Datenschutz-Bußgeld gegen Lehrer*innen?

SZ und Spiegel berichteten, dass der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Hasse, geäußert habe, Bußgelder wegen Datenschutzverstößen gegen Lehrerinnen seien möglich und würden aktuell geprüft. Wegen der „Verwendung von nicht sicherer Software“ oder „dass Daten fließen über Kanäle, die nicht sicher sind“. Der Aufschrei war (vielleicht von Dr. Hasse auch so erwartet und geplant?) groß und schon die Überschriften der verlinkten Zeitungsartikel nahmen die Beurteilung der Ereignisse vorweg: „Datenschützer will Verstöße von Lehrern prüfen: Kritik“, „Bußgeld-Debatte empört Thüringer Lehrkräfte“. Doch ist es wirklich so einfach? Wir denken: nein – vielmehr legt Hasse u. E. zu Recht den Finger in die Wunde eines im Schulsektor völlig unzureichenden Datenschutzes. Zugegeben ist das mediale Echo für den Datenschutz verheerend, wird doch suggeriert, dass digitale Initiative in Zeiten des Home-Schooling vonseiten der Lehrer nicht begrüßt, sondern vielmehr argwöhnisch beäugt und ggf. sanktioniert wird.   Es wäre in der Tat fatal, den Lehrerinnen gerade das zum Verhängnis werden zu lassen, was alle wollen und in deutschen Schulen immer noch vermisst wird: Affinität zu Technik und die Fähigkeit, mit digitalen Tools Schulunterricht zu gestalten.

Aber: Nur wenn die Datenverarbeitung in der Verantwortung der Lehrerinnen erfolgt, sind Bußgelder denkbar. Die Schulen bzw. Schulträger sind nämlich von Bußgeldern generell ausgenommen. In aller Regel verarbeiten Lehrer die Daten der Schülerinnen aber für ihre Schulen bzw. in der Verantwortung der Schulen bzw. Schulträger. Die datenschutzrechtliche Verantwortung definiert sich danach, wer über die „Zwecke und Mittel der Datenverarbeitung entscheidet“. Damit spitzt sich die Frage nach Bußgeldern gegen Lehrerinnen dahingehend zu, welche Anforderungen und Anweisungen die Schulleitung in Bezug auf die Mittel der Datenverarbeitung, d. h. die (teilweise private) IT der Beschäftigten konkret stellt:

Wenn die Schulleitung, wie so oft, die Praxis des BYOD („Bring Your Own Device“ – neudeutsch für „nimm für die Arbeit bitte Deine eigenen Geräte!“) nicht nur duldet, sondern sogar fordert, dann handelt es sich insofern um eine Entscheidung über die Mittel der Datenverarbeitung. Die Nutzung des privaten Geräts erfolgt also in der Verantwortung der Schule – mangels Verantwortung kann es wegen der Nutzung des eigenen Geräts auch keine Bußgelder gegen Lehrer geben. Gegenbeispiel: Die Schule stellt eine funktionierende Plattform für Kommunikation, Dokumenten- und Materialverwaltung, Videokonferenzen etc. zur Verfügung und weist die Nutzung für alle Lehrerinnen verbindlich an. Gleichwohl nutzen einige statt dieser Plattform – in Sachsen unter dem Namen „LernSax“ im Einsatz – Google Docs, YouTube, Zoom oder/und Microsoft Teams. In diesem Fall liegt eine eigenmächtige Entscheidung der Lehrerin entgegen einer personalrechtlich verbindlichen und datenschutzrechtlich zu begrüßenden Anweisung vor, die zu einer eigenen Verantwortlichkeit führt. In diesem Fall liegt auch ein Bußgeld im Bereich des rechtlich Möglichen. Wollte der Thüringische Landesbeauftragte hierauf hinweisen, so wäre ihm uneingeschränkt zuzustimmen. Zwischen den genannten, eindeutigen Fällen gibt es selbstverständlich viele Graustufen: Beispielsweise, wenn die hauseigene Lösung gegenüber Google und Microsoft in Bezug auf die Funktionalität nachgewiesener Weise Nachteile hätte, oder wenn die Schulleitung es nicht schafft, alle Lehrer in der Nutzung der Plattform zu schulen, ist es u. E. eine offene Rechtsfrage, ob Lehrerinnen bei der Nutzung der Dienste von „Datenkraken“ mit Bußgeldern belegt werden können.

Vor diesem rechtlichen Hintergrund sei allen Lehrerinnen und Lehrern geraten, die Schulleitung im Falle des Fehlens verbindlicher Anweisungen über den geplanten Einsatz eines digitalen Tools zu informieren. Hierfür reicht eine kurze E-Mail. Erfolgt keine eindeutige Reaktion, kann das Tool ohne Bedenken zum Einsatz kommen, weil auch die Duldung die datenschutzrechtliche Verantwortung des Schulträgers begründet. Gleichfalls sei geraten, verbindlichen Anweisungen der Schulleitung zum Datenschutz bzw. zum Einsatz bestimmter Tools unbedingt Folge zu leisten. Denn anderenfalls tragen sie selbst die Verantwortung, und: das Bußgeldrisiko.

Abschließend sei noch eine weitere Äußerung von Dr. Hasse erwähnt: „Wer zu schnell fährt und geblitzt wird, der beschwert sich ja auch nicht“ – worin ein deutlicher Hinweis bezüglich der zu erwartenden Höhe eines etwaigen Bußgeldes gesehen werden kann. Datenschutz bremst also keineswegs die digital versierten und engagierten Lehrerinnen, auch wenn das medial manchmal so rüberkommt.