Sie sind hier: > Start > Tätigkeitsberichte > 30. TB 2020 > 10. Schulen und Hochschulen
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021
10. Schulen und Hochschulen
10.1. Beratung bei der Änderung von Vorschriften
Im Berichtszeitraum wurden mehrere Gesetze in den Bereichen Schulen und Hochschulen geändert, bei denen ich das Bayerische Staatministerium für Unterricht und Kultus sowie das Bayerische Staatsministerium für Wissenschaft und Kunst datenschutzrechtlich beraten habe.
10.1.1. Gesundheitsdienst- und Verbraucherschutzgesetz
Im Berichtszeitraum wurde Art. 14 Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG) geändert. Die Neuregelung betrifft die Übermittlung von Erkenntnissen aus Untersuchungen im Rahmen der Schulgesundheitspflege (vergleiche auch Art. 80 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen - BayEUG) durch die unteren Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz an die Schulen.
Art. 14 GDVG
Schutz der Gesundheit von Kindern und Jugendlichen
[...]
(5) 1Die unteren Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz nehmen in Zusammenarbeit mit der Schule und den Personensorgeberechtigten die Schulgesundheitspflege wahr. 2Diese hat insbesondere das Ziel, entwicklungsbedingten oder gesundheitlichen Beeinträchtigungen und Entwicklungsverzögerungen vorzubeugen, sie frühzeitig zu erkennen und den Personensorgeberechtigten Wege für deren Behebung aufzuzeigen sowie diese präventiv und mit Blick auf einen möglichen Förderbedarf gesundheitlich zu beraten. 3Die unteren Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz informieren nach Anhörung der Personensorgeberechtigten die Schulleitung der Schule, an der die Schulpflicht erfüllt wird oder voraussichtlich zu erfüllen ist, schriftlich
- unmittelbar nach der Sprachstandserhebung, wenn der Besuch eines Vorkurses Deutsch notwendig ist,
- frühestens ab Beginn des Jahres, in dem das Kind bis zum 30. September sechs Jahre alt oder nach Art. 37 Abs. 1 Satz 2 oder 3 des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG) schulpflichtig wird,
- ob gesundheitliche Beeinträchtigungen, Entwicklungsverzögerungen oder Behinderungen festgestellt wurden, wenn dies im Einzelfall für die Beschulung, insbesondere für die individuelle Förderung, erforderlich ist,
- über Erkrankungen, die gegebenenfalls ein unmittelbares medizinisches Eingreifen oder medizinische Maßnahmen an der Schule erfordern.
4Die Personensorgeberechtigten haben ihr Kind zur Schuleingangsuntersuchung nach Art. 80 Satz 1 BayEUG den unteren Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz vorzustellen und den Nachweis über die Teilnahme an der für das Kind im Zeitpunkt der Schuleingangsuntersuchung altersentsprechenden Früherkennungsuntersuchung vorzulegen. 5Wird dieser Nachweis nicht erbracht oder ist eine schulärztliche Untersuchung aufgrund einer Verordnung gemäß Art. 34 Abs. 3 Satz 1 Nr. 6 indiziert, haben die betroffenen Kinder an der schulärztlichen Untersuchung teilzunehmen. 6Wird ein Teil der Schuleingangsuntersuchung verweigert, erfolgt eine Mitteilung an das zuständige Jugendamt. 7Die Jugendämter haben unter Heranziehung der Personensorgeberechtigten oder der Erziehungsberechtigten festzustellen, ob gewichtige Anhaltspunkte für eine Kindeswohlgefährdung im Sinn des § 8a des Achten Buches Sozialgesetzbuch bestehen. 8Bei der Schuleingangsuntersuchung nach Satz 4 und bei weiteren schulischen Impfberatungen sind vorhandene Impfausweise und Impfbescheinigungen (§ 22 IfSG) der Kinder durch die Personensorgeberechtigten vorzulegen. 9Einzelheiten werden in einer Rechtsverordnung der beteiligten Staatsministerien nach Art. 34 Abs. 3 Satz 1 Nr. 6 geregelt.
[...]
Dabei werden von den unteren Behörden für Gesundheit, Veterinärwesen und Verbraucherschutz Gesundheitsdaten der Vorschulkinder an die Schulleitung der Schule übermittelt, an der die Schulpflicht erfüllt wird oder voraussichtlich zu erfüllen ist. Nach dem im Datenschutzrecht relevanten sogenannten Doppeltürmodell benötigt jedoch nicht nur die übermittelnde Behörde (hier die untere Behörde für Gesundheit, Veterinärwesen und Verbraucherschutz) eine Rechtsgrundlage für die Datenverarbeitung (diese liegt im neuen Art. 14 Abs. 5 Satz 3 GDVG), sondern auch die empfangende Behörde, hier also die Schule. Denn für diese stellt der Vorgang eine Datenverarbeitung der übermittelten Daten dar. In diesem Bereich habe ich bei meiner Beratung des Kultusministeriums Defizite in Bezug auf die gesetzlichen Verarbeitungsbefugnisse der Schulen festgestellt. Die bisherigen Rechtsgrundlagen, insbesondere Art. 85 Abs. 1 BayEUG und die Regelungen über die Schülerunterlagen in der Bayerischen Schulordnung (BaySchO), §§ 37 ff. BaySchO, haben insbesondere die durch die Neuregelung des Art. 14 Abs. 5 GDVG veranlasste Datenverarbeitung zum Teil nur unzureichend abgebildet.
Zum einen vermisste ich eine gesetzliche Aufgabenzuweisung an die Schulen in Bezug auf die Verarbeitung von Daten im Zusammenhang mit den Vorkursen zur Förderung der deutschen Sprachkenntnisse. Eine solche wurde nun in Art. 37 Abs. 5 BayEUG geschaffen:
Art. 37 BayEUG
Vollzeitschulpflicht.
[...]
(5) Die zuständige Grundschule führt einen Vorkurs Deutsch gemeinsam mit den Kindertageseinrichtungen in ihrem Sprengel durch.
