Der Bayerische Landesbeauftragte für den Datenschutz hat Ende Mai 2021 seinen 30. Tätigkeitsbericht veröffentlicht.
Vertreten ist dabei auch das Thema Schulhomepage und Datenschutzerklärung. Wie dem Tätigkeitsbericht unter 10.2.4. Datenschutzerklärung auf der Schulhomepage zu entnehmen ist, hat die Aufsichtsbehörde ihre Kontakte mit Schulen „regelmäßig zum Anlass genommen, die Erfüllung der Informationspflichten nach Art. 13 DSGVO auf deren Webseiten zu überprüfen.“ Kontakte dürften Anfragen, Beschwerden und Meldungen von Datenschutzpannen gewesen sein. Bei den Prüfungen musste öfter festgestellt werden,
„dass die jeweilige Datenschutzerklärung nicht den gesetzlichen Anforderungen entsprach. In diesen Fällen war selten nahezu keine Datenschutzerklärung vorhanden, teils haben zentrale Informationen gefehlt, teils waren nur kleinere Mängel zu finden.“
Schulen in Bayern sollte wissen, dass der Bayerische Landesbeauftragte für den Datenschutz auch in Zukunft „bei einem Kontakt mit einer Schule regelmäßig die Einhaltung der Informationspflichten nach Art. 13 DSGVO, insbesondere auf der Schulwebseite, überprüfen“ wird.
Aus dem Satz wird deutlich, dass es bei der Überprüfung nicht nur um die Datenschutzerklärung auf der Schulhomepage gehen wird. Das heißt, Schulen in Bayern sollten, bevor sie sich an den Bayerischen Landesbeauftragten für den Datenschutz wenden, mit welchem Anliegen auch immer, ihre Hausaufgaben in Sachen Datenschutz gemacht haben. Das heißt, Datenschutzinformationen, Einwilligungen und das Verzeichnis der Verarbeitungstätigkeiten sollten vollständig vorliegen.
Beim zweiten Thema geht es um 10.2.2. Datenübermittlung sensibler Daten per einfacher E-Mail durch eine bayerische öffentliche Schule. Hier hatte eine Schule Eltern, deren Kind Legastheniker ist, eine Information über eine Neuregelung im Bereich des Notenschutzes bei Legasthenie per E-Mail mit einem offenen Verteiler (CC) zukommen lassen. Die Schule hat dabei gleich zweifach gegen datenschutzrechtliche Vorgaben verstoßen.
- Einmal konnten so Dritte, hier die Eltern anderer betroffener Kinder, die Information erhalten, dass andere Kinder der Schule ebenfalls Legastheniker sind.
- Zum Anderen wurden hier sensible personenbezogenen Daten ungeschützt per E-Mail übermittelt. Aus dem Inhalt der E-Mails geht klar hervor, dass ein Kind der Empfänger Legastheniker ist. Da es sich um ein sensibles Datum handelt, ist eine Übermittlung per E-Mail nur mit Verschlüsselung zulässig.