Nach dem Erzbistum Hamburg hat auch das Bistum Osnabrück eine Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen veröffentlicht. Schon die Hamburger Ordnung hat einen zwiespältigen Eindruck hinterlassen: Während die digitalen Methoden und Werkzeuge angemessen berücksichtigt wurden, wurden die Betroffenenrechte von Schüler*innen empfindlich eingeschränkt.
Die Osnabrücker Verordnung ähnelt in weiten Teilen der Hamburger, mit einigen Umstellungen und kleineren Änderungen – aber auch mit substantiellen Unterschieden. Und zwar nicht zum Besseren.
Zu den vielen parallelen Regelungen gehören auch ausgesprochen zweifelhafte: Wie in Hamburg haben Eltern zwar ein Widerspruchsrecht zur Aufnahme in die an alle verteilte Klassenliste – in beiden Ordnungen kann das Widerