahrgangsstufe bezogene oder von der Teilnahmequote abhängige Icentivierung stattfinden.
  • Die Betroffenen müssen darauf hingewiesen werden, dass die Teilnahme an der NEPS-Befragung freiwillig ist. Freiwilligkeit bedeutet dabei auch, dass Betroffene, die grundsätzlich ihr Einverständnis mit der Befragung erklärt haben, das Recht haben, einzelne Fragen nicht zu beantworten.

    Auf meinen Hinweis hin hat NEPS in verschiedene Dokumente eine entsprechende Erläuterung für die Befragten aufgenommen.
  • Eine Einwilligung ist nur wirksam, wenn der Betroffene ausreichend über die Datenumgänge bei NEPS informiert ist. Verschiedentlich hatte ich deshalb angemahnt, dass die Information der Betroffenen erweitert und verbessert wird; so sind z.B. die genauen Themen der Befragung anzugeben.

Soweit im Rahmen von NEPS besonders sensible personenbezogene Daten - wie z.B. über die rassische oder ethnische Herkunft, die religiöse Überzeugung, die Gesundheit oder das Sexualleben - erhoben werden, muss sich die Einwilligungserklärung ausdrücklich auch auf derartige Daten beziehen (siehe Art. 15 Abs. 7 Satz 2 Nr. 2 BayDSG).

10.6.2. Umgang mit den erhobenen Daten

Im Hinblick auf die Verarbeitung und Nutzung personenbezogener Daten, die für Zwecke der wissenschaftlichen Forschung erhoben oder gespeichert worden sind, sieht Art. 23 BayDSG - Datenschutzgesetze anderer Bundesländer enthalten im Wesentlichen vergleichbare Bestimmungen - wichtige Regelungen vor: So dürfen diese Daten nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. Die erhobenen personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale, mit denen eine Identifizierung einer bestimmten oder bestimmbaren Person möglich ist (also insbesondere Name, Adresse etc.), von den inhaltlichen Einzelangaben gesondert zu speichern. Die Identifizierungsmerkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

Im Einzelnen ergibt sich daraus für NEPS vor allem Folgendes:

  • Da es sich bei NEPS um eine sog. Panelstudie handelt, also dieselben Personen über einen längeren Zeitraum hinweg mehrfach befragt werden und die zu den verschiedenen Zeitpunkten erhobenen Daten zusammengeführt werden müssen, ist eine sofortige Anonymisierung der Daten nicht möglich. Nach den genannten Bestimmungen muss NEPS die Identifizierungsmerkmale und die Einzelangaben allerdings gesondert speichern. Spätestens nach Abschluss der letzten Befragung zu einer Person müssen die Daten anonymisiert werden.
  • Darauf hingewirkt habe ich, dass die Namen und Adressen der Teilnehmer nur bei den von NEPS mit der Befragung beauftragten Erhebungsinstituten, nicht hingegen bei der Otto-Friedrich-Universität Bamberg selbst gespeichert sind, um das Risiko einer unzulässigen Reidentifizierung zu verringern.
  • Ziel von NEPS ist es u.a., für die nationale und internationale Wissenschaft Forschungsdaten zur Verfügung zu stellen. Entscheidend aus datenschutzrechtlicher Sicht ist, dass nur anonymisierte Daten weitergegeben und veröffentlicht werden. Um dies sicherzustellen, hat NEPS eine differenzierte Anonymisierungs- und Verwertbarkeitsstrategie entwickelt.

10.6.3. Fazit und Ausblick

Insgesamt betrachtet ist festzustellen, dass die Verantwortlichen von NEPS datenschutzrechtlichen Belangen schon im Ansatz einen hohen Stellenwert beimessen. Darüber hinaus konnte ich durch mein - wenn auch oft unter extremem Zeitdruck stehendes - Tätigwerden zahlreiche datenschutzrechtliche Verbesserungen erreichen. Im Komplex der Schuletappe habe ich zudem eng und vertrauensvoll mit dem Staatsministerium für Unterricht und Kultus zusammengearbeitet, das die Befragungen im Schulbereich zu genehmigen hatte und dabei seinerseits besonders auf den Schutz der Persönlichkeitsrechte der betroffenen Schüler, Eltern und Lehrer geachtet hat.

Für die Zukunft bleibt abzuwarten, ob bei der praktischen Umsetzung des "Nationalen Bildungspanels" für die Bundesrepublik Deutschland (weitere) datenschutzrechtliche Probleme erkennbar werden, die - im Rahmen meiner Kontrollkompetenz für bayerische öffentliche Stellen - mein erneutes Tätigwerden erfordern.

