Das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai des Vorjahrs wurde von vielen Betrieben, Behörden und Juristen mit Argusaugen beobachtet. Mehr als ein halbes Jahr später hat sich die erste Aufregung gelegt – dennoch kommt es weltweit in fast beängstigender Regelmäßigkeit zu schweren Datenschutzverletzungen, sei es durch soziale Medien oder IT-Unternehmen. Vor allem an Schulen, wo häufig mit sensiblen Daten von besonders Schutzbedürftigen hantiert wird, ist der korrekte Umgang mit personenbezogenen Daten deshalb umso wichtiger, steht aber immer noch in teils krassem Gegensatz zur gängigen Praxis. Viele Schülerinnen und Schüler fragen sich, welche Auswirkungen die neue Verordnung konkret hat. Auch Eltern haben, etwa bei Fotos von Schulveranstaltungen, einiges zu bedenken. DER STANDARD hat die wichtigsten Fragen und Antworten gesammelt.

Was hat sich mit Inkrafttreten der DSGVO an den Schulen geändert?

Die konkreten Veränderungen an Österreichs Schulen waren durchaus überschaubar. Das liegt nicht daran, dass die DSGVO insgesamt wenig Anforderungen mit sich bringen würde, sondern vielmehr an der Tatsache, dass in Österreich – ähnlich wie in Deutschland – bereits seit Jahrzehnten ein recht umfangreicher Datenschutz an den Schulen – zumindest in der Theorie – vorherrscht. Vor allem das Datenschutzgesetz aus dem Jahr 2000 galt dabei bereits bisher als solides Grundgerüst.

Gerade durch die Digitalisierung und die mit ihr verbundene häufigere Ansammlung und Nutzung von Daten wurde aber eine Vereinheitlichung bestehender Rechte und Pflichten auf EU-Ebene notwendig. Neu ist, dass es sowohl bundesweit als auch pro Bundesland in jeder Bildungsdirektion (wie der Landesschulrat seit Jahresbeginn heißt) nun eine Datenschutzbeauftragte beziehungsweise einen Datenschutzbeauftragten gibt. Selbiges gilt für Pädagogische Hochschulen und große private Schulerhalter. Insgesamt arbeiten derzeit mehr als 50 Personen in solch beratenden Funktionen, die auch jedem Schulleiter und jeder Schulleiterin Österreichs in den vergangenen Monaten eine Datenschutzschulung erteilt haben.

Wer trägt die Verantwortung für die Daten?

Verantwortlich für den korrekten Umgang mit personenbezogenen Daten ist – wie auch bisher – der jeweilige Schulleiter oder die Schulleiterin. Die Bildungsdirektionen und Datenschutzbeauftragten nehmen nur eine beratende Tätigkeit wahr. Dennoch wurde bereits in den vergangenen Jahren immer wieder versucht, die "Server von den Schulen" zu holen, wie der Datenschutzbeauftragte im Bildungsministerium, Thomas Menzel, sagt. Dadurch sollen die sensibelsten Daten zentral im Bildungsministerium in Wien erfasst und gespeichert werden, um höchstmögliche Sicherheit zu garantieren. Alle schulbezogenen IT-Anwendungen, die zentral betrieben werden – etwa Lernplattformen, Eduthek oder das elektronische Klassenbuch –, werden auch zentral von den Behörden betreut.

Ab wann dürfen Jugendliche über ihre personenbezogenen Daten selbst entscheiden?

In einer Anfragebeantwortung durch das Bildungsministerium heißt es klar, dass Schülerinnen und Schüler ab dem vollendeten 14. Lebensjahr "hinreichend geschäftsfähig zur eigenen Abgabe von datenschutzrechtlichen Zustimmungserklärungen sind". Das bedeutet, dass sie eigenhändig ihre Zustimmung zu sogenannten Serviceleistungen der Schule geben dürfen. Das beinhaltet etwa die Verwendung von bestimmten Daten für die Ausstellung von Schülerausweisen oder Kopierkarten sowie die Veröffentlichung von Fotos auf Schulveranstaltungen.

Darf ich als Elternteil Fotos bei der Schulveranstaltung machen und diese etwa auf Facebook veröffentlichen? Darf die Schule Fotos vom Krippenspiel oder der Sommersportwoche auf die Schulhomepage stellen?

Für beide Fälle gibt es keine rechtlich genau geregelte Grundlage, weshalb es einer expliziten Einwilligung der fotografierten Personen bedarf. Bei Kindern bis zum 14. Lebensjahr übernehmen dies die Erziehungsberechtigten. Um eine etwaige Flut an Einverständniserklärungen zu vermeiden, reiche es aber vollkommen aus, beim Schuleintritt des Kindes eine einmalige Einverständniserklärung für alle ähnlich gearteten Veranstaltungen zu unterzeichnen, betont Menzel. Diese müsse auch nicht jährlich erneuert werden. Bei Schulveranstaltungen können Eltern, Verwandte und Freunde grundsätzlich davon ausgehen, dass die Schülerinnen und Schüler eine solche Erklärung bei Schuleintritt unterzeichnet haben. Dennoch steht es den Veranstaltern, Lehrkräften oder Schulleitern frei, das Fotografieren zu untersagen.

Dürfen Lehrkräfte Schulnoten laut vor versammelter Klasse vorlesen?

