-> Home -> Der LfD -> Tätigkeitsberichte -> 2009
  Inhalte:
  Aufgaben und Befugnisse des Landesbeauftragten
  Kontakt
  Pressemitteilungen
  Tätigkeitsberichte
  Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
 

29. Tätigkeitsbericht 2009 - Inhaltsverzeichnis

 

29. Tätigkeitsbericht 2009 - 3. Teil

3. Teil: Bildungsbereich

1. Von Schlüsselszenen und Lernspuren - der Orientierungsplan für Bildung und Erziehung in baden-württembergischen Kindergärten und weiteren Kindertageseinrichtungen

2. "Kompetenzanalyse Profil AC" - ohne datenschutzrechtliche Kompetenz?

3. "Offene Mathe-Foren" und eine Vielzahl anderer Probleme an einem Gymnasium

4. Die Tücken des Verfahrens "winprosa"

5. Prüfungspläne mit Namen von Abiturienten haben im Internet nichts zu suchen

6. Datenschutz an einer Schule im Zusammenhang mit einem Masernfall

7. Die Kopie des Personalausweises in der Schulkartei

8. Personenbezogene Daten von Studenten im Internet - Datenschutzverstoß an einer Pädagogischen Hochschule

1. Von Schlüsselszenen und Lernspuren - der Orientierungsplan für Bildung und Erziehung in baden-württembergischen Kindergärten und weiteren Kindertageseinrichtungen

Der "Orientierungsplan für Bildung und Erziehung in baden-württembergischen Kindergärten und weiteren Kindertageseinrichtungen" sollte ursprünglich ungeachtet einer fehlenden normenklaren Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten verbindlich eingeführt werden.

Der o. g. Orientierungsplan, der in seiner ursprünglichen Fassung für eine Pilotphase bereits 2006 vom Kultusministerium herausgegeben worden war, enthält in der aktuellen Fassung auf über 146 Seiten eine Fülle von Ausführungen, etwa über das Grundverständnis von Bildung und Erziehung, die sich daraus ergebenden Ziele und die Kooperationsfelder des Kindergartens sowie konkrete Anhaltspunkte für die pädagogische Arbeit. Dabei hängt er die Messlatte fachlich sehr hoch. Dies hat zur Folge, dass die Umsetzung des Orientierungsplans in der praktischen Arbeit mit nicht unerheblichem Aufwand verbunden ist, der auf kommunaler Seite bereits zum Hinweis auf die finanziellen Folgen geführt hat (Stichwort: Konnexitätsprinzip).

Auch datenschutzrechtlich ist der Plan von Brisanz: Insbesondere die Aussagen zur "verpflichtenden Dokumentation von Entwicklungsverläufen und Bildungsprozessen" und zu "Fotos von Schlüsselszenen oder Videosequenzen", die, "unter der Voraussetzung, dass Eltern damit einverstanden sind", "greifbare Lernspuren einer persönlichen Bildungsbiografie" bilden sollen, werfen die Frage auf, aus welcher gesetzlichen oder sonstigen Vorschrift sich die Verpflichtung zur Dokumentation von Entwicklungsverläufen und Bildungsprozessen eigentlich ergeben soll. Denn auch dem Kultusministerium sollte bekannt sein, dass es für Eingriffe in das informationelle Selbstbestimmungsrecht einer normenklaren gesetzlichen Grundlage oder gegebenenfalls einer Einwilligung der Betroffenen bedarf. Die mir zunächst entgegengehaltenen Vorschriften des Gesetzes über die Betreuung von Kindern in Kindergärten, anderen Kindertageseinrichtungen und der Kindertagespflege (KiTaG) oder des Achten Buchs des Sozialgesetzbuchs (SGB VIII) haben im Wesentlichen programmatischen Charakter und sind im Hinblick auf den mit der verbindlichen Umsetzung des Orientierungsplans verbundenen Grundrechtseingriff nicht normenklar genug. Die vom Kultusministerium ebenfalls angedachte Lösung über den Abschluss öffentlich-rechtlicher Vereinbarungen mit (notwendigerweise allen!) kommunalen und kirchlichen Trägern von Kindergärten und weiteren Kindertageseinrichtungen halte ich weder für praktikabel noch - im Hinblick auf die Einbeziehung der Kinder bzw. Erziehungsberechtigten - für einen gleichwertigen Ersatz einer gesetzlichen Regelung. Schließlich wäre es bei dieser Variante erforderlich, dass die Erziehungsberechtigten völlig freiwillig der Anwendung des Orientierungsplans in Bezug auf ihr Kind zustimmen.

Die Fragestellung nach dem Rechtscharakter und den Rechtsfolgen zog sich wie ein roter Faden durch alle hier bearbeiteten Fälle, seit mein Amt 2007 aufgrund einer Eingabe erstmals mit dem Orientierungsplan befasst war. Zwar hat das Kultusministerium inzwischen erklärt, der Orientierungsplan solle keine förmliche Verwaltungsvorschrift darstellen; damit bleibt jedoch mangels gesetzlicher Grundlage offen, welche der darin enthaltenen Aussagen tatsächlich rechtliche Verbindlichkeit beanspruchen. Diese Fragen haben durchaus praktische Bedeutung: Für die kommunalen Kindergartenträger landauf, landab war, wie sich in vielen Anfragen zeigte, vielfach unklar, ob sie sich an die Vorgaben des Orientierungsplans halten müssen oder ob diese nur den Charakter von Anregungen und Empfehlungen haben. Damit waren diese Kindergartenträger zwangsläufig oft auch nicht in der Lage, den Eltern der Kindergartenkinder klare Informationen zu vermitteln, insbesondere für die gesetzlich gebotene Aufklärung der Eltern bei der Einholung der datenschutzrechtlichen Einwilligung für Foto- und Filmaufnahmen von ihren Kindern zu sorgen. Auf dieses Problem hat mein Amtsvorgänger bereits vor Jahren auch das Kultusministerium schriftlich hingewiesen. Ich habe den Eindruck, dass diese Hinweise leider längere Zeit nicht die nötige Beachtung gefunden haben. Erst in diesem Jahr kam auf wiederholtes Nachfassen von mir endlich Bewegung in die Sache. Ich habe dem Kultusministerium, aber auch anderen maßgeblichen Beteiligten, beispielsweise von kommunaler und kirchlicher Seite, die datenschutzrechtlichen Anforderungen auch persönlich eingehend erläutert. Ich denke, dass die Botschaft nun beim Kultusministerium angekommen ist.