Somit wurde die Verarbeitung der Daten, die die Schule gemäß Art. 14 Abs. 5 Satz 3 Nr. 1 GDVG erhält, auf eine sichere normative Basis gestützt, nämlich auf Art. 85 Abs. 1 Satz 1 BayEUG in Verbindung mit Art. 37 Abs. 5 BayEUG.
Zum anderen sah ich es kritisch, die hier in Rede stehenden Daten von Vorschulkindern, also Kindern, die noch nicht den Status von Schülerinnen und Schülern haben (vergleiche Art. 56 Abs. 1 Satz 1 BayEUG), unter die Vorschriften der Schülerunterlagen nach §§ 37 ff. BaySchO zu fassen. Um diese Auslegungsunsicherheit zu beseitigen, hat daher das Kultusministerium auf meine Bitte die Regelung der Schülerunterlagen insoweit präzisiert und speziell für die Daten, die die Schulgesundheitspflege betreffen, eine eigenständige Regelung in § 37 Satz 2 Nr. 1 Buchst. o BaySchO aufgenommen:
§ 37 BaySchO
Schülerunterlagen
1Die Schülerunterlagen umfassen die für das Schulverhältnis jeder Schülerin und jedes Schülers wesentlichen Unterlagen. 2Zu den Schülerunterlagen gehören
[...]
- Unterlagen, die die Schulgesundheitspflege gemäß Art. 80 BayEUG betreffen,
[...].
Dies stellt einen wichtigen Baustein für den Schuldatenschutz dar. Denn damit unterfallen diese Daten aus den Schulgesundheitsuntersuchungen nun klar dem (datenschutzrechtlichen) Regime der §§ 37 ff. BaySchO. Dies führt dazu, dass die Schulen normative Leitlinien zum Umgang mit diesen Daten haben und bewirkt einen erheblichen Gewinn an Rechtssicherheit in der Praxis.
10.1.2. Bayerische Schulordnung
Das vergangene Jahr war geprägt von der COVID-19-Pandemie. Insbesondere aufgrund von Kontaktbeschränkungen und Quarantäneanordnungen wurde auch das Schulleben vor bislang nicht gekannte Herausforderungen gestellt. Über große Zeiträume wurde der Schulunterricht weg aus der Schule, dem Klassenzimmer, hinein in die häusliche Sphäre verlegt. Der sogenannte Distanzunterricht war geboren, der in räumlicher Trennung von Lehrkräften und Schülerinnen und Schülern stattfindet. Dies bringt den verstärkten Einsatz von digitalen Lernformen, insbesondere mit modernen Kommunikations- und Kollaborationswerkzeugen, mit sich. Während der ersten Welle der COVID-19-Pandemie im Frühjahr 2020 wurde der Einsatz von solchen Kommunikations- und Kollaborationswerkzeugen mangels spezifischer gesetzlicher Rechtsgrundlagen regelmäßig auf die datenschutzrechtliche Einwilligung der betroffenen Schülerinnen und Schüler oder von deren Erziehungsberechtigten gestützt. Eine wirksame Einwilligung setzt unter anderem eine freiwillige Entscheidung voraus. Eine solche liegt grundsätzlich nur vor, wenn es adäquate Alternativen gibt.
Öffentliche Stellen - wie dies auch die bayerischen öffentlichen Schulen sind - sollen sich bei der Datenverarbeitung zur Erfüllung öffentlicher Aufgaben, etwa der Erfüllung des staatlichen Erziehungs- und Bildungsauftrags, vornehmlich auf gesetzliche Rechtsgrundlagen stützen. Dies entspricht zum einen dem verfassungsrechtlichen Grundsatz des Vorbehaltes des Gesetzes. Zum anderen kann der (Distanz-)Unterricht auf der Grundlage und damit in Abhängigkeit von Einwilligungen der Betroffenen faktisch oftmals nur unzureichend abgebildet werden.
Vor diesem Hintergrund habe ich es begrüßt, dass das Kultusministerium den Distanzunterricht in § 19 Abs. 4 BaySchO vor Beginn des Unterrichts im Schuljahr 2020/2021 gesetzlich geregelt hat:
§ 19 BaySchO
Stundenplan, Unterrichtszeit, Unterrichtsform
[...]
(4) 1Distanzunterricht ist Unterricht, der in räumlicher Trennung von Lehrkräften und Schülerinnen und Schülern stattfindet. 2Dieser wird grundsätzlich durch elektronische Datenkommunikation unterstützt. 3Die Durchführung von Distanzunterricht an einer Schule oder in einzelnen Klassen oder Kursen der Schule ist nur zulässig,
- wenn die zuständigen Behörden zum Schutz von Leben oder Gesundheit
- die Schulschließung oder den Ausschluss einzelner Klassen oder Kurse anordnen und das Einvernehmen der Schulaufsicht vorliegt oder
- den Ausschluss einzelner Personen anordnen oder genehmigen,
- soweit auf Grund außergewöhnlicher witterungsbedingter Ereignisse der Präsenzunterricht an Schulen ausfällt oder
- sofern einzelne Schulordnungen dies vorsehen.
4Bei Distanzunterricht nach Satz 1 ist sicherzustellen, dass eine gleichwertige Teilnahmemöglichkeit aller Schülerinnen und Schüler besteht. 5Die Schule legt die im Rahmen des Distanzunterrichts eingesetzten elektronischen Verfahren fest, die nach Zweck, Umfang und Art den in Anlage 2 Abschnitt 4 und 7 geregelten Vorgaben entsprechen müssen.
Soweit diese Regelung zum Distanzunterricht den Datenschutz betrifft, habe ich das Kultusministerium intensiv beraten. In diesem Zusammenhang ist der zusammen mit § 19 Abs. 4 BaySchO geschaffene Abschnitt 7 der Anlage 2 zur BaySchO hervorzuheben. Dieser Abschnitt stellt in Verbindung mit § 46 BaySchO die gesetzliche Befugnis zur Datenverarbeitung durch die Schule beim Einsatz von digitalen Kommunikations- und Kollaborationswerkzeugen zum Zweck der Durchführung von Distanzunterricht unter den Voraussetzungen von § 19 Abs. 4 BaySchO dar.