10.7. Neuregelung der studentischen Evaluation der Lehre

Durch eine Erweiterung des Art. 10 Abs. 3 Satz 2 Halbsatz 1 BayHSchG hat der Bayerische Landtag mit Wirkung vom 15.07.2009 die bayerischen Hochschulen ermächtigt, die konkreten personenbezogenen Ergebnisse der studentischen Einzelevaluationen der Lehrveranstaltungen nicht nur - wie bisher - allein dem Fakultätsrat und der Hochschulleitung, sondern auch allen Studierenden der Fakultät bekannt zu geben. Diese Ausweitung des Empfängerkreises soll zur Verbesserung des Instruments der studentischen Evaluation der Lehre und damit zur Verbesserung der Qualität der Lehre insgesamt führen.

Art. 10 BayHSchG Bewertung der Forschung, Lehre, Förderung des wissenschaftlichen Nachwuchses und der Gleichstellung der Geschlechter

(3) Im Rahmen der Bewertung der Lehre können die Studierenden als Teilnehmer und Teilnehmerinnen von Lehrveranstaltungen anonym über Ablauf sowie Art und Weise der Darbietung des Lehrstoffs befragt und die gewonnenen Daten verarbeitet werden; eine Auskunftspflicht besteht nicht. Die personenbezogenen Daten dürfen nur dem Fakultätsrat, den Studierenden der Fakultät und der Hochschulleitung bekannt gegeben und für die Bewertung der Lehre verwendet werden; die wesentlichen Ergebnisse der studentischen Befragungen werden den Mitgliedern der Hochschule, gegebenenfalls unter Hinzufügung der Stellungnahme der betreffenden Lehrperson (Satz 3), zugänglich gemacht. Den betroffenen Lehrpersonen ist in den Fällen des Satzes 2 Gelegenheit zur Stellungnahme zu den Bewertungsergebnissen zu geben.

Mit der Problematik der studentischen Evaluation der Lehre habe ich mich bereits in der Vergangenheit mehrfach kritisch auseinandergesetzt. Hierzu verweise ich insbesondere auf meine Ausführungen in meinem 22. Tätigkeitsbericht, Nr. 12.1, in meinem 21. Tätigkeitsbericht, Nr. 20.2.1, und in meinem 19. Tätigkeitsbericht, Nr. 15.4. Zwar verkenne ich nicht, dass der Verbesserung der Qualität der Lehre an den Hochschulen ein hohes Gewicht zukommt, nicht zuletzt seitdem sich die Studierenden mit Studiengebühren auch unmittelbar an den Kosten der Hochschulausbildung beteiligen. Im Ressortanhörungsverfahren habe ich dennoch verfassungs- und datenschutzrechtliche Bedenken gegen die massive Ausweitung des Empfängerkreises der personenbezogenen Einzelergebnisse der studentischen Evaluationen geltend gemacht, mit denen ich mich aber leider nicht durchsetzen konnte.

Im Einzelnen:

Die bisherige Regelung beruhte weitgehend auf einem austarierten Kompromiss, der dem verfassungsrechtlich erforderlichen Ausgleich zwischen dem Informationsinteresse der Hochschule einschließlich der Studierenden einerseits und dem Recht der Lehrpersonen auf Wahrung ihrer Persönlichkeitsrechte andererseits diente. Vor diesem Hintergrund sah Art. 10 Abs. 3 Satz 2 Halbsatz 1 BayHSchG alte Fassung (a.F.) vor, dass die bei der Evaluierung von Lehrveranstaltungen durch die teilnehmenden Studierenden erhobenen personenbezogenen Daten vollständig nur dem Fakultätsrat und der Hochschulleitung bekannt gegeben werden durften. Darüber hinaus gestattete der (insoweit weiterhin geltende) Art. 10 Abs. 3 Satz 2 Halbsatz 2 BayHSchG nur die Weitergabe der wesentlichen Ergebnisse der studentischen Befragungen an alle Mitglieder der Hochschule und damit auch an die Studierenden. Dies bedeutete, dass den Studierenden der Fakultät bereits nach der früheren Rechtslage eine personenbezogene Zusammenfassung der Bewertungen - etwa in Form einer "Benotung" - bekannt gegeben werden durfte.

Die Neuregelung in Art. 10 Abs. 3 Satz 2 Halbsatz 1 BayHSchG sieht nunmehr vor, dass die personenbezogenen Daten vollständig auch an alle Studierenden der Fakultät weitergegeben werden dürfen. Ich halte dies für einen unverhältnismäßigen Eingriff in das Grundrecht auf informationelle Selbstbestimmung des Lehrpersonals. Mir wurde
- auch in direkten Gesprächen mit dem federführenden Staatsministerium für Wissenschaft, Forschung und Kunst - kein einziges Argument genannt, das belegt hätte, dass eine konsequente Umsetzung der bestehenden Möglichkeit zur Bekanntgabe einer personenbezogenen Zusammenfassung an die Studierenden als milderes Mittel nicht ausgereicht hätte und deshalb eine Weitergabe der vollständigen personenbezogenen Daten an die Studierenden erforderlich ist. Vor der Schaffung erweiterter Veröffentlichungsbefugnisse sollten meiner Auffassung nach jedoch erst die bestehenden Möglichkeiten ausgeschöpft werden.

