Im 52. Tätigkeitsbericht zum Datenschutz (und 6. Tätigkeitsbericht zur Informationsfreiheit) des Hessischen Beauftragten für Datenschutz und Informationsfreiheit findet auch das datenschutzrechtliche Verhältnis zwischen Schulen und Schulträgern Erwähnung. Auf Initiative der Aufsichtsbehörde beschäftigt sich seit Mitte 2023 eine Arbeitsgruppe, zu welcher neben Mitarbeitern der Aufsichtsbehörde auch Vertreter des Hessischen Kultusministeriums, des Landkreis- und Städtetages sowie der Schulträger gehören mit der Thematik. Ziel der Bemühungen ist es, „ den Beteiligten Mustervorlagen zur Verfügung zu stellen, auf deren Grundlage die datenschutzrechtliche Verantwortlichkeit, bezogen auf die tatsächlichen Verhältnisse zwischen den Schulen und Schulträgern vor Ort, geregelt werden kann.“ Wie auch in anderen Bundesländern sind in Hessen die Schulträger gem. §158 HSchG für die Ausstattung der Schulen mit digitalen Endgeräten für Schüler und Lehrkräfte sowie Software verantwortlich. Verantwortlich für die Verarbeitung von personenbezogenen Daten in der Schule ist in Hessen die Schule bzw. die Schulleitung. Auch wenn so Schulträger grundsätzlich erst einmal für die äußeren Angelegenheiten zuständig sind und Schulleitungen für die inneren Angelegenheiten der Schule, ermittelt die Arbeitsgruppe vor der Erstellung von Mustervorlagen zunächst die tatsächlichen Gegebenheiten vor Ort. Damit kann ermittelt werden, ob das datenschutzrechtliche Verhältnis zwischen Schulen und Schulträgern sich lediglich über das zwischen Verantwortlichen und Auftragsverarbeitern gem. Art. 28 DS-GVO beschränkt oder ob es eventuell auch andere Verhältnisse gibt, etwa der gemeinsamen Verantwortlichkeit gem. Art. 26 DS-GVO. 2024 sollen dann Schulen und Schulträgern die Mustervorlagen zur Verfügung gestellt werden.
Bewertung
Das Vorhaben der hessischen Aufsichtsbehörde ist auf jeden Fall lobenswert, da Schulen wie auch Schulträgern oftmals nicht klar ist, in welchem datenschutzrechtlichen Verhältnis sie zueinander stehen. In der Beratungspraxis des Verfassers des Beitrages gibt es immer wieder Schulen, welche keinerlei datenschutzrechtliche Regelungen mit ihren Schulträgern vereinbart haben. Mitunter kommt es auch vor, dass Schulträger den Abschluss solcher Regelungen verweigern, da sie sich hier nicht als in der Pflicht sehen. In NRW müssen Schulen in der Regel zumindest einen Vertrag zur Auftragsverarbeitung (AVV) mit dem Schulträger bezüglich der Mitarbeiter im Sekretariat der Schule, die vom Schulträger beschäftigt und für die Arbeit in der Schule abgestellt werden, abschließen. Gleiches gilt aber auch, wenn der Schulträger die Schulen mit eigenen Mitarbeitern bei der Administration und dem Support von Hardware, Software und Online-Plattformen unterstützt. Immer dann, wenn der Schulträger durch seine personelle Unterstützung tatsächlich oder potentiell Zugriff auf die von der Schule verarbeiteten personenbezogenen Daten erhält, muss dieses durch einen AVV vertraglich abgesichert werden. Abbilden lässt sich dieses über einen (einzigen) Vertrag zur Auftragsverarbeitung, in welchem dann die verschiedenen Verarbeitungstätigkeiten, in welche der Schulträger involviert ist, aufgeführt und in Anlagen näher spezifiziert sind (siehe auch Schule und Schulträger – Verantwortung beim Datenschutz). Mitunter müssen Schulträger überzeugt werden, dass sie gegenüber ihren Schulen in der Regel als Auftragsverarbeiter agieren und sie mit ihren Schulen entsprechende Verträge zur Auftragsverarbeitung abschließen müssen, um den Schulen eine datenschutzkonforme Nutzung ihrer Unterstützung zu ermöglichen. Das hessische Vorhaben wird zumindest in Hessen dafür sorgen, dass es dort solche Fälle nicht gibt.