Des Weiteren steckt Abschnitt 7 der Anlage 2 zur BaySchO in Verbindung mit § 46 BaySchO den datenschutzrechtlichen Rahmen bei der Beratung und Beschlussfassung schulischer Gremien mit digitalen Hilfsmitteln unter den Voraussetzungen des - ebenfalls neu geschaffenen - § 18a BaySchO ab. Mit Einwilligung der betroffenen Personen oder ihrer Erziehungsberechtigten können Daten durch digitale Kommunikations- und Kollaborationswerkzeuge auch zu den weiteren Zwecken der Unterstützung der Schulentwicklung, der Ergänzung der pädagogischen Arbeit durch virtuelle Klassenräume, des ortsunabhängigen Arbeitens mit digitalen Unterrichtswerkzeugen sowie der Innen- und Außenkommunikation der Schule in dem in der Anlage genannten Umfang genutzt werden.
Bei der Neuaufnahme von Abschnitt 7 der Anlage 2 zur BaySchO war es mir wichtig, dafür Sorge zu tragen, dass keine Verschlechterung des Datenschutzniveaus eintritt. Daher habe ich die Erweiterung der Datenverarbeitungsbefugnisse durch Abschnitt 7 der Anlage 2 zur BaySchO kritisch hinterfragt, insbesondere ob diese unter dem Blickwinkel des Datenschutzes - auch in Zeiten der besonderen Herausforderungen, die der Schule durch die Pandemie aufgezwungen werden - erforderlich und gerechtfertigt ist. Durch mein Einwirken konnte ich zahlreiche Verbesserungen für den Datenschutz erreichen. Deren einzelteilige Darstellung würde jedoch den Rahmen des Tätigkeitsberichts überschreiten, so dass ich hier nur einige Punkte herausgreife:
- So habe ich erreicht, dass die im Rahmen der Kategorie "Sichtbare Profilinformationen" (Nr. 3.1.2) erfassten Daten genau aufgeführt werden, so dass der zulässige Rahmen klar definiert ist.
- Auf meine Anregung hin wurde in § 19 Abs. 4 Satz 5 BaySchO auch der Verweis auf Abschnitt 4 der Anlage 2 zur BaySchO (passwortgeschützte Lernplattform) aufgenommen, so dass für die Datenverarbeitung im Rahmen der passwortschützten Lernplattform im Fall des Distanzunterrichts nach § 19 Abs. 4 BaySchO nun mit § 46 Abs. 1 BaySchO ebenfalls eine gesetzliche Rechtsgrundlage vorliegt.
- Ich habe erreicht, dass durch die Aufnahme einer "Negativ-Kategorie" die Verarbeitung besonders sensibler Daten (etwa von Gesundheitsdaten) grundsätzlich ausgeschlossen ist (Nr. 3.4) Eine Ausnahme gilt nur dann, wenn sie durch Bekanntmachung des Kultusministeriums zugelassen wird, die die jeweiligen Anforderungen an die Datensicherheit festlegt.
- Meine Anregung, dass nicht nur die Bild-, sondern auch die Tonübertragung vom Nutzer unterbrochen werden kann, wurde ebenfalls übernommen (Nr. 6).
Nicht durchsetzen konnte ich mich bislang mit der Forderung, dass die Bestimmung zur Datenverarbeitung im Distanzunterricht eine formell-gesetzliche Grundlage erhält. Auch aufgrund der Eingriffsintensität der Regelungen halte ich eine Entscheidung des Parlamentsgesetzgebers für geboten. Das Kultusministerium hat mir immerhin in Aussicht gestellt, eine formell-gesetzliche Regelung nachzuholen.
10.1.3. Weitere Fachschulordnungen und Qualifikationsverordnung für Fachlehrerinnen und Fachlehrer verschiedener Ausbildungsrichtungen an beruflichen Schulen und an Landesfeuerwehrschulen
Neben der eben dargestellten Änderung der Bayerischen Schulordnung hat das Kultusministerium noch in diversen (Berufsfach-)Schulordnungen eine Regelung aufgenommen, nach der Distanzunterricht möglich ist. Diese (Berufsfach-)Schulordnungen enthalten nun jeweils folgende Bestimmung:
"(3) 1Mit Genehmigung der Schulaufsichtsbehörde kann in organisatorisch oder pädagogisch begründeten Fällen der Unterricht in einzelnen Fächern in begrenztem Umfang als Distanzunterricht nach § 19 Abs. 4 der Bayerischen Schulordnung abgehalten werden. 2Die Lehrerkonferenz und das Schulforum sind vorher anzuhören."
Nicht durchdringen konnte ich mit meiner Kritik, dass die tatbestandlichen Voraussetzungen dieser Regelung, nämlich ein Vorliegen eines organisatorisch oder pädagogisch begründeten Falles, zu unbestimmt seien. Ich konnte allerdings erreichen, dass diese Bestimmungen - wie übrigens auch die anderen Regelungen zum Distanzunterricht - jeweils nur zeitlich befristet gelten.
Des Weiteren habe ich das Kultusministerium auch bei der Einfügung einer Regelung zum Distanzunterricht in der Krankenhausschulordnung, der Hausunterrichtsverordnung und der Berufsschulordnung sowie in der Qualifikationsverordnung für Fachlehrerinnen und Fachlehrer verschiedener Ausbildungsrichtungen an beruflichen Schulen und an Landesfeuerwehrschulen beraten. Soweit diese Normen unspezifisch auf § 19 Abs. 4 BaySchO verweisen, habe ich - leider vergeblich - eine Präzisierung der Verweisung angeraten, insbesondere im Hinblick auf die Frage, ob hier eine Rechtsgrund- oder Rechtsfolgenverweisung erfolgen soll. Jedenfalls solange noch keine formell-gesetzliche Rechtsgrundlage für den Distanzunterricht vorliegt, hätte ich mir bei den diversen (Berufsfach/Fach)-Schulordnungen und in der Qualifikationsverordnung konkretere, die Anwendungsfälle des Distanzunterrichts normativ einschränkende Tatbestandsmerkmale gewünscht.