Darüber hinaus habe ich zu bedenken gegeben, dass der Evaluationsprozess ohne die konstruktive Mitwirkung des Lehrpersonals nicht gelingen kann. Primäres Ziel einer Evaluation sollte es sein, der betroffenen Lehrperson eine eigene Einschätzung der Qualität der von ihr angebotenen Lehrveranstaltung zu ermöglichen, um diese ggf. zu verbessern. Durch die Bekanntgabe der vollständigen Ergebnisse an alle Studierenden einer Fakultät wird jedoch einer weitergehenden Veröffentlichung der vollständigen personenbezogenen Daten (z.B. weltweit über das Internet) Tür und Tor geöffnet. Daran vermag auch die Tatsache nichts zu ändern, dass die Daten den Studierenden zunächst nur im Intranet gegen Eingabe eines Passwortes zugänglich gemacht werden sollen, da einzelne Studierende diese Daten anschließend unschwer weiterverbreiten können. Vor diesem Hintergrund habe ich auch die beamtenrechtliche Fürsorgepflicht als betroffen angesehen. Müssen die Lehrpersonen aber befürchten, dass ihre bei der studentischen Evaluation von den Hochschulen erhobenen personenbezogenen Daten detailliert weltweit verbreitet werden, wird ihre Bereitschaft, die Evaluation als Instrument zur Verbesserung von Lehre und Studium einzusetzen, spürbar abnehmen. Weltweit öffentlich "an den Pranger" gestellt zu werden, muss kein Dozent hinnehmen (so auch Bayerischer Verwaltungsgerichtshof, Urteil vom 10.03.2010, Az.: 7 B 09.1906, zur Eröffnung eines Internet-Lehrerbewertungsforums durch einen Schüler).

Meiner Auffassung nach ist es den Hochschulen allerdings auch nach der Neufassung des Art. 10 Abs. 3 Satz 2 Halbsatz 1 BayHSchG durchaus weiterhin möglich, mit Rücksicht auf die Persönlichkeitsrechte des Lehrpersonals die Bekanntgabe der Evaluationsergebnisse an die Studierenden der Fakultät auf die wesentlichen Ergebnisse zu beschränken. Denn nach Art. 10 Abs. 3 Satz 1 BayHSchG können - nicht müssen - die Studierenden befragt werden und nach Art. 10 Abs. 3 Satz 2 Halbsatz 1 BayHSchG dürfen - nicht müssen - die personenbezogenen Daten den Studierenden der Fakultät bekannt gegeben werden. Dies eröffnet die Möglichkeit einer verfassungskonformen, restriktiven Auslegung. Insbesondere haben die Hochschulen im Rahmen ihres Ermessensspielraums darauf zu achten, dass unsachliche oder gar herabwürdigende Aussagen nicht weitergegeben werden.

Ich würde es daher sehr begrüßen, wenn die Hochschulen von der Möglichkeit Gebrauch machen, den Studierenden der Fakultät weiterhin lediglich eine personenbezogene Zusammenfassung der wesentlichen Ergebnisse der studentischen Befragungen bekanntzugeben.

10.8. Zugriff auf elektronische Notenkonten von Studierenden

Im Hochschulbereich wurde mir im Berichtszeitraum u.a. folgender Sachverhalt vorgetragen:

Für jeden Studierenden einer Fakultät einer bayerischen Universität existiere ein elektronisches Notenkonto, in dem alle erbrachten Prüfungsleistungen erfasst würden. Für den internen Zugang zu diesen Daten seien keine Einschränkungen bekannt.

Bedenklich sei insbesondere, dass bei mündlichen Prüfungen dem Prüfer vorab ein vollständiger Kontoauszug zur Verfügung gestellt werde. Auf diese Weise erhalte der Prüfer Einblick in alle Noten, die der Studierende bislang erhalten habe. Für die Abnahme der Prüfung sei es jedoch unerheblich, welche Noten ein Studierender im Einzelnen erzielt habe. Vielmehr werde die Gefahr begründet, dass der Prüfer die Prüfung voreingenommen durchführe.

Darüber hinaus komme es oft vor, dass sich Dozenten ohne Wissen und ohne Einwilligung den Kontoauszug eines Studierenden besorgten, etwa wenn sich der Studierende um einen Praktikumsplatz oder ein Stipendium bewerbe. Es sei verständlich, dass der Dozent über den Leistungsstand des jeweiligen Bewerbers Bescheid wissen müsse. Allerdings solle er den Kontoauszug nur mit Einwilligung des betroffenen Studierenden erhalten können.

Die betroffene Fakultät habe ich unverzüglich um eine ausführliche Stellungnahme zu dem vorgetragenen Sachverhalt gebeten. Im Rahmen meiner datenschutzrechtlichen Bewertung des Zugangs zu den in den Notenkonten gespeicherten personenbezogenen Daten der Studierenden - sei es durch Gewährung eines elektronischen Zugriffs auf die Daten oder durch Weitergabe eines Kontoauszugs - habe ich sodann Folgendes ausgeführt:

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten der Studierenden bestimmt sich nach den jeweils geltenden Vorschriften über den Schutz personenbezogener Daten (Art. 42 Abs. 4 Satz 1 BayHSchG). Werden personenbezogene Daten Studierender innerhalb der Hochschule weitergegeben oder zugänglich gemacht, handelt es sich datenschutzrechtlich um eine Datennutzung im Sinne des Art. 4 Abs. 7 BayDSG. Eine solche Datennutzung ist u.a. nur zulässig, wenn sie zur Erfüllung der Aufgaben der Hochschule erforderlich ist (Art. 17 Abs. 1 Nr. 1 BayDSG). Inwieweit der Zugang zu den in den Notenkonten gespeicherten Daten erforderlich ist, ist letztlich eine Frage des Einzelfalls.

Art. 42 Abs. 4 Satz 1 BayHSchG Allgemeine Bestimmungen

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten der Studierenden und Gaststudierenden bestimmt sich nach den jeweils geltenden Vorschriften über den Schutz personenbezogener Daten.

Allerdings lassen sich folgende allgemeinen Grundsätze aufstellen:

  • Ein elektronischer Zugang zu den Notenkonten kann in aller Regel nur für diejenigen Mitarbeiter der Hochschule als erforderlich angesehen werden, die unmittelbar mit der Aufgabe der Prüfungs- und Notenverwaltung befasst sind. Das sind die Mitarbeiter in Prüfungsämtern, Prüfungssekretariaten o.ä., die insbesondere Prüfungen zu organisieren und Zeugnisse auszustellen haben. Sind einzelne Mitarbeiter nur in bestimmten Bereichen tätig, z.B. weil die Mitarbeiter unterschiedliche Studiengänge betreuen, sind die Zugangsberechtigungen entsprechend zu differenzieren.
  • Die Studierenden selbst können selbstverständlich jederzeit einen vollständigen Auszug ihres Notenkontos erhalten.
  • Die Weitergabe von (vollständigen) Kontoauszügen an andere Personen als die jeweils betroffenen Studierenden kommt hingegen nur eingeschränkt in Betracht. So ist es z.B. in dem eingangs geschilderten Fall, in dem sich ein Studierender um einen Praktikumsplatz oder ein Stipendium bewirbt und hierfür von einem Dozenten ein Gutachten erstellt werden soll, ohne Weiteres möglich, dass der Dozent die Daten bei dem betroffenen Studierenden selbst erhebt, indem er den Studierenden auffordert, einen Kontoauszug vorzulegen. Die Weitergabe von Kontoauszügen ohne Wissen und ohne Einwilligung des betroffenen Studierenden ist in diesem Zusammenhang hingegen nicht erforderlich. Gleiches gilt etwa für die Studienberatung: auch hier ist es möglich, dass diejenigen Studierenden, die eine Beratung wünschen, ihren Kontoauszug selbst vorlegen oder im Einzelfall in die Weitergabe einer Notenübersicht an den mit der Studienberatung betrauten Hochschulmitarbeiter einwilligen.
  • Für mündliche Prüfungen reicht es häufig aus, dass die Prüfer eine eingeschränkte Übersicht über die besuchten Lehrveranstaltungen erhalten. Hingegen kann es aus den genannten Gründen oftmals nicht als erforderlich angesehen werden, den Prüfern vollumfänglich auch die genauen Einzelleistungen (Noten) und Prüfungsergebnisse bekanntzugeben. In einem solchen Fall wäre es dann datenschutzrechtlich unzulässig, den Prüfern einen vollständigen Auszug aus dem Notenkonto zur Verfügung zu stellen.

Im konkreten Fall hat die betroffene Fakultät aufgrund meines Eingreifens die bisherige Praxis des vergleichsweise unbeschränkten internen Zugangs zu den in den Notenkonten gespeicherten personenbezogenen Daten der Studierenden gestoppt und eine datenschutzgerechte, am Erforderlichkeitsprinzip orientierte Neuregelung getroffen.