Seit dem 19. August 2023 gilt in Berlin eine neue „Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen (Schuldatenverordnung – SchuldatenV)“ (hier abrufbar).
Die Verordnung gilt für die Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern, ihren Erziehungsberechtigten, Lehrkräften und sonstigen schulischen Mitarbeiterinnen und Mitarbeitern, soweit nicht die Datenverarbeitung im Rahmen der Nutzung von digitalen Lehr- und Lernmitteln und sonstigen digitalen Instrumenten, die vorwiegend pädagogischen Zwecken dienen, betroffen ist. Für diese Fälle (vorwiegend pädagogische Zwecke) gilt die Digitale Lehr- und Lernmittel-Verordnung (DigLLV).
Nachfolgend möchte ich beispielhaft zwei (aus meiner Perspektive klar) europarechtswidrige Regelungen der SchuldatenV herausstellen. Diese stellen gute Beispiele dafür dar, warum der Datenschutz bzw. die DSGVO in der Praxis als „Verhinderer“ gesehen wird, obwohl dies eigentlich nicht der Fall sein muss. Wenn der nationale Landes- oder Bundesgesetzgeber aber Regelungen schafft, die den Anwendern zum Teil eu-rechtliche vorgesehene Möglichkeiten zum Einsatz von Technologien abschneiden und dies erschweren.
Unzulässige Wiederholung der DSGVO
§ 6 Abs. 5 Nr. 1 S. 1 gibt vor: „Erfolgt die Verarbeitung durch einen Auftragsverarbeiter, ist dieser sorgfältig gemäß Artikel 28 Absatz 1 der Datenschutz-Grundverordnung auszuwählen.“
Und jetzt legen wir einmal die europarechtliche, unmittelbar bindende Vorgabe des Art 28 Abs. 1 DSGVO daneben: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Klar, das ist keine eins zu eins Wiederholung. Muss es aber auch nicht sein, um dennoch gegen die Vorgaben des EuGH zu verstoßen. Dieser geht in ständiger Rechtsprechung davon aus, dass Mitgliedstaaten keine Maßnahmen ergreifen dürfen, die geeignet sind, die Zuständigkeit des Gerichtshofes zur Entscheidung über Fragen der Auslegung des Gemeinschaftsrechts oder der Gültigkeit der von den Organen der Gemeinschaft vorgenommenen Handlungen zu beschneiden. „Infolgedessen sind Praktiken unzulässig, durch die die Normadressaten über den Gemeinschaftscharakter einer Rechtsnorm im unklaren gelassen werden“ (Rechtssache C-34/73, Rz. 11).
Aus meiner Sicht hat § 6 Abs. 5 Nr. 1 S. 1 überhaupt keinen eigenen Regelungsgehalt. Im Grunde verweist er nur auf eine Pflicht nach der DSGVO, die aber ohnehin unmittelbar zu beachten ist. Was ist also der Sinn der Vorgabe in § 6 Abs. 5 Nr. 1 S. 1? Für mich hat die Regelung keinen materiellen Sonn und Zweck. Vielmehr macht es den Eindruck, dass der Landesgesetzgeber hier eigene Vorgaben macht und die betroffenen Stellen dann zusätzlich bindendes EU-Recht beachten sollen. Das wäre aus meiner Sicht dann aber genau der vom EuGH adressierten unzulässigen Praktik.
Wenn man argumentiert, dass die Regelung keine reine Wiederholung sei, sondern eigenen Regelungsinhalt habe (welchen?), dann greift aber das nächste Argument einer EU-Rechtswidrigkeit.
Denn dem Berliner Gesetzgeber fehlt die Kompetenz, Vorgaben zu Art. 28 Abs. 1 DSGVO aufzustellen. Die DSGVO enthält in Art. 28 Abs. 1 DSGVO keine Öffnungsklausel für Mitgliedstaaten, zur Ausgestaltung der Auswahl von Auftragsverarbeitern.
Auch Art. 23 DSGVO, der grundsätzlich Einschränkungen ermöglichen würde, greift für Art. 28 DSGVO nicht.
Selbst, wenn man (irgendwie) eine Öffnungsklausel herbeiargumentieren möchte, läge hier ein Verstoß vor. Der EuGH hat im März diesen Jahres, zu der ausdrücklich vorgesehenen Öffnungsklausel in Art. 88 Abs. 1 DSGVO entschieden, dass es sich bei einer nationalen Regelung als „spezifischere Vorschrift“ nicht lediglich um eine Wiederholung der DSGVO-Vorgaben handeln darf (Rechtssache C‑34/21, Rz. 71). Wenn diese Vorgaben schon bei ausdrücklich normierten Öffnungsklauseln für spezifischere nationale Regelungen gelten, dann erst recht im hiesigen Fall – in dem eine solche Möglichkeit fehlt.
Datenlokalisierungspflicht
§ 6 Abs. 5 Nr. 1 S. 2 verlangt: „Die Auftragsverarbeitung erfolgt ausschließlich und vollständig in dem Gebiet des Europäischen Wirtschaftsraumes.“
Die SchuldatenV verpflichtet betroffene Stellen mithin dazu, personenbezogene Daten nur in der EU/EWR zu verarbeiten. Rein faktisch wird dies bedeuten, dass Dienstleister, etwa von Softwareprodukten, die ihre Dienste aus Drittländern anbieten oder etwa für Service- oder Supportzwecke auf Daten in der EU/EWR zugreifen müssten, nicht in Anspruch genommen werden können.
Eine solche Datenlokalisierungspflicht sieht die DSGVO aber gerade nicht vor. Ansonsten bräuchte es das gesamte Kapitel V der DSGVO nicht, in dem es nur um Datentransfers in Drittländer geht.
Die DSGVO sieht zudem keine spezielle Öffnungsklausel für die Schaffung einer solchen Lokalisierungsvorgabe vor.
In der Begründung zur SchuldatenV wird auch mit keinem Wort auf die Nutzung einer Öffnungsklausel oder zumindest der Regelung des Art. 23 DSGVO, über den gewisse Rechte und Pflichten der DSGVO eingeschränkt werden können, eingegangen (wobei Art. 23 DSGVO eine Beschränkung der Rechte in Kapitel V DSGVO nicht zulassen würde). Ein Transfer personenbezogener Daten in Drittländer im Rahmen der Auftragsverarbeitung wird schlicht untersagt – entgegen den Vorgaben der DSGVO. Und übrigens: auch ohne jegliche Information zu den Motiven in der Begründung zu § 6 SchuldatenV.
Besonders skurril finde ich an der Regelung, dass die Lokalisierungspflicht dem Wortlaut nach nur für die Auftragsverarbeitung gilt. Das bedeutet, dass Schulen personenbezogene Daten sehrwohl nach den Vorgaben der DSGVO in Drittländer übermitteln könnten. Also an einen anderen Verantwortlichen. Tut mir leid, aber dass kann doch nicht der Zweck einer solchen Regelung sein?! Wenn man, was ich vermute, schulische Daten (gerade jene von Kindern) besonders schützen möchte, dann ist es doch ein völliger Fehlgriff, dies nicht umfassend zu tun. Sondern nur für Situationen der Auftragsverarbeitung.