10.1.4. Fernprüfungen an Hochschulen
Nicht nur die Schulen, sondern auch die Hochschulen sahen sich im Frühjahr 2020 durch die Pandemie vor erhebliche Probleme gestellt. Die Pandemie und die infektionsschutzrechtlichen Vorgaben in Bezug auf Kontaktvermeidung und Abstand brachten es mit sich, dass einige bayerische Hochschulen keine Präsenz-, sondern digitale Fernprüfungen durchführen wollten und mussten.
In diesem Zusammenhang habe ich das Wissenschaftsministerium intensiv beraten. Dabei war die Rechtslage sehr komplex. Denn die denkbare Bandbreite der technischen Unterstützung einer elektronischen Fernprüfung, die eine Hochschule als datenschutzrechtlich Verantwortlicher durchführt, ist sehr breit und reicht von einem Telefonat bis hin zu einem technisch - eventuell auch unter Einsatz von KI-Systemen - vollüberwachten IT-Arbeitsplatz im privaten häuslichen Umfeld. Dementsprechend stellen sich vielfältige rechtlich gewichtige Datenschutzfragen, auch solche technisch-organisatorischer Art. Vor allem ist bei der Durchführung von elektronischen Fernprüfungen eine Vielzahl an Grundrechten betroffen. Zu nennen sind zuvorderst das Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 Grundgesetz - GG) sowie das Grundrecht auf Datenschutz nach Art. 8 Charta der Grundrechte der Europäischen Union. Soweit der betroffene Prüfling über eine Kamera erfasst wird, ist insbesondere das Recht am eigenen Bild berührt. Wenn dabei auch die Wohnung der betroffenen Person aufgezeichnet wird, steht ferner das Grundrecht auf die Unverletzlichkeit der Wohnung aus Art. 13 Abs. 1 GG im Raum. Auch die Chancengleichheit (Art. 3 Abs. 1 GG) der Prüflinge steht in Rede. Diese verfassungsrechtliche Spannungslage, die durch die Durchführung von elektronischen Fernprüfungen erzeugt wird, war bislang im Hochschulrecht in Bezug auf die Rechtsgrundlagen zur Datenverarbeitung nur unzureichend abgebildet gewesen. Daher habe ich vom Wissenschaftsministerium unter Verweis auf die verfassungsrechtliche Wesentlichkeitstheorie gefordert, dass eine spezifische Rechtsgrundlage, mithin eine Regelung für die Durchführung von elektronischen Fernprüfungen geschaffen wird. Nach der Wesentlichkeitstheorie hat das Parlament unter anderem alle grundrechtswesentlichen Entscheidungen selbst zu treffen. Zudem habe ich darauf bestanden, dass das Wissenschaftsministerium flankierend zur formell-gesetzlichen Regelung in einer Rechtsverordnung den Einsatz von Fernprüfungen konkretisiert und den zulässigen rechtlichen Rahmen für die Durchführung von elektronischen Fernprüfungen bayernweit absteckt. Hierbei hatte ich Erfolg.
So wurde mit Art. 61 Abs. 10 Bayerisches Hochschulgesetz (BayHSchG) eine neue Regelung zur Erprobung neuer oder effizienterer Prüfungsmodelle, einschließlich elektronischer Fernprüfungen, geschaffen.
Art. 61 BayHSchG
Prüfungen, Prüfungsordnungen
[...]
(10) 1Zur Erprobung neuer oder effizienterer Prüfungsmodelle kann das Staatsministerium durch Rechtsverordnung vorsehen, dass Prüfungen, die ihrer Natur nach dafür geeignet sind, in elektronischer Form und ohne die Verpflichtung durchgeführt werden können, persönlich in einem vorgegebenen Prüfungsraum anwesend sein zu müssen. 2In der Rechtsverordnung sind insbesondere Bestimmungen zu treffen
- zur Sicherung des Datenschutzes,
- zur Sicherung persönlicher Leistungserbringung durch den zu Prüfenden während der gesamten Prüfungsdauer,
- zur eindeutigen Authentifizierung des zu Prüfenden,
- zur Verhinderung von Täuschungshandlungen,
- zum Umgang mit technischen Problemen.
3Im Übrigen bleiben Art. 12 Abs. 3 Nr. 6 und Art. 61 Abs. 3 Nr. 8 unberührt. 4Das Staatsministerium evaluiert diese Bestimmung sowie die darauf aufbauenden Prüfungsregelungen spätestens zum Jahresende 2024 und berichtet hierzu dem Landtag.
Auf diese Weise hat der demokratisch unmittelbar legitimierte Gesetzgeber die wichtige Entscheidung über die grundsätzliche Zulässigkeit der probeweisen Einführung von elektronischen Fernprüfungen getroffen. Auch sieht diese Regelung vor, dass eine Rechtsverordnung des Wissenschaftsministeriums, die solche elektronischen Fernprüfungen zulässt, unter anderem Regelungen zur Sicherung des Datenschutzes enthalten muss. Wichtig war mir, dass diese neue Regelung zu elektronischen Fernprüfungen zunächst nur zeitlich befristet ist. Auch insoweit konnte ich mein Anliegen durchsetzen. Art. 61 Abs. 10 BayHSchG tritt mit Ablauf des 31. Dezember 2024 außer Kraft.
Von der gesetzlichen Ermächtigung in Art. 61 Abs. 10 BayHSchG hat das Wissenschaftsministerium Gebrauch gemacht und die Bayerische Fernprüfungserprobungsverordnung (BayFEV) erlassen. Auch hierbei habe ich das Wissenschaftsministerium intensiv beraten und konnte zahlreiche Verbesserungen für den Datenschutz erwirken. Diese im Einzelnen aufzuzählen, würde den Rahmen des Tätigkeitsberichts jedoch überschreiten. Daher will ich hier nur auf folgende Punkte eingehen, die mir besonders wichtig waren:
- Mir war es ein hervorgehobenes Anliegen, dass die Teilnahme an elektronischen Fernprüfungen weitestgehend am Freiwilligkeitsprinzip ausgerichtet ist. Die Teilnahme erfolgt nun grundsätzlich auf freiwilliger Basis mit einer termingleichen Präsenzprüfung als Alternative (§ 8 Abs. 1 BayFEV). Ist dies im Pandemiefall (§ 1 Abs. 2 BayFEV) nicht möglich, so dürfen den Studierenden jedenfalls keine prüfungsrechtlichen Nachteile entstehen (§ 8 Abs. 2 Satz 2 und 3 BayFEV).
§ 8 BayFEV
Wahlrecht
(1) 1Die Teilnahme an elektronischen Fernprüfungen erfolgt auf freiwilliger Basis. 2Die Freiwilligkeit der Teilnahme ist grundsätzlich auch dadurch sicherzustellen, dass eine termingleiche Präsenzprüfung als Alternative angeboten wird. 3Termingleich sind Prüfungen, die innerhalb desselben Prüfungszeitraums unter strenger Beachtung der Grundsätze der Chancengleichheit stattfinden.
(2) 1Soll die elektronische Fernprüfung nach § 1 Abs. 2 Satz 2 angeboten werden, stellen die Hochschulen fest, ob und für wie viele Studierende eine Präsenzprüfung unter Beachtung der jeweils geltenden infektionsschutzrechtlichen Vorgaben und Empfehlungen angeboten werden kann. 2Kann eine Präsenzprüfung nicht durchgeführt werden oder melden sich zu viele Studierende für die Alternative der Präsenzprüfung an, können die Hochschulen Studierende auf den voraussichtlich nächstmöglichen Präsenzprüfungstermin verweisen. 3Prüfungsrechtliche Nachteile dürfen dadurch nicht entstehen. 4Hierzu legen die Hochschulen Kriterien fest, wobei die Auswahl vorrangig nach dem Studienfortschritt erfolgen soll. 5Den betroffenen Studierenden muss ein Wechsel zur elektronischen Fernprüfung ermöglicht werden.
- Des Weiteren habe ich darauf geachtet, dass die Authentifizierung möglichst datensparsam und auf vergleichsweise "konventionellem" Weg möglich ist (§ 5 BayFEV). So können sich die Studierenden mit gültigem Lichtbildausweis authentifizieren. Alternative Authentifizierungsmethoden können die Hochschulen nur als zusätzliches Verfahren - im Sinne eines freiwilligen Angebots - vorsehen.
§ 5 BayFEV
Authentifizierung
(1) 1Vor Beginn einer elektronischen Fernprüfung erfolgt die Authentifizierung mit Hilfe eines gültigen Lichtbildausweises, der nach Aufforderung vorzuzeigen ist. 2Die Hochschulen können weitere, gleich geeignete Authentifizierungsverfahren durch Satzung festlegen, die sie neben der Authentifizierung nach Satz 1 zusätzlich anbieten.
(2) 1Eine Speicherung der im Zusammenhang mit der Authentifizierung verarbeiteten Daten über eine technisch notwendige Zwischenspeicherung hinaus ist unzulässig. 2Personenbezogene Daten aus der Zwischenspeicherung sind unverzüglich zu löschen.
Art. 61 Abs. 10 BayHSchG und die Bayerische Fernprüfungserprobungsverordnung sind rückwirkend zum 20. April 2020 in Kraft getreten.
Dadurch wird die Datenverarbeitung durch Hochschulen bei elektronischen Fernprüfungen auf eine spezielle rechtliche Grundlage gestützt. Dies dient nicht nur der Rechtssicherheit, sondern auch dem Datenschutz.
10.1.5. Elektronische Hochschulwahlen
Das Wissenschaftsministerium hat im Zusammenhang mit der erwähnten Änderung des Bayerischen Hochschulgesetzes auch beabsichtigt, das Recht der Hochschulwahlen zu liberalisieren und mehr in die Verantwortung der Hochschulen zu geben. Dabei sollte den Hochschulen auch die Möglichkeit gegeben werden, diese elektronisch durchzuführen. Aufgrund der meines Erachtens vorliegenden Gewichtigkeit dieser Entscheidung war es mir aber wichtig, dass der parlamentarische Gesetzgeber diese Möglichkeit der elektronischen Wahl explizit im Gesetzestext klarstellt und somit die Letztverantwortung trägt. Dies konnte ich erreichen. Die neue Vorschrift Art. 38 Abs. 2 BayHSchG lautet nun:
Art. 38
Wahlen
[...]
(2) 1Die Hochschule regelt die nach diesem Gesetz durchzuführenden Wahlen durch Satzung, in der auch die Amtszeiten festzulegen sind. 2In der Satzung kann vorgesehen werden, dass die Wahlen ganz oder teilweise elektronisch durchgeführt werden. 3Solange und soweit keine Regelung durch Satzung vorliegt, gelten die Wahlbestimmungen, die in der Grundordnung oder vom Staatsministerium durch Rechtsverordnung getroffen werden.
10.2. Aus der Prüfungs- und Beratungspraxis
Auch in diesem Berichtszeitraum hatte ich mich mit zahlreichen Vorgängen zu Datenverarbeitungen von Schulen und Hochschulen zu befassen. Neben Beratungsanfragen von betroffenen Personen, von deren Eltern, von Verbänden, von den datenverarbeitenden Stellen selbst und von Staatsministerien waren auch vermehrt Beschwerden zu bearbeiten. Im Zusammenhang mit der COVID-19-Pandemie sind zahlreiche neue Fragen entstanden. Nur beispielhaft seien Datenverarbeitungen durch Schulen im Zusammenhang mit Ausnahmen von der Maskenpflicht (siehe vor Nr. 3.1), der Distanzunterricht (siehe Nr. 10.1.2) und der Einsatz von Videokonferenzsystemen (siehe Nr. 12.4) genannt. Unabhängig davon möchte ich hier auch über andere Konstellationen berichten.
