Der Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern geht in seinem 19. Tätigkeitsbericht zum Datenschutz auch auf die Herausforderungen ein, welchen sich Schulleitungen gegenüber sehen, wenn sie die Dienste eines Auftragsverarbeiters nutzen. Wie in anderen Bundesländern auch, sieht das Schulgesetz für das Land Mecklenburg-Vorpommern (SchulG M-V) die Schulleitung als Verantwortlichen im Sinne der DS-GVO vor. Schulen können die Datenverarbeitung, wenn der Verantwortliche diese auf eine entsprechende Rechtsgrundlage stützen kann, durch einen Auftragsverarbeiter durchführen lassen. Mit diesem muss ein Vertrag zur Auftragsverarbeitung gem. Art. 28 Abs. 3 DS-GVO abgeschlossen werden, der sicherstellt, dass der Auftragsverarbeiter die personenbezogenen Daten der Schule nur auf Weisung der Schule verarbeitet. Dies stellt Schulleitungen, so der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern, vor erhebliche Herausforderungen bei der Vertragsgestaltung zur Auftragsverarbeitung. Die Probleme erstrecken sich nicht nur auf die vertraglichen Bedingungen bezüglich des Weisungsrechts gegenüber dem Auftragsverarbeiter, sondern auch auf die Beurteilung der Angemessenheit und Eignung der vom Auftragsverarbeiter zugesicherten technischen und organisatorischen Maßnahmen (TOMs) zum datenschutzgerechten Umgang mit den Daten der Betroffenen. Diese Aufgaben können von Schulleitungen oft nur mit unverhältnismäßig hohem Aufwand bewältigt werden. Hinzu komme zu allem dem jetzt noch die zunehmende Verbreitung von KI und LLMs. Auftragsverarbeitungsverträge brauche meistens es auch für die von Landesseite zur Verfügung gestellten Plattformen. Der Landesbeauftragte sieht eine Lösung darin, die Zahl der Entscheidungsträger bei der Beschaffung von digitaler Ausstattung zu reduzieren und „eine Verschiebung zu zentralisierten Beschaffungsstrukturen sowie eine Verschiebung hin zu zentraler datenschutzrechtlicher Verantwortlichkeit im Bereich Schule“ anzustreben, um „die Schulleitungen deutlich [zu] entlasten.“
Bewertung
Ohne Verträge zur Auftragsverarbeitung kommt heute keine Schule mehr aus. Dritte sind an vielen Stellen der Datenverarbeitung einer Schule involviert. Das beginnt beim Support und geht bis zu externen Plattformen. Landesplattformen gehören in der Regel dazu. Selbst die vom Schulträger abgestellten Mitarbeiter im Sekretariat einer Schule sind ein Fall von Auftragsverarbeitung. Für Schulleitungen stellen die Verträge in der Tat ein Problem dar. Zwar können sie gerade bei externen Anbietern in der Regel deren angebotene Verträge nutzen, doch diese müssten sie wie vom Landesbeauftragten angesprochen eigentlich auch prüfen. Ein Datenschutzbeauftragter könnte sie dabei unterstützen. Für den Vertrag zur Auftragsverarbeitung mit dem Schulträger müssen Schulen meist auf allgemeine Vorlagen zurückgreifen. In Mecklenburg-Vorpommern bietet der Zweckverband Elektronische Verwaltung in Mecklenburg-Vorpommern (eGo-MV) auf der Seite Auftragsverarbeitungsvertrag zwischen Schule und Schulträger Schulen an, auf Nachfrage ein solches Vertragsmuster bereitzustellen. Das ist in der Tat eine gute Sache und es wäre schön, wenn es derartige Vorlagen in allen Bundesländern frei zum Download gäbe.
Was die Verantwortlichkeit einer Schulleitung im Sinne der DS-GVO angeht, da wäre es tatsächlich sinnvoll über Änderungen nachzudenken. Auch in NRW ist die Schulleitung verantwortlich und es heißt ausdrücklich in der VO-DV I, die Schulleitung stellt für die Schule „durch technische oder organisatorische Maßnahmen sicher, dass der Schutz der verarbeiteten Daten gemäß Artikel 32 in Verbindung mit Artikel 5 der“ DS-GVO gewährleistet ist.1Siehe hierzu: https://recht.nrw.de/lmi/owa/br_text_anzeigen?v_id=10000000000000000576. Während Schulleitungen in den meisten Fällen in der Lage sein dürften, organisatorische Maßnahmen festzulegen oder auch zu bewerten, so wird das bei den technischen Maßnahmen überwiegend nicht möglich sein, da hier sehr spezielle Fachkenntnisse erforderlich sind. Es wäre durchaus möglich, die Verantwortlichkeit einer Schulleitung auf die Verarbeitung der Daten in der Schule zu begrenzen, also die Umsetzung der Vorgaben des Schulgesetzes und der DS-GVO in der täglichen Arbeit der Lehrkräfte und schulischen Mitarbeiter. Den Rest könnte man auf andere Stellen auslagern. Hier die Schulträger in die Pflicht zu nehmen, wäre nicht zielführend, da vor allem kleinere Schulträger weder über die Expertise noch die finanziellen Mittel verfügen, solche einzukaufen. Besser wäre es dann, die Verantwortung in den Bereich der Schulaufsicht zu verlagern. Das brächte natürlich auch seine Probleme mit sich, etwa in dem es den Entscheidungsspielraum von Schulen einschränkt, doch Sicherheit sollte hier vorgehen.