Darf eine Schule Daten an die Polizei weitergeben? 

Ein Balanceakt zwischen Datenschutz und Sicherheit

Die Frage, ob und unter welchen Umständen eine Schule personenbezogene Daten von Schülerinnen und Schülern an die Polizei weitergeben darf, ist komplex und berührt grundlegende Rechte. Einerseits steht der strenge Schutz personenbezogener Daten, insbesondere von Minderjährigen, im Vordergrund, verankert in der Datenschutz-Grundverordnung (DSGVO) und den jeweiligen Landesschulgesetzen. Andererseits hat die Schule eine Fürsorgepflicht und die Gesellschaft ein Interesse an der Aufklärung von Straftaten und der Abwehr von Gefahren. Eine pauschale Antwort ist daher nicht möglich; es bedarf stets einer sorgfältigen Abwägung im Einzelfall.

Grundsätzlich gilt das Prinzip des Verbots mit Erlaubnisvorbehalt: Die Weitergabe personenbezogener Daten ist nur zulässig, wenn eine klare Rechtsgrundlage dies erlaubt oder eine wirksame Einwilligung vorliegt. Für Schulen sind die Landesschulgesetze oft die spezifischere Rechtsgrundlage, die die DSGVO ergänzen oder konkretisieren.

Eine Datenweitergabe an die Polizei kommt vor allem in zwei Szenarien in Betracht: zur Gefahrenabwehr oder zur Strafverfolgung.

1. Gefahrenabwehr:
   Besteht eine unmittelbare, erhebliche Gefahr für Leib und Leben von Schülern, Lehrkräften oder Dritten – beispielsweise bei einer konkreten Amokdrohung oder dem Fund einer Waffe – ist die Schule nicht nur berechtigt, sondern oft auch verpflichtet, die Polizei zu informieren und relevante Daten weiterzugeben. In diesem Fall tritt der Datenschutz in den Hintergrund. Die Entscheidung trifft in der Regel die Schulleitung, basierend auf den Polizeigesetzen der Länder und der schulischen Fürsorgepflicht.
   
2. Strafverfolgung:
   Werden Straftaten im schulischen Kontext bekannt (z.B. Diebstahl, Körperverletzung, Drogenhandel), kann die Polizei im Rahmen ihrer Ermittlungen auf die Schule zukommen und um Daten bitten. Hier ist die Schule in der Regel nicht verpflichtet, proaktiv Daten zu liefern, es sei denn, es besteht eine gesetzliche Anzeigepflicht. Liegt jedoch ein offizielles Ersuchen der Strafverfolgungsbehörden vor (z.B. ein richterlicher Beschluss oder ein Auskunftsverlangen der Staatsanwaltschaft gemäß der Strafprozessordnung), muss die Schule die angeforderten Daten herausgeben, sofern das Ersuchen rechtmäßig ist. Die Schule prüft hier die Rechtsgrundlage des Ersuchens.
   

Bei jeder Datenweitergabe sind die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit strikt zu beachten. Es dürfen nur die Daten weitergegeben werden, die für den konkreten Zweck – Gefahrenabwehr oder Strafverfolgung – unbedingt notwendig sind. Die Entscheidung über eine Datenweitergabe sollte stets von der Schulleitung nach sorgfältiger Prüfung und gegebenenfalls nach Rücksprache mit dem schulischen Datenschutzbeauftragten oder der Schulaufsichtsbehörde getroffen werden.

Zusammenfassend lässt sich sagen, dass Schulen nicht leichtfertig Daten an die Polizei weitergeben dürfen. Der Datenschutz hat einen hohen Stellenwert. In klar definierten Ausnahmesituationen, insbesondere zur Abwehr erheblicher Gefahren oder auf Basis eines rechtmäßigen Ersuchens zur Strafverfolgung, ist eine Weitergabe jedoch zulässig und manchmal sogar geboten. Es bleibt ein kontinuierlicher Balanceakt, bei dem die Rechte des Einzelnen gegen die Sicherheitsinteressen der Allgemeinheit abgewogen werden müssen.

Liebe Kunden und Geschäftspartner,

frohe Weihnachten und ein gutes neues Jahr!

Wir wünschen Ihnen und Ihren Familien eine besinnliche und friedliche Weihnachtszeit.

Lassen Sie sich von der warmen Atmosphäre des Weihnachtsfestes verzaubern und genießen Sie die Zeit mit Ihren Liebsten.

Wir bedanken uns für Ihr Vertrauen und die gute Zusammenarbeit im vergangenen Jahr.

Wir freuen uns, auch im neuen Jahr an Ihrer Seite zu sein und Sie bei Ihren Datenschutzfragen zu unterstützen.

Bleiben Sie gesund und munter!

Ihr Team der EDV-Beratung Dölle

Liebe Kundinnen und Kunden,

am 07.11. und 08.11 ziehen wir um und sind über unsere alten Telefonnummer nicht mehr erreichbar.

Die neue Nummer lautet:  02151 93 52 739

An beiden Tage haben wir umzugsbedingt allerdings nur eine schlechte Erreichbarkeit.