Festzuhalten bleibt, dass die fachliche und handwerkliche Arbeit am Entwurf des Orientierungsplans zunächst einmal zu Ende gebracht werden muss. Hierzu gehört auch die Klärung der wesentlichen Rechtsfragen. Selbstverständlich werde ich das Kultusministerium bei Bedarf im Rahmen meiner Möglichkeiten auch weiterhin beraten und unterstützen; seine Hausaufgaben muss das Ministerium aber zunächst selbst erledigen.

Ungeachtet der anerkennenswerten pädagogischen Zielsetzung, die aus dem Orientierungsplan spricht, sollte die Landesregierung noch einmal selbstkritisch prüfen, ob eine verbindliche Einführung wirklich das Gebot der Stunde ist. Meines Erachtens könnte der Orientierungsplan als pädagogische "Handreichung" oder als programmatischer "Leitfaden" für die kommunalen und kirchlichen Einrichtungsträger eine ebenso wertvolle "Orientierung" wie ein verbindlicher "Plan" bieten, den Trägern aber die Art und Weise der Umsetzung freistellen. Jenseits der ungeklärten Frage nach einer hinreichenden Rechtsgrundlage bestehen meinerseits auch unter dem Aspekt der Datenvermeidung und Datensparsamkeit generelle Bedenken gegen immer stärker ausufernde Beobachtungs- und Dokumentationspflichten im Kontext von menschlicher Zuwendung und sozialer Betreuung. Die Erfahrungen im Krankenhaus- und Pflegebereich haben zumindest eines deutlich gemacht: Die Zeit, die für die Dokumentation erforderlich ist, steht für die persönliche Zuwendung nicht mehr zur Verfügung.

Am 24. November 2009 haben sich das Land und die Kommunalen Landesverbände über eine stufenweise Umsetzung des Orientierungsplans verständigt. Danach soll dem steigenden Betreuungsaufwand durch einen verbesserten Personalschlüssel Rechnung getragen werden. Zur Verbindlichkeit des Orientierungsplans wurde etwas kryptisch erklärt, dass es - entsprechend den Prinzipien von Pluralität, Trägerautonomie und Konzeptvielfalt - in der Verantwortung der Träger und Einrichtungen stehe, wie die im Orientierungsplan genannten Ziele im pädagogischen Alltag erreicht werden.

Ob der Orientierungsplan in der weiteren Umsetzung mehr "Orientierung" oder mehr "Plan" sein wird, wird sich zeigen. Ich bleibe dabei: Frühkindliche Entwicklungsverläufe und Bildungsprozesse sollten allenfalls bei konkretem Bedarf und auch dann nur auf wirklich freiwilliger Basis dokumentiert und ausgewertet werden.

 

2. "Kompetenzanalyse Profil AC" - ohne datenschutzrechtliche Kompetenz?

Schulleiter werden mit datenschutzrechtlichen Problemen offenbar vielfach allein gelassen. Dies gilt auch für ein landesweites EDV-Verfahren, das an Haupt- und Sonderschulen eingesetzt wird.

Durch die Lektüre der LT-Drucksache 14/4379 vom 22. April 2009 bin ich auf das an allen Haupt- und Sonderschulen in Baden-Württemberg eingesetzte EDV-Verfahren "Kompetenzanalyse Profil AC" aufmerksam geworden. Mit diesem Verfahren werden sensible, personenbezogene Daten verarbeitet, denn es sollen die Stärken und Schwächen der Schülerinnen und Schüler erkannt und dargestellt sowie individuelle Kompetenzprofile erstellt werden. Bedauerlich war hierbei zunächst, dass ich erst auf diesem Wege von dem Verfahren erfuhr. Das Kultusministerium hatte mich vorher nämlich nicht eingeweiht und auch die beteiligten Schulen hatten meinem Amt die nach § 11 LDSG vorgeschriebenen Verfahrensverzeichnisse bis dahin nicht übermittelt. Warum diese Verzeichnisse sinnvoll sind, darauf gehe ich im 7. Teil dieses Tätigkeitsberichts unter Nr. 2 ein. Daraufhin habe ich mich an das Kultusministerium gewandt, welches mir mitteilte, dass das automatisierte Verfahren bereits seit dem Schuljahr 2007/2008 laufe, und bestätigte, dass hierbei tatsächlich besonders sensible Daten von Schülern verarbeitet würden. Verantwortliche Stelle im Sinne des Landesdatenschutzgesetzes sei aber die jeweilige Schule, die das Verfahren einsetze; da die Schulen in der Regel keinen Datenschutzbeauftragten hätten, lägen die Voraussetzungen des § 11 Abs. 2 LDSG grundsätzlich vor. Aufgrund bestimmter Umstände und Erwägungen (angeführt wurde die "Verwaltungsvereinfachung"), habe das Ministerium jedoch darauf verzichtet, die Schulen anzuweisen, meiner Dienststelle jeweils ein Verfahrensverzeichnis zu übersenden. Nun ist zwar die Verwaltungsvereinfachung ein wichtiges Ziel, dass aber ein Ministerium mir mitteilt, es halte aus diesem Grund die Erfüllung gesetzlicher Pflichten nicht für erforderlich, ist zumindest ungewöhnlich. Denn § 32 Abs. 1 LDSG sieht vor, dass öffentliche Stellen Verfahrensverzeichnisse nur dann meinem Amt nicht zu übermitteln haben, wenn sie einen behördlichen Datenschutzbeauftragten bestellt haben.

Zur weiteren Klärung habe ich mir zunächst vom Kultusministerium eine Liste der beteiligten Schulen übersenden lassen, daraus 21 zufällig ausgewählte Schulen direkt angeschrieben und um Auskunft zum Einsatz des Verfahrens "Kompetenzanalyse Profil AC" sowie um Vorlage des Verfahrensverzeichnisses gebeten. Obwohl in diesem Schreiben die Pflicht, mein Amt bei der Ausübung seiner Aufgaben zu unterstützen, explizit angesprochen wurde, hat rund die Hälfte der angeschriebenen Schulen innerhalb der eingeräumten Frist überhaupt keine Stellungnahme abgegeben, was jeweils eine förmliche Beanstandung gemäß § 30 LDSG nach sich zog. Diese Tatsache sowie die Antworten der anderen Schulen und diverse Telefonkontakte lassen den Schluss zu, dass im Schulbereich offenbar teilweise elementare datenschutzrechtliche Grundkenntnisse fehlen. Einige Schulleiter räumten mit entwaffnender Offenheit ein, dass man sich keiner datenschutzrechtlichen Verantwortung bewusst und das Verfahren zentral vorgegeben worden sei. Dieses Eingeständnis steht in krassem Gegensatz zu der Aussage des Kultusministeriums, wonach die jeweilige Schule die datenschutzrechtlich verantwortliche Stelle sei; dies scheint den Schulen bzw. den Schulleitern aber niemand gesagt zu haben.

Soweit öffentliche Schulen das Verfahren einsetzen und keine Eintragungen in das Verfahrensverzeichnis gemacht haben, verstößt dieses Verhalten der Schulen zudem auch gegen die vom Kultusministerium selbst erlassene Verwaltungsvorschrift "Verarbeitung personenbezogener Daten durch öffentliche Schulen und Einsichtnahme in schulische Prüfungsunterlagen und deren Aushändigung" vom 2. August 2005. Im Rahmen unserer Kontakte äußerten insbesondere die Schulleiter immer wieder, dass diese Verwaltungsvorschrift entweder nicht bekannt sei oder von einem juristischen Laien nicht verstanden und nicht als hilfreich betrachtet würde.

Mittlerweile hat das Ministerium für Kultus, Jugend und Sport reagiert und an die betroffenen Schulen ein Muster für ein Verfahrensverzeichnis herausgegeben. Die daraufhin in meinem Amt eingegangenen Verfahrensverzeichnisse waren jedoch vielfach unvollständig und inhaltlich nicht korrekt; teilweise wurde das Formular ohne Eintragungen übersandt. Daher war es mir bis heute nicht möglich zu überprüfen, ob und inwieweit die datenschutzrechtlichen Vorschriften durch die Anwendung des Verfahrens "Kompetenzanalyse Profil AC" eingehalten werden. Mir drängt sich nicht nur in diesem Zusammenhang der Eindruck auf, dass die Schulen bzw. die Schulleiter, die in erster Linie ihren pädagogischen Auftrag im Auge haben und auch sonst vielfältigen Herausforderungen ausgesetzt sind, in datenschutzrechtlicher Hinsicht ziemlich allein gelassen werden. Hierfür sprechen auch die deutlichen Worte, die von Seiten einiger verunsicherter Schulleiter an meine Mitarbeiter bei Nachfragen zu dem genannten EDV-Verfahren gerichtet wurden. So wurde wiederholt völliges Unverständnis dafür geäußert, dass

  1. erst das Verfahren "von Stuttgart" aus vorgegeben wurde,
  2. in Schulungsveranstaltungen erklärt worden sei, datenschutzrechtlich sei "alles in Ordnung", und
  3. gewissermaßen als "krönender Abschluss" nun meine Kritik komme.

Dabei wurde vereinzelt auch freimütig eingeräumt, dass man weder wisse, was ein Verfahrensverzeichnis sei, noch die datenschutzrechtlichen Anforderungen kenne; auch die Bemerkung, dass man "Wichtigeres" zu tun habe, bekamen wir zu hören. Auch ich habe Verständnis dafür, dass der Datenschutz bei den Schulleitern nicht ganz oben auf der Agenda steht. Nur: So, wie es derzeit läuft - oder besser: nicht läuft -, kann es im Schulbereich nicht bleiben.

Aus meiner Sicht sollten die Schulen bzw. Schulleiter von der Kultusverwaltung datenschutzrechtlich stärker "an die Hand" genommen und hierdurch zugleich entlastet werden. Ob allein Schulungen ausreichen, um die erkannten Defizite auszugleichen, scheint mir fraglich. Zielführender dürfte es sein, wenn bestimmte Stellen innerhalb der Kultusverwaltung, sei es auf Kreisebene oder auf Ebene der Regierungsbezirke oder in einer zentralen Einrichtung des Ressorts, für die Schulen die Rolle der behördlichen Datenschutzbeauftragten nach § 10 Abs. 2 LDSG übernehmen und die Schulen zielgerichtet betreuen.

 

3. "Offene Mathe-Foren" und eine Vielzahl anderer Probleme an einem Gymnasium

Im Schulbetrieb lauern zahlreiche datenschutzrechtliche Fallstricke. Das Problembewusstsein der Verantwortlichen ist manchmal aber nur schwach ausgeprägt.

Es begann damit, dass mein Amt durch besorgte Eltern auf ein sog. "Mathe-Forum" an einem Gymnasium angesprochen wurde. Dabei müssten, so hieß es, Schülerinnen und Schüler von insgesamt vier Klassen benotete Mathematik-Übungen machen. Wer sich nicht daran halte und nicht wöchentlich teilnehme, bekomme eine schlechte Benotung. Meine Mitarbeiter gingen der Sache sogleich nach und mussten feststellen, dass im Internet-Angebot des Gymnasiums zu den dort betriebenen "Mathe-Foren" eine Vielzahl von Namen, insbesondere von Schülerinnen und Schülern, und diesen zuordenbare weitere Angaben frei abrufbar waren. Somit konnte weltweit jeder, der über einen Internet-Zugang verfügt, lesen, wie sich welche Gymnasiasten und punktuell auch die Lehrkraft mit Blick auf die Mathematikaufgaben äußerten. Dabei ergab sich, wie stets im realen Leben, kein Bild problemloser und perfekter Bewältigung der Aufgaben. Es drängten sich in einigen Fällen - stets auf die mit vollem Namen genannten Gymnasiasten beziehbar - vielmehr die heiklen Fragen auf, ob denn alle Aufgaben mit dem nötigen Engagement, Ernst und Sachverstand bearbeitet werden oder ob hier Defizite zu beklagen sind. Daraufhin bat mein Amt die Schule rasch um kurzfristige Stellungnahme zu den hier eingegangenen Mitteilungen sowie zum Ergebnis unserer eigenen Internet-Recherche und wies zudem darauf hin, dass die Schule gegebenenfalls eine nun selbst als rechtswidrig erkannte Datenverarbeitung unverzüglich zu beenden hat.