10.2.1. Umsetzung des Masernschutzgesetzes an Schulen
Mit dem weitgehenden Inkrafttreten des Masernschutzgesetzes zum 1. März 2020 enthalten nunmehr insbesondere § 20 Abs. 8 bis 14 Infektionsschutzgesetz (IfSG) Regelungen zum verpflichtenden Nachweis eines ausreichenden Impfschutzes oder einer Immunität gegen Masern.
Im Berichtszeitraum war ich daher häufig mit datenschutzrechtlichen Fragen im Zusammenhang mit der Umsetzung des Masernschutzgesetzes an bayerischen öffentlichen Schulen befasst. Neben vereinzelten Beschwerden hatte ich zahlreiche Beratungsanfragen von betroffenen Schülerinnen und Schülern und vor allem von deren Erziehungsberechtigten, jedoch auch von Lehrkräften und Schulen zu bearbeiten. Sie betrafen vorwiegend die Prüfung und Dokumentation des Nachweises eines ausreichenden Masernimpfschutzes durch Schulen sowie die Zulässigkeit von Mitteilungen an Gesundheitsämter.
10.2.1.1. Informationen und Empfehlungen zur Umsetzung des Masernschutzgesetzes durch das Bayerische Staatsministerium für Unterricht und Kultus
Um den bayerischen Schulen die Umsetzung des Masernschutzgesetzes zu erleichtern, hat das Bayerische Staatsministerium für Unterricht und Kultus auf seiner Internetseite Informationen und Empfehlungen hierzu zur Verfügung gestellt. Diese Informationen umfassen auch eine "Dokumentationshilfe für Einrichtungen beziehungsweise Übermittlungsbogen an das zuständige Gesundheitsamt - Nachweis über einen ausreichenden Masernschutz gemäß § 20 Absatz 9 Infektionsschutzgesetz (IfSG)".
Im Hinblick auf die Pflicht zum Nachweis eines ausreichenden Masernschutzes an bayerischen öffentlichen Schulen gilt - ohne nachfolgend alle Einzelheiten abbilden zu wollen - Folgendes:
- Personen, die nach dem 31. Dezember 1970 geboren sind und in Schulen oder sonstigen Ausbildungseinrichtungen gemäß § 33 Nr. 3 IfSG betreut werden, müssen laut § 20 Abs. 8 Satz 1 IfSG einen entsprechenden Impfschutz oder eine Immunität gegen Masern aufweisen.
- Der Leitung der jeweiligen Einrichtung müssen Personen, die dort betreut/beschult werden sollen, gemäß § 20 Absatz 9 Satz 1 IfSG vor Beginn ihrer Betreuung hierzu bestimmte Nachweise vorlegen. Bei minderjährigen Personen haben gemäß § 20 Abs. 13 IfSG die sorgeberechtigten Personen für die Einhaltung der Nachweisverpflichtung zu sorgen.
- Schülerinnen und Schüler, die am 1. März 2020 bereits eine bestimmte Schule besuchen, müssen die entsprechenden Nachweise gemäß § 20 Abs. 10 IfSG bis Ablauf des 31. Juli 2021 erbringen.
Die zum Nachweis geeigneten Dokumente - beispielsweise eine Impfdokumentation (Impfausweis oder Impfbescheinigung) oder ein ärztliches Zeugnis darüber, dass eine Immunität gegen Masern vorliegt oder die betroffene Person aufgrund einer medizinischen Kontraindikation nicht geimpft werden kann - werden in § 20 Abs. 9 Satz 1 IfSG aufgelistet.
10.2.1.4. Vorlage, Prüfung, Dokumentation
Grundsätzlich müssen die entsprechenden Nachweise gemäß § 20 Abs. 9 IfSG bei der Leitung der betroffenen Gemeinschaftseinrichtung (Schulleitung) vorgelegt werden. Diese nimmt die entsprechende Prüfung vor.
Entsprechend den Empfehlungen des Bayerischen Staatsministeriums für Unterricht und Kultus (vergleiche Nr. 10.2.1.1) wird der Nachweis über einen ausreichenden Masernschutz lediglich im erforderlichen Umfang (Erfüllung oder Nichterfüllung der Voraussetzungen des § 20 Abs. 9 IfSG und Begründung hierfür) in der Dokumentationshilfe festgehalten. Bei Schülerinnen und Schülern wird die Dokumentationshilfe Bestandteil der Schülerakte (§§ 37 ff. Schulordnung für schulartübergreifende Regelungen an Schulen in Bayern).
Es ist nicht vorgesehen, dass auch die für den Nachweis bei der Schule vorgelegten Dokumente (beispielsweise Impfpässe oder ärztliche Bescheinigungen) Eingang in die jeweilige Schülerakte finden. Die entsprechenden Unterlagen sind vielmehr nur zur Prüfung der Voraussetzungen notwendig und verbleiben nach Abschluss dieser Prüfung nicht bei der Schule (auch nicht in Kopie).
10.2.1.5. Mitteilungspflicht an das Gesundheitsamt
Wird der entsprechende Nachweis nicht fristgerecht vorgelegt oder ergibt sich, dass ein Impfschutz gegen Masern erst zu einem späteren Zeitpunkt möglich ist oder vervollständigt werden kann, darf eine schulpflichtige Person zwar die jeweilige Schule besuchen (vergleiche § 20 Abs. 9 Satz 9 IfSG), jedoch hat die Schulleitung gemäß § 20 Abs. 9 Satz 4 IfSG unverzüglich das Gesundheitsamt, in dessen Bezirk sich die Einrichtung befindet, darüber zu benachrichtigen und diesem personenbezogene Angaben dazu zu übermitteln.