Vielen Dank für Ihr Verständnis

Immer wieder kommt es zu Anfragen zum Thema Cookies und DSGVO. Teilweise durch übermotivierte Datenschutzbeauftragte, teilweise auch durch die Berichterstattung. Im folgenden sind die wichtigsten Punkte zusammengefasst:

EuGH Rechtsprechung

Explizit wird das Thema Cookies in der DSGVO nicht genannt. Die Verordnung trifft keine Regelung zum Thema Cookie-Hinweis und -Datenschutz. Der EuGH hat das Thema zuletzt am 1. Oktober 2019 behandelt. In seiner Entscheidung urteilte er, dass, sofern das Cookie nicht unbedingt erforderlich ist, eine ausdrückliche Cookie-Einwilligung seitens der Webseiten-Betreiber eingeholt werden muss.

Was ist zu beachten?

Gemäß der DSGVO können personenbezogene Daten neben dem Einverständnis auch zum Zwecke der Direktwerbung auf der Rechtsgrundlage des "berechtigten Interesses" verarbeitet werden. Die Abwägung im Einzelfall muss sich ausserdem am Grundsatz der Datensparsamkeit ausrichten. Daten dürfen daher nur erhoben werden, wenn sie zur Erreichung eines bestimmten Zweckes notwendig sind.

Bei der Benutzung von Tracking und / oder Targeting Cookies (z.B. für Reichweitenanalyse oder ähnliches) ist nach Ansicht der deutschen Aufsichtsbehörden regelmäßig eine Einwilligung in die konkrete Datenverarbeitung erforderlich.

Neben dem sog. Cookie Banner, welches explizit zur Einwilligung benutzt wird muss auch in der Datenschutzerklärung auf der Webseite eine Erklärung erfolgen. Hierbei ist es seht wichtig, dass sowohl im Cookie Consent Tool als auch in der Datenschutzerklärung sehr ausführlich beschrieben wird, welche Daten zu welchem Zweck erhoben werden.

Ganz wichtig ist der Punkt, dass vor der Zustimmung noch KEINE Daten erhoben werden dürfen (Ausnahme sind die unbedingt erforderlichen Cookies).

Zusammenfassung

• Nicht für alle Cookies wird eine Einwilligung benötigt.
  Session-Cookies, Cookies für Logins oder Warenkörbe, die keine personenbezogene Daten weitergeben (technisch notwendige Cookies), sind vom berechtigten Interesse abgedeckt.
• Tracking und Werbe-Cookies, vor allem von Drittanbietern benötigen eine Einwilligung
  Das sind vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen.

• keine verfänglichen Gespräche in der Öffentlichkeit 

• Auskünfte am Telefon erst erteilen, wenn das Gegenüber identifiziert und berechtigt ist 

• Wenn Faxe gesendet werden, die Zielnummer prüfen 

• kein Schriftgut in öffentlichen Bereichen liegen lassen 

• Schriftverkehr und wichtige Dokumente gehören nachts unter Verschluss 

• keine Weitergabe von Passwörtern an andere Personen

• private von dienstlichen Passwörtern trennen 

• keine Weitergabe von Schlüsseln, für die Sie verantwortlich sind 

• keine Schriftstücke, Akten oder Computer sichtbar im Fahrzeug liegen lassen 

• das „clean desk“ Prinzip ist zu beherzigen 

• Sobald man den Schreibtisch verlässt, ist der Bildschirm (Computer) zu sperren!

Das Bundesarbeitsgericht (BAG) hat am 06.06.2023 entschieden, dass ein Betriebsrats-Vorsitzender nicht gleichzeitig auch Datenschutzbeauftragter (DSB) sein darf (BAG, Urteil vom 06.06.2023, Az.: 9 AZR 383/19). Das BAG hat die Frage vor seiner Entscheidung dem EuGH vorgelegt und der hat sich zu diesem Thema auch klar geäußert.

Begründung

Laut EuGH kann eine Person in einem Unternehmen nicht gleichzeitig DSB sein und über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dann wäre eine wirksamer Datenschutzkontrolle durch den DSB nicht mehr möglich, er würde sich ja selber kontrollieren.

Das BAG hat in seiner Begründung festgestellt, dass zumindest der Betriebsrats-vorsitzende im Zusammenhang mit seiner Funktion im Betriebsrat über Zwecke und Mittel der Datenverarbeitung entscheidet. Somit ist diese Funktion (DSB) nicht mit der Funktion des Betriebsratsvorsitzenden vereinbar und eine Benennung kann daher widerrufen werden.

Welche Auswirkungen hat dieses Urteil?

Alle Unternehmen, bei denen die leitenden Personen der Mitbestimmungsorgane (Betriebs- oder Personalrat) auch gleichzeitig als DSB berufen sind, sollten diese Person dringend abberufen. In diesen Fällen besteht laut dem Gericht KEINE erforderliche Voraussetzung.

Auch wenn das BAG die Frage, ob ein normales Betriebsratsmitglied DSB sein darf bewusst offen gelassen hat, ist unsere Auffassung, dass dieser Zustand auf Dauer auch keinen Bestand haben wird. Deshalb meine Empfehlung, diese Funktionen alsbald zu trennen.

Wer darf noch kein DSB sein?

Durch den job-bedingten Interessenskonflikt scheiden folgende Personengruppen per Definition von vorne herein aus: 

• Geschäftsführer
• Vorstände
• IT-Administratoren
• Prokuristen 
• sowie Anwälte des Unternehmens

Die o.g. Personen handeln in eigenem Interesse für das Unternehmen. Der DSB sollte hingegen frei von Interessenskonflikten und unabhängig sein, um das Ergebnis datenschutzrechtlicher Vorfälle nicht zu „verfälschen“ und somit nicht sich selbst zu kontrollieren.