Die Schule reagierte prompt, zunächst in Gestalt der Lehrkraft, die diese "Mathe-Foren" konzipiert und eingesetzt hatte. Dabei zeigte sich, um mit dem Erfreulichen zu beginnen, dass die datenschutzrechtlich illegalen "Mathe-Foren" auf unser Schreiben sofort abgestellt worden waren. Unerfreulich und besorgniserregend war dagegen, dass die Schule, auch in den späteren Äußerungen des Schulleiters, ein tiefgreifendes Unverständnis für datenschutzrechtliche Anforderungen und somit gravierende Defizite und Probleme erkennen ließ. Jedenfalls war der dringende Beratungs- und Kontrollbedarf augenfällig und führte zu einem Vor-Ort-Termin an der Schule. Die eingehende Beratung durch meine Mitarbeiter fiel allerdings beim Schulpersonal auf unfruchtbaren Boden. Die Schulleitung äußerte zwar wiederholt, auch unter Hinweis auf die einschlägige Verwaltungsvorschrift des Kultusministeriums zur Verarbeitung personenbezogener Daten durch öffentliche Schulen, dass man den Datenschutz als wichtig betrachte und ernst nehme. Im Gesamtbild erwiesen sich diese Worte leider als bloße Lippenbekenntnisse. Zur Erklärung wurde mehrfach geltend gemacht, dass die Verwaltungsvorschrift des Kultusministeriums unverständlich und somit für die Schule nicht hilfreich sei. So verwundert es nicht, dass der Schulleiter sich kaum um diese "Mathe-Foren" und deren datenschutzrechtliche Zulässigkeit gekümmert und stattdessen auf die Aussage der zuständigen Lehrkraft verlassen hatte, dass "alles in Ordnung" sei. Im Hinblick auf die Vorbildfunktion, die Lehrkräfte gegenüber den Schülerinnen und Schülern auch in Sachen des Datenschutzes haben, war das offen erkennbare Desinteresse des Schulleiters weder verständlich noch akzeptabel.

Die datenschutzrechtliche Kontrolle brachte zudem weitere Verstöße zutage: So wurde beispielsweise gravierend gegen die Vorschriften des Landesdatenschutzgesetzes über die Datenverarbeitung im Auftrag verstoßen. Am Gymnasium waren, allein zu schulischen Zwecken und in schulischer Verantwortung, verschiedene automatisierte Verfahren im Einsatz. Sämtliche administrativen Aufgaben in Zusammenhang mit dem technischen Betrieb dieser Verfahren wurden vollumfänglich durch den städtischen Schulträger wahrgenommen. Die nach dem Landesdatenschutzgesetz für solche Situationen vorgesehene schriftliche Auftragserteilung durch die Schule war aber unterblieben. Es war auch nicht feststellbar, dass dies wenigstens mündlich erfolgt war. Die Schule war sich vielmehr ihrer Verantwortung gar nicht bewusst gewesen und hatte den Mitarbeitern meines Amts zu erklären versucht, das Kultusministerium oder dem Gymnasium übergeordnete Stellen der Kultusverwaltung seien hier im Sinne des Landesdatenschutzgesetzes verantwortlich. Für keines dieser Verfahren existierte ein Verfahrensverzeichnis, wie es für die automatisierten Verfahren einer öffentlichen Stelle nach § 11 LDSG vorgeschrieben ist. Weitere Mängel zeigten sich im technischen und organisatorischen Bereich. So befanden sich beispielsweise Tagebücher unbeaufsichtigt und frei zugänglich im Flur vor dem Sekretariat. Diese Tagebücher enthalten erfahrungsgemäß u. a. Krankheits- und Fehlzeiten von Schülerinnen und Schülern sowie Eintragungen wegen Zuspätkommens und disziplinarische Einträge. Der Hinweis des Schulleiters, dass diese Dokumente über Nacht im Sekretariat eingeschlossen würden und derzeit keine Schüler mehr im Haus seien, half nicht darüber hinweg, dass eine unbefugte Kenntnisnahme der darin enthaltenen personenbezogenen Daten am Tag des Kontrollbesuchs tatsächlich möglich war, zumal sich am Ende des Kontrollbesuchs gezeigt hat, dass durchaus noch Schüler in der Schule zugegen waren.

Auf den Internet-Seiten der Schule befanden sich für jedermann frei zugänglich Bilder von - ehemaligen - Schülern, teilweise in Großaufnahmen. Keiner der auf diesen Bildern vorhandenen Schüler hatte, wie sich leider zeigte, eine schriftliche Einwilligungserklärung für diese Verarbeitung personenbezogener Daten erteilt. Beim Kontrollbesuch sicherte der Schulleiter zu, diese Bilder schnellstmöglich zu entfernen. Jedoch waren diese Bilder auch nach dem Kontrollbesuch für einige Tage immer noch auf der Internet-Seite vorhanden.

Mein Amtsvorgänger hat alle festgestellten Verstöße gegenüber dem Kultusministerium förmlich nach § 30 LDSG beanstandet. Das Ministerium nahm daraufhin gegenüber meinem Amt zu den einzelnen Punkten Stellung und erklärte dabei u. a., das Regierungspräsidium sei gebeten worden, mit dem Schulleiter ein Gespräch zu führen, ihn auf die Verpflichtung zur Einhaltung der einschlägigen datenschutzrechtlichen Bestimmungen hinzuweisen sowie diese bei Bedarf zu erläutern. Dies ist im Ergebnis zu begrüßen. Es wird aber auch deutlich, welch hoher Aufwand für derartige "Nach- und Aufräumarbeiten" entfaltet werden muss, wenn es am nötigen Datenschutzbewusstsein fehlt.

Die Schulen sollten von der Kultusverwaltung auch in datenschutzrechtlicher Hinsicht stärker betreut werden. Bislang besteht gelegentlich der Eindruck, dass sich die jeweiligen Schulen und die Kultusverwaltung die datenschutzrechtliche Verantwortung für die an den Schulen eingesetzten Verfahren gegenseitig zuschieben wollen.

 

4. Die Tücken des Verfahrens "winprosa"

Auf einen Hinweis aus dem Kreis datenschutzbewusster Abiturienten befasste sich mein Amt im Berichtszeitraum auch mit dem EDV-Verfahren "winprosa". Dieses wird von einer Privatfirma vermarktet und, so war im Verlauf der datenschutzrechtlichen Prüfung zu erfahren, an beinahe allen baden-württembergischen Gymnasien eingesetzt, hauptsächlich zur Verwaltung der von den Schülerinnen und Schülern gewählten Kurse sowie zur Erfassung und Bearbeitung von Schülerleistungsdaten (Noten und Zeugnissen) in der gymnasialen Oberstufe. Insider behaupteten nun, dass es für Abiturienten, deren Daten mit "winprosa" verwaltet werden, mit relativ einfachen Mitteln, etwa durch wiederholtes Ausprobieren, möglich sei, die Daten der anderen Abiturienten auszuspähen. Ein rascher Kontrollbesuch bei einem Gymnasium im Großraum Stuttgart ließ mehrere datenschutzrechtliche Mängel erkennen. Von besonderer Bedeutung war die mangelnde Datenträger-, Zugriffs- und Transportkontrolle. Im Einzelnen:

Schülern wurden für unterschiedliche Zwecke Datenexporte aus dem System zur Verfügung gestellt:

  • Schüler der Klassenstufe 11 erhielten einen Export zur Zusammenstellung ihrer Kurswahl.
  • Die Schüler der Oberstufen erhielten ein Jahrgangspaket, in dem sie ihre Noten sehen und zudem vom System Varianten durchrechnen lassen konnten, welche Abiturnote sie in Abhängigkeit von welcher Klausurnote bzw. Zeugnisnote erhalten würden.
  • Für die Schüler der Klassenstufe 13 stand eine Exportfunktionalität zur Auswahl der Prüfungsthemen im Abitur bereit.

Diese Exporte wurden den Schülern per Downloadmöglichkeit auf der Internet-Seite der Schule oder auf den vernetzten Computern im sog. Schülernetz in einem Computerraum der Schule, zu dem Schüler mitunter auch ohne ständige Aufsicht der Lehrkörper Zugang hatten, angeboten. Die Datenexporte enthielten grundsätzlich jeweils den gesamten aktuellen Datenbestand - verschlüsselt - eines Jahrgangs, auch die zum Zeitpunkt des Exports in das System bereits eingegebenen Noten. Die Exporte bestanden aus verschiedenen einzelnen Dateien, wobei eine Datei die eigentlichen Daten mit den Namen der Schülerinnen und Schüler und den jeweils gewählten Fächern und Bewertungen enthielt. In einer anderen Datei wurden die für den jeweiligen Export erteilten Zugriffsberechtigungen hinterlegt. Die Schülernamen waren in einer weiteren Datei im Klartext lesbar. Durch die Zugriffsberechtigung sollte eigentlich geregelt werden, dass ein Schüler nur seine eigenen Daten sehen kann. Dazu erhielt jeder Schüler ein Login, das aus dem Abiturjahr und der persönlichen Schülernummer bestand, sowie ein Passwort, welches sich aus den letzten vier Ziffern der in einem Schulverwaltungssystem automatisch vergebenen Schüler-ID zusammensetzte. Eine automatische Sperrung nach einer definierten Anzahl von Fehleingaben fand nicht statt.

Die Exportdateien für die oben genannten drei Anwendungsfälle bestanden jeweils u. a. aus den Daten "Schülername", "gewählte und bereits besuchte Kurse" sowie "Zeugnisnoten" und enthielten somit mehr als nur die persönlichen Daten eines einzelnen Schülers, nämlich auch die Daten aller Mitschüler eines Jahrganges. Auch der besuchte Religionsunterricht war auslesbar. Zwar lagen diese Informationen verschlüsselt vor und über eine Berechtigungsverwaltung war zunächst geregelt, dass ein Schüler nur seine eigenen Daten sehen konnte. Es war jedoch durchaus wahrscheinlich, dass ein Schüler das Passwort eines Mitschülers erraten konnte, zumal die Regeln, aus denen sich Benutzername und Passwort zusammensetzten, im frei zugänglichen Handbuch von "winprosa" (Downloadmöglichkeit auf der Internet-Seite des Herstellers der Software) für alle Schüler verfügbar waren. Zudem war es aufgrund eines fehlenden Sperrmechanismus bei Falscheingaben möglich, durch einfaches "Herumprobieren" oder auch durch ein einfach zu programmierendes Tool zur automatisierten Simulation von Passworteingaben an Daten Dritter heranzukommen.

Meine Mitarbeiter haben daher bereits am Tag nach dem Kontrollbesuch das Gymnasium - als Sofortmaßnahme - darum gebeten, dieses potenzielle Risiko auszuschließen und die Exportfunktionalität für Schüler nicht mehr zu verwenden. Zudem sollte die Downloadmöglichkeit im Internet deaktiviert werden. Es ist zu begrüßen, dass diese Deaktivierung noch am selben Tag erfolgte.

Insgesamt konnten die mit dem Verfahren verbundenen datenschutzrechtlichen Probleme ausgeräumt werden, ohne dass es einer Beanstandung durch meinen Amtsvorgänger bedurfte.

 

5. Prüfungspläne mit Namen von Abiturienten haben im Internet nichts zu suchen

Meine Dienststelle wurde von aufmerksamen Bürgerinnen und Bürgern darauf hingewiesen, dass ein bestimmtes Gymnasium vollständige Listen aller Abiturienten in Form der Teilnahmelisten an den mündlichen bzw. Präsentationsprüfungen im Internet veröffentlichte. Die von meinen Mitarbeitern im Internet daraufhin durchgeführten Stichproben ergaben auch bei anderen Gymnasien ein ähnliches Bild: Die Veröffentlichungen enthielten neben den Namen und Vornamen der Schülerinnen und Schüler bestimmter, auch bereits zurückliegender Abiturjahrgänge Angaben über deren jeweilige Prüfungsfächer und die Tage und Uhrzeiten, an denen bestimmte Prüfungen abzulegen waren.