Zu den personenbezogenen Angaben gehören dabei gemäß § 2 Nr. 16 IfSG Name und Vorname, Geschlecht, Geburtsdatum, Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und (falls abweichend), Anschrift des derzeitigen Aufenthaltsortes der betroffenen Person, Telefonnummer (soweit vorliegend) und E-Mail-Adresse (soweit vorliegend). Nicht umfasst wird insoweit also die Übermittlung der vorgelegten Nachweisdokumente. Das Gesundheitsamt kann die entsprechenden Nachweise nach Maßgabe von § 20 Abs. 12 IfSG jedoch gegebenenfalls selbst bei der betroffenen Person anfordern.
10.2.2. Datenübermittlung sensibler Daten per einfacher E-Mail durch eine bayerische öffentliche Schule
An einer bayerischen öffentlichen Schule wurde vom Sekretariat der Schulleitung per einfacher E-Mail eine Nachricht der Schulpsychologin an alle Eltern mit Schulkindern verschickt, die an Legasthenie leiden. Die Nachricht der Schulpsychologin informierte über eine Neuregelung im Bereich des Notenschutzes bei Legasthenie. Die jeweiligen Empfänger konnten dabei alle anderen Empfänger mit deren Vor- und Zunamen erkennen. Auf diese Weise hat jeder Empfänger davon Kenntnis erlangt, welche (anderen) Schulkinder ebenfalls an Legasthenie leiden.
Das Vorgehen der Schule war in mehrfacher Hinsicht datenschutzrechtlich unzulässig. Für die Verarbeitung personenbezogener Daten benötigen Schulen eine Befugnis (vgl. Art. 6 Abs. 1 UAbs. 1 DSGVO). Im Schulbereich stellt Art. 85 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) eine zentrale Befugnisnorm dar (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 2, Abs. 3 UAbs. 1 Buchst. b DSGVO). Im Übrigen gelten Art. 5 Abs. 1 Satz 2, Abs. 2 und 4 BayDSG.
Die Schule hat auf meine Aufforderung zur Stellungnahme unmittelbar eingeräumt, dass die Voraussetzungen des Art. 85 BayEUG und auch eine andere Rechtsgrundlage nicht vorliegen und sie die Legasthenie der jeweils betroffenen Schulkinder nicht an alle anderen Eltern mit betroffenen Schulkindern hätte weitergeben dürfen.
Auch die Weitergabe einer personalisierten E-Mail-Adresse durch eine öffentliche Stelle durch Versendung mittels der cc-Funktion an andere Empfänger eines E-Mail-Verteilers ist eine Verarbeitung von personenbezogenen Daten durch Übermittlung (Art. 4 Nr. 2 DSGVO), für die eine Befugnis benötigt wird (Art. 6 Abs. 1 UAbs. 1 DSGVO). Meine Auffassung hierzu habe ich bereits in meinem 27. Tätigkeitsbericht 2016 unter Nr. 2.1.3 dargelegt. An dieser halte ich weiterhin fest.
Darüber hinaus ist der Versand sensibler personenbezogener Daten per einfacher E-Mail grundsätzlich nicht zulässig (vgl. Art. 32 DSGVO sowie Nr. 6.1 Buchst. c Bekanntmachung über erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen). Das Vorliegen einer Legasthenie ist ein sensibles personenbezogenes Datum. Gleichwohl wurde die E-Mail unverschlüsselt versandt. Daher habe ich jeweils einen Verstoß der Schule gegen datenschutzrechtliche Bestimmungen festgestellt. Von einer förmlichen Beanstandung habe ich hier vor allem deshalb abgesehen, weil die Schule die Fehler unmittelbar eingeräumt und bereits Maßnahmen zur zukünftigen Vermeidung vergleichbarer Fehler ergriffen hat sowie die Bereitschaft zur Einhaltung der datenschutzrechtlichen Vorgaben deutlich erkennbar war.
10.2.3. Nachteilsausgleich - Weitergabe von Gesundheitsdaten eines Studenten innerhalb einer Hochschule
Ein Student stellte bei dem Vorsitzenden des Prüfungsausschusses eines Studiengangs an einer Hochschule schriftlich einen Antrag auf Nachteilsausgleich für eine Prüfung. Bei Bewilligung eines Nachteilsausgleichs kann die jeweilige Prüfungssituation modifiziert werden, beispielsweise durch eine Zeitverlängerung. Der Antrag enthielt ein (nerven-)ärztliches Attest mit Diagnosen zum Krankheitsbild des Petenten. In dem Antrag hat der Petent ausdrücklich darum gebeten, den Nachteilsausgleich vertraulich und diskret zu bearbeiten.
Der Vorsitzende des Prüfungsausschusses lehnte den Antrag gegenüber dem Studenten per Bescheid ab. Dies geschah mittels einer nicht ausreichend verschlüsselten E-Mail, die auch den Antrag des Studenten und dessen Attest als gescannte PDF-Datei als Anhang enthalten hat. Diese E-Mail samt Anhang ist mittels der sogenannten cc-Funktion auch an Prüfungsausschussmitglieder sowie einen anderen Lehrstuhl versendet worden. Gemäß der von mir angeforderten Stellungnahme der Hochschule hätten an dem anderen Lehrstuhl ausschließlich der Lehrstuhlinhaber und dessen Sekretariat Zugriff auf die Funktions-E-Mail-Adresse des Lehrstuhls gehabt.
Öffentliche Stellen wie Hochschulen benötigen für die Verarbeitung personenbezogener Daten eine Befugnis (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 2, Abs. 3 UAbs. 1 Buchst. b DSGVO). Nach Art. 42 Abs. 4 Satz 1 Bayerisches Hochschulgesetz bestimmt sich die Verarbeitung von personenbezogenen Daten der Studierenden und Gaststudierenden nach den jeweils geltenden Vorschriften über den Schutz personenbezogener Daten. Nach Art. 4 Abs. 1 BayDSG ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Das als Anlage versendete ärztliche Attest über den Petenten enthält überdies Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO. Die Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 1 DSGVO untersagt, wenn nicht die Voraussetzungen des Art. 9 Abs. 2 DSGVO vorliegen.