Anders als bei mündlichen Prüfungen, bei denen eine verbale Begründung über die konkrete Notenfindung für alle Zuhörenden gemacht werden muss, ist für schriftliche Arbeiten keine Transparenz vor der Klassengemeinschaft vorgesehen. Dies bedeutet, dass auch ein öffentliches Verlesen der Note grundsätzlich nicht zulässig ist. Schülerinnen und Schülern steht es selbstverständlich dennoch frei, eine solche "öffentliche" Erklärung der Note einzufordern. So weit die Theorie.

In der Praxis ist aber sowohl den Behörden wie auch den Lehrkräften bewusst, dass innerhalb einer Klassengemeinschaft die Geheimhaltung – etwa bei Schularbeitsnoten – kaum Realität ist, allein schon deshalb, weil die Kinder ihre Klassenkameradinnen und Klassenkameraden nach der Note fragen. Nichtsdestotrotz haben sie ein Recht darauf, ihre Noten beispielsweise im persönlichen Gespräch mit der Lehrkraft zu erfahren. Erste Erfahrungen zeigen, dass Lehrkräfte unterschiedlich damit umgehen: Manche fragen vor dem Verlesen der Noten, ob jemand diese lieber individuell erfahren möchte, andere wiederum anonymisieren sämtliche Noten, und so manche Lehrperson pfeift komplett auf die neuen Vorgaben und macht alles wie bisher. Das Vorlesen der Noten war allerdings auch vor Inkrafttreten der DSGVO unzulässig.

In vielen Schulen ersetzen Messenger-Dienste wie Whatsapp mittlerweile den analogen Austausch zwischen Lehrenden, Schülern und Eltern. Ist das legal?

Nein. Seitens des Ministeriums heißt es, dass "aus datenschutz- wie auch aus lizenzrechtlichen Gründen Whatsapp-Gruppen oder ähnlich geartete Gruppenchats sozialer Medien für die offizielle Eltern-Lehrer-Schüler-Kommunikation nicht zulässig" sind. Die elektronische Kommunikation sei dennoch "sinnvoll und zeitgemäß", sie müsse jedoch über geprüfte (und teils kostenpflichtige) IT-Anwendungen laufen, welche eine Auftragsverarbeitungsvereinbarung mit dem Bundesministerium oder der entsprechenden Schule abgeschlossen haben. So eine Vereinbarung liegt derzeit nur mit Eduflow vor, Gespräche mit info.sms, Schoolfox, Schoolupdate und weiteren Anbietern laufen.

Welche personenbezogenen Daten dürfen Schulen – etwa bei Schulausflügen an Busunternehmen oder Hotels – weitergeben?

Für jede Weitergabe personenbezogener Schülerdaten muss entweder eine gesetzliche Grundlage, eine vertragliche Verpflichtung oder eine freiwillige Einwilligung vorliegen. Datenschützer raten den jeweiligen Schulleiterinnen und Schulleitern generell dazu, stets nur die absolut notwendigen Daten an Dritte weiterzuvermitteln – bei einem Schulausflug mit Übernachtung etwa die laut Meldegesetz notwendigen Daten wie Name, Geburtsdatum, Wohnsitz. Die Weitergabe aller weiteren relevanten Daten (etwa einer Nahrungsunverträglichkeit) ist durch die Zusage zum Ausflug quasi gegeben. Für kleinere Ausflüge wie zum Beispiel Wandertage ist auch wieder eine generelle Einwilligung bei Schuleintritt ausreichend. Sollten Alumniverbände oder Elternvereine Daten von Schulen anfordern, so sind diese Ansuchen direkt an die jeweilige Person weiterzuleiten. Selbstverständlich dürfen keinerlei Daten von Schülerinnen und Schülern für Werbezwecke weitergegeben werden.

Gab es bereits Anzeigen oder gar Verurteilungen aufgrund der neuen Verordnung?

Die Anzahl der Anzeigen bei der Datenschutzbehörde ist weit geringer, als vor Inkrafttreten der DSGVO vermutet. Tatsächlich kam es bisher zu keiner offiziellen Anzeige durch die Datenschutzbehörde, was neben dem sorgsamen Umgang mit den Daten an Österreichs Schulen auch daran liegen könnte, dass, anders als in anderen Bereichen des Datenschutzes, Kläger kaum ein (finanzielles) Interesse haben, Schulen anzuzeigen. Informell sind zwei Fälle bekannt, in denen die Datenschutzbehörde demnächst wohl handeln müssen wird.

Wie steht es um die Zahl der Auskunftsbegehren an Schulen?

Diese Auskunftsbegehren – ähnlich etwa jenem, das der österreichische Datenschutzaktivist Max Schrems an Facebook stellte – könnten Österreichs Schulen potenziell vor große administrative Herausforderungen stellen. Sowohl im Ministerium als auch in den Bildungsdirektionen und den Schulen halten sich diese bisher meist aber im einstelligen Bereich. Das liegt auch daran, dass das Bildungsgesetz eine Vielzahl an anderen Informations- und Auskunftmöglichkeiten für Eltern, etwa in Form von Elternsprechtagen, Sprechstunden oder Frühwarnungen, einräumt. (Fabian Sommavilla, 7.1.2019)