Um es sogleich auf den Punkt zu bringen: Eine solche weltweite Streuung personenbezogener Daten im Internet ist mit den dienstlichen Erfordernissen der Gymnasien in keiner Weise zu rechtfertigen und somit ohne die Einwilligung der betroffenen Schülerinnen und Schüler oder gegebenenfalls der jeweiligen Erziehungsberechtigten schlicht illegal. Datenschutzrechtliche Einwilligungen wurden in den von meinem Amt geprüften Fällen offenbar nicht erteilt. Nachdem eines der Gymnasien die Pläne nach Erhalt eines kritischen Hinweises sofort aus dem Internet entfernte, sah mein Amtsvorgänger davon ab, den mit der Veröffentlichung der Prüfungspläne verbundenen Rechtsverstoß förmlich zu beanstanden. Es ist aus datenschutzrechtlicher Sicht natürlich sehr zu begrüßen, wenn ein Gymnasium auf einen kritischen und berechtigten Hinweis umgehend reagiert und die Situation bereinigt. Gleichwohl sollten personenbezogene Daten erst dann im Internet veröffentlicht werden, wenn eine sorgfältige Prüfung ergab, dass dies datenschutzrechtlich zulässig ist. Nur dann können rechtswidrige Eingriffe in das Recht auf informationelle Selbstbestimmung von Schülerinnen und Schülern oder anderen Betroffenen wirksam vermieden werden.

Wegen der Bedeutung dieser Sache für verschiedene Gymnasien in Baden-Württemberg hat mein Vorgänger auch das Kultusministerium darum gebeten, sich in eigener Verantwortung mit dem Thema zu befassen und auf die Beachtung datenschutzrechtlicher Vorschriften hinzuwirken; schließlich ist das Kultusministerium oberste Schulaufsichtsbehörde. Das Ministerium hat die Gymnasien in Baden-Württemberg inzwischen darauf hingewiesen, dass die Veröffentlichung von Prüfungsplänen für Abiturienten in Form von Teilnahmelisten an den mündlichen Prüfungen bzw. Präsentationsprüfungen im Internet aus datenschutzrechtlichen Gründen nicht zulässig ist. Ich hoffe, dass solchen Problemen damit dauerhaft ein Riegel vorgeschoben ist. Jedenfalls sind mir dazu bislang keine weiteren Beschwerden bekannt geworden.

 

6. Datenschutz an einer Schule im Zusammenhang mit einem Masernfall

Bei dem Wort Masern kommt einem vieles in den Sinn, insbesondere etwa das Mitgefühl mit den Erkrankten, der Schutz der Menschen in deren Umgebung und die Vermeidung einer Epidemie. Der Datenschutz wird dabei eher nicht im Fokus stehen. Im Zusammenhang mit einem Masernfall an einer sehr großen Schule gerieten im April 2008 aber ausnahmsweise auch datenschutzrechtliche Fragen in den Blickpunkt.

Ein Bürger hatte sich mit einer Datenschutzbeschwerde gegen die Sicherheitsvorkehrungen einer Schule gewandt und vorgetragen: Alle Schülerinnen und Schüler hätten an einem bestimmten Tag das Schulgebäude nur noch gegen Vorlage ihres Impfausweises oder einer ärztlichen Laborbescheinigung über eine vorherige Masernerkrankung betreten dürfen. Als Nachweis für die Vorlage hätten sie jeweils ein rotes Bändchen (technisch den Bändchen vergleichbar, die im Rahmen von All-inclusive-Urlaubsreisen von Hotels verwendet werden) ums Handgelenk gebunden bekommen. Gleichzeitig sei darum gebeten worden, dieses Bändchen für die Dauer von knapp zwei Wochen nicht mehr abzulegen. Der Bürger hielt dies für unzulässig, denn auf diese Weise müssten die betroffenen Kinder auch außerhalb des Schulgebäudes, im außerschulischen, sozialen Umfeld, wie etwa Sportverein, Schwimmbad, Freizeitgruppe, Erkennungsmerkmale tragen, die Rückschlüsse auf den jeweiligen Gesundheitszustand zulassen. Die datenschutzrechtliche Prüfung meines Amtsvorgängers ergab Folgendes:

An der Schule wurden tatsächlich rote Bändchen als Zeichen der durchgeführten Kontrolle ausgegeben. Andere Möglichkeiten des Vorgehens, beispielsweise tägliche Eingangskontrolle, Stempelkennzeichnung oder Schließung der gesamten Schule für den Quarantänezeitraum, waren zuvor zwischen Schule und dem zuständigen Gesundheitsamt zwar diskutiert, aber verworfen worden. Das ausgewählte Verfahren erschien der Schule angemessen: Es vereinfache die schulischen Aufgaben und enthalte nach Auffassung der Schule keine unzumutbare Härte, zumal für einen derart begrenzten Zeitraum. Die Schüler seien per Durchsage und Aushang aufgefordert worden, die Bändchen nicht zu entfernen. Falls dies doch einmal erforderlich sei, könnten die Schüler jederzeit gegen Vorlage des Impfpasses bzw. nach Kontrolle der Liste bei der Schulleitung ein neues Bändchen bekommen. Eine Bestrafung wegen Verlust der Bändchen erfolge nicht.