Für die hier in Rede stehenden Datenverarbeitungen konnte die Hochschule keine Befugnisnorm darlegen.
In Betracht gekommen wäre allenfalls Art. 9 Abs. 2 Buchst. g DSGVO in Verbindung mit Art. 4 Abs. 1 BayDSG in Verbindung mit der Allgemeinen Prüfungsordnung der Hochschule. Dann hätte die beschriebene Versendung des ärztlichen Attestes allerdings zur Durchführung des Nachteilsausgleichsverfahrens erforderlich sein müssen. Dies war jedoch nicht der Fall. Dabei ist auch der Grundsatz der Datenminimierung zu beachten (Art. 5 Abs. 1 Buchst. c DSGVO).
10.2.3.1. Versendung an die weiteren Mitglieder des Prüfungsausschusses
Die Versendung des Attestes an die weiteren Mitglieder des Prüfungsausschusses rechtfertigte die Hochschule damit, dass diese stimmberechtigte Mitglieder des Prüfungsausschusses seien. Sie würden an den Entscheidungen mitwirken und würden auf diesem Weg über den erfolgten Bescheiderlass in Kenntnis gesetzt.
Zur Information über den erfolgten Bescheid ist es allerdings nicht erforderlich, den Mitgliedern das Attest per E-Mail zu übersenden. Hierfür genügt eine Nachricht, dessen Informationsgehalt sich darauf beschränkt, dass der Antrag des Antragstellers mit Bescheid von einem bestimmten Datum abgelehnt worden ist. Daraus folgt auch, dass die Übersendung des Bescheids an die Mitglieder in Kopie ebenfalls nicht erforderlich war.
10.2.3.2. Versendung an einen anderen Lehrstuhl
Die Versendung an einen anderen Lehrstuhl hat die Hochschule damit begründet, dass es sich bei der in Rede stehenden Prüfung um eine nicht zentral vom Prüfungsamt, sondern vom Lehrstuhl organisierte Prüfung gehandelt habe. Gegenüber dem Prüfungsausschuss habe ein Mitarbeiter des Lehrstuhls zu erkennen gegeben, dass der Lehrstuhl über den Antrag des Studenten auf Nachteilsausgleich informiert gewesen wäre. Daher sei es notwendig gewesen, den Lehrstuhl über die negative Entscheidung des Prüfungsausschusses in Kenntnis zu setzen.
Diese Begründung trägt jedoch nicht. Für die Organisation der Prüfung wäre es für den Lehrstuhl allenfalls nötig zu erfahren, dass der Antrag abgelehnt wurde und für den Petenten bei der Durchführung der Prüfung daher kein Nachteilsausgleich zu organisieren ist. Hierfür war es weder erforderlich, dem Lehrstuhl den ablehnenden Bescheid in Kopie noch das ärztliche Attest zu übersenden. Es hätte jedenfalls genügt, wenn der Prüfungsausschuss dem Lehrstuhl nur die Information mitgeteilt hätte, dass der Antrag ablehnt worden sei.
Ich habe daher mehrere Verstöße gegen datenschutzrechtliche Bestimmungen bei der Hochschule beanstandet. Dies war unter Ausübung meines Ermessens auch angezeigt, weil die Hochschule lediglich in Bezug auf die Übermittlung an den anderen Lehrstuhl (ansatzweise) einen Fehler eingeräumt hat und zudem hier besonders sensible Gesundheitsdaten betroffen waren. Hinzu kommt, dass der Petent ausdrücklich um Vertraulichkeit gebeten hatte. Dennoch hatte dies den Vorsitzenden des Prüfungsausschusses offensichtlich nicht zu einem datenschutzrechtlich sensibleren Umgang veranlasst. Des Weiteren habe ich bei der Hochschule veranlasst, dass alle von dem Vorgang betroffenen Personen der Hochschule das dort ohne Rechtsgrundlage verarbeitete Attest aus ihrem E-Mail-Programm und Computer löschen (Art. 17 Abs. 1 Buchst. d DSGVO).
10.2.4. Datenschutzerklärung auf der Schulhomepage
Kontakte mit Schulen im Rahmen meiner Aufsichtstätigkeit habe ich regelmäßig zum Anlass genommen, die Erfüllung der Informationspflichten nach Art. 13 DSGVO auf deren Webseiten zu überprüfen. Hierbei habe ich leider öfter feststellen müssen, dass die jeweilige Datenschutzerklärung nicht den gesetzlichen Anforderungen entsprach. In diesen Fällen war selten nahezu keine Datenschutzerklärung vorhanden, teils haben zentrale Informationen gefehlt, teils waren nur kleinere Mängel zu finden. Dabei hat das Bayerische Staatsministerium für Unterricht und Kultus ein mit mir abgestimmtes Muster für Datenschutzhinweise für Schulen samt Anwendungsvorgaben auf seiner Webseite veröffentlicht. Immerhin habe ich bei den betroffenen Schulen nach meinem Hinweis auf den Missstand stets die unmittelbare Bereitschaft zur Anpassung ihrer Datenschutzerklärung an das Muster feststellen können. Ich werde auch in Zukunft bei einem Kontakt mit einer Schule regelmäßig die Einhaltung der Informationspflichten nach Art. 13 DSGVO, insbesondere auf der Schulwebseite, überprüfen.
- Vom 10. Februar 2020 (BGBl. I S. 148). [Zurück]
- Internet: https://www.km.bayern.de/allgemein/meldung/6891/so-setzen-schulen-das-masernschutzgesetz-richtig-um.html (externer Link). [Zurück]
- Vom 11. Januar 2013 (KWMBl. S. 27, ber. S. 72). [Zurück]