Trotz der ungewöhnlichen Fallkonstellation begegnete der geschilderte Sachverhalt letztlich keinen durchgreifenden datenschutzrechtlichen Bedenken; mein Amtsvorgänger sah auch keinen Anlass zur förmlichen datenschutzrechtlichen Beanstandung gegenüber der Schule. Denn Masern sind eine meldepflichtige Krankheit nach dem Infektionsschutzgesetz. Somit war die Schule nicht nur berechtigt, sondern sogar verpflichtet, einen dort auftretenden Masernfall bei der Gestaltung des Schulbetriebs zu berücksichtigen und über ihr Vorgehen nach pflichtgemäßem Ermessen zu entscheiden. Dass die Schule den Schutz personenbezogener Daten bei der Ermessensbetätigung völlig unberücksichtigt ließ, war nicht erkennbar. Gleichwohl sind einige Hinweise angebracht, damit in vergleichbaren Fällen dem Datenschutz noch in stärkerem Maß Rechnung getragen werden kann:

Öffentliche Stellen haben generell die grundlegenden Gebote der Datenvermeidung und Datensparsamkeit zu beachten. Somit müssen öffentliche Schulen diese Gebote auch berücksichtigen, wenn sie angesichts dort aufgetretener Masern (oder anderer meldepflichtiger Krankheiten) die Konsequenzen hinsichtlich des Schulbetriebs prüfen. Wenn dabei mehr als eine Möglichkeit des Vorgehens besteht, sollte - sofern dies mit Blick auf die zu erfüllenden Dienstpflichten vertretbar ist - die datenschutzfreundlichste Möglichkeit gewählt werden.

Bei ihrer Ermessensbetätigung ist auch das Wesen des Rechts auf informationelle Selbstbestimmung von betroffenen Schülerinnen und Schülern und eventuellen sonstigen Betroffenen angemessen zu berücksichtigen, denn die Betroffenen sollten grundsätzlich selbst darüber entscheiden können, welche Informationen sie hinsichtlich ihrer Person wem in welcher Weise preisgeben. Eingriffe in dieses Grundrecht bedürfen einer gesetzlichen Grundlage. Eine gesetzliche Grundlage, die es der Schule erlaubt, von ihren Schülerinnen und Schülern das Tragen der roten Bändchen außerhalb des Schulgebäudes zu fordern, gibt es nicht. Somit waren (und sind) die Schülerinnen und Schüler rechtlich nicht verpflichtet, diese Bändchen außerhalb des Schulgebäudes bzw. -geländes zu tragen. Die Schule hat nach ihrer Mitteilung die Schülerinnen und Schüler per Durchsage und Aushang aber dazu "aufgefordert", die Bändchen nicht zu entfernen. Dazu ist hervorzuheben, dass eine Aufforderung in vielen Fällen als Mitteilung verstanden werden kann, dass die oder der Aufgeforderte (rechtlich) in gewisser Weise dazu verpflichtet sei. Die Eingabe des besorgten Bürgers ließ erkennen, dass die Aufforderung der Schule wohl tatsächlich - zumindest teilweise - so verstanden worden war. Solche Probleme lassen sich von vornherein dadurch vermeiden, dass die Schule ihre Schülerinnen und Schüler klar und unmissverständlich über die Freiwilligkeit des Tragens der Bändchen außerhalb des Schulgebäudes informiert.

Das Tragen der roten Bändchen außerhalb des Schulgebäudes ist in datenschutzrechtlicher Hinsicht nicht generell irrelevant. Denn es kann, auch wenn die Wahrscheinlichkeit nicht sonderlich groß sein mag, nicht von vornherein ausgeschlossen werden, dass sich für Betrachter mit entsprechendem Zusatzwissen aus dem Tragen des Bändchens Informationen über den Träger ergeben.

 

7. Die Kopie des Personalausweises in der Schulkartei

Ob Schüler Kopien ihrer Personalausweise für die Schulkartei zur Verfügung stellen müssen, ist datenschutzrechtlich mehr als zweifelhaft.

Mit einer Eingabe wurde uns u. a. mitgeteilt, dass an einer Schule bei Beginn des neuen Schuljahrs von den Schülern verlangt worden sei, eine Kopie ihres Personalausweises abzugeben. Dabei sei den Schülern gesagt worden, dass sie diese Kopie abgeben müssten. Auf unsere Bitte um Stellungnahme teilte uns die Schule Folgendes mit:

Man lasse sich dort seit diesem Schuljahr bei der Schüleraufnahme tatsächlich eine Kopie des Personalausweises vorlegen, um die Identität der Schülerinnen und Schüler festzustellen, die Aufnahmebedingungen zu überprüfen (z. B. Notwendigkeit einer Aufenthaltsgenehmigung) und Zeugnisse erstellen zu können. Die jeweilige Kopie des Ausweises werde während des Schulbesuchs zur "Schülerkartei" genommen. Es sei vorgesehen, die Kopie nach Schulabgang zu vernichten.

Die Bearbeitung dieser Angelegenheit, die noch weitere Aspekte zum Gegenstand hat, ist zum Zeitpunkt des Redaktionsschlusses für diesen Tätigkeitsbericht noch im Gange. Die hier angesprochenen Umstände sind aus meiner Sicht aber so bemerkenswert, dass - selbstverständlich ohne dem endgültigen Ergebnis vorgreifen zu wollen - einige Anmerkungen angezeigt sind:

Eine öffentliche Schule hat bei der Erhebung und Speicherung personenbezogener Daten, beispielsweise auch in Gestalt der Kopien der Personalausweise von Schülerinnen und Schülern, den datenschutzrechtlichen Erforderlichkeitsgrundsatz mit den darin verankerten Geboten der Datenvermeidung und der Datensparsamkeit zu beachten. Auf den konkreten Fall bezogen heißt das mit anderen Worten: Die Schule darf die Kopien der Personalausweise nur dann verlangen (nach der Terminologie des Landesdatenschutzgesetzes: erheben) und speichern, wenn dies für die Erfüllung der dienstlichen Aufgaben der Schule erforderlich ist. Dabei ist zu beachten, dass der datenschutzrechtliche Erforderlichkeitsbegriff in einem strengen Sinn zu verstehen ist: Eine Erhebung, Speicherung oder sonstige Datenverarbeitung ist nur dann erforderlich, wenn ohne sie die Erfüllung dienstlicher Aufgaben nicht oder nur eingeschränkt möglich ist. Dagegen reicht es nicht aus, dass eine Datenverarbeitung etwa als nahe liegend, praktisch oder bequem angesehen wird. Auf der Grundlage der eingangs genannten Stellungnahme der Schule habe ich ganz erhebliche Zweifel, dass die Erhebung und Speicherung der Personalausweiskopien in allen Fällen dem Erforderlichkeitsgrundsatz entspricht. Denn es ist zunächst nicht nachvollziehbar, dass sich die Schule in jedem Fall der Schulaufnahme mit der Frage nach der Notwendigkeit einer Aufenthaltsgenehmigung befasst. Selbst wenn sich diese Frage im Einzelfall stellen sollte, ist damit die Erhebung der Kopie des Personalausweises und deren Speicherung bis zum Schulabgang keineswegs automatisch gerechtfertigt. Entsprechend den Geboten der Datenvermeidung und der Datensparsamkeit kann es etwa völlig ausreichen, dass die Schule sich in begründeten Einzelfällen den Personalausweis zeigen lässt und gegebenenfalls die darin enthaltenen relevanten Informationen notiert, evtl. mit dem Vermerk, dass der Personalausweis bei der Aufnahme im Original vorgelegt wurde. Es ist auch in keiner Weise nachvollziehbar, weshalb die Kopie von Personalausweisen für die Erstellung von Zeugnissen benötigt wird. Soweit es der Schule darum geht, die Personalien der Schülerinnen und Schüler in deren jeweilige Zeugnisse einzutragen, liegt es nahe, diese Personalien beispielsweise der jeweiligen Schülerakte oder gegebenenfalls einer Datei mit den Schülerstammdatensätzen zu entnehmen, ohne dass im Entferntesten die Nutzung von Personalausweiskopien hierfür erforderlich wäre.

Soweit die Schule nach alledem dennoch eine Datenerhebungsbefugnis für Personalausweiskopien haben sollte, stellt sich die weitere Frage, ob die Schülerinnen und Schüler rechtlich verpflichtet sind, solche Kopien an die Schule herauszugeben. Das ist nach den derzeit hier vorliegenden Informationen nicht der Fall. Bei der weiteren Bearbeitung ist noch eingehend zu prüfen, ob die Betroffenen bei der Datenerhebung in der gesetzlich geforderten Weise (vgl. § 14 LDSG) unterrichtet wurden und ob im Fall minderjähriger Schülerinnen und Schüler beachtet wurde, dass nach der - auch vom Kultusministerium vertretenen - "Faustformel 16" auch bereits 16-jährige Schülerinnen und Schüler ausreichend einsichtsfähig und somit datenschutzmündig sein können.

Schulische Datensammlungen sollten sich auf den unbedingt erforderlichen Umfang beschränken.

 

8. Personenbezogene Daten von Studenten im Internet - Datenschutzverstoß an einer Pädagogischen Hochschule

Ein Student wies uns darauf hin, dass personenbezogene Daten von sämtlichen Studenten der Fachrichtung Sport einer Pädagogischen Hochschule im Internet abrufbar seien. Zwar gebe es, so teilte der Betroffene weiter mit, eine gewisse "Verschlüsselung" und einen Zugangsschutz, doch seien diese nach seinen Vermutungen leicht zu umgehen.

Eine sofortige Überprüfung durch mein Amt ergab, dass die betreffende Pädagogische Hochschule tatsächlich personenbezogene Daten von Studenten in einer Excel-Tabelle gespeichert hatte, die jeder mit einem einfachen Download auf seinen Rechner herunterladen konnte. Diese Tabelle enthielt neben den Namen und den Vornamen aller Studenten insbesondere auch deren Matrikelnummern, das Studienfach und dessen Gewichtung, die Anzahl der Fachsemester sowie die besuchten Lehrveranstaltungen. Die Pädagogische Hochschule hatte eigentlich gewollt, dass ein Student aus dieser Tabelle nur seine eigenen Daten angezeigt bekommt, indem er ein persönliches Kennwort eingibt. Es war jedoch in der Tat leicht möglich, die Daten aller Studenten einzusehen.

Auf unsere Nachfrage führte die Pädagogische Hochschule zwar zu ihrer Rechtfertigung ins Felde, dass die Excel-Tabelle kennwortgeschützt sei und ein Nutzer neben der von ihm selbst eingegebenen Matrikelnummer nur jeweils seine eigenen Daten sehen könne. Sogar von einer Manipulation war die Rede. Eine Überprüfung durch meine Mitarbeiter ergab jedoch, dass dieser "Schutz" dergestalt realisiert wurde, dass beim Öffnen der Datei das erste Datenblatt (sog. Sheet) angezeigt wird und zudem die Blattregisterkarten (sog. Reiter oder Tabs) der anderen Datenblätter ausgeblendet sind. Dies stellt selbstverständlich keinen hinreichenden Kennwortschutz dar, denn zum einen genügt die Eingabe der Matrikelnummer, um die angemeldeten Lehrveranstaltungen eines Studenten lesen zu können. Zum anderen ist es möglich, durch einfaches Einblenden der Blattregisterkarten Zugriff auf alle in der Datei vorhandenen Informationen zu erhalten. Dieses Einblenden kann über die "erweiterten Excel-Optionen" erfolgen. Von einer Manipulation, wie die Pädagogische Hochschule zunächst uns gegenüber behauptet hatte, konnte somit nicht gesprochen werden, geschweige denn von einem wirksamen Sicherheitsmechanismus. Bereits mit "Bordmitteln" des Excel-Programms war es möglich, sich die Daten aller Studenten anzeigen zu lassen. Der Passwortschutz war also keineswegs ausreichend. Grundsätzlich ist zwar die Verarbeitung von personenbezogenen Daten über derartige Online-Lehrveranstaltungsanmeldungen aus datenschutzrechtlicher Sicht nicht von vornherein unzulässig. Wenn alle datenschutzrechtlichen Anforderungen beachtet werden, kann ein solches Verfahren durchaus eingeführt werden und den Vorzug gegenüber einem traditionellen Verfahren unter Nutzung eines sog. Schwarzen Bretts erhalten. Im Ergebnis ist, auch aufgrund einer eigenen Recherche im Internet, festzustellen, dass die technischen und organisatorischen Maßnahmen der Hochschule unzureichend waren. Zwar hat die Pädagogische Hochschule unmittelbar nach unserer Intervention das Verfahren eingestellt, dennoch hat mein Vorgänger für diesen datenschutzrechtlichen Verstoß eine förmliche Beanstandung nach § 30 LDSG ausgesprochen.

Sicherheitsmechanismen müssen mit größter Sorgfalt festgelegt werden, um personenbezogene Daten vor unberechtigten Zugriffen wirksam zu schützen.

 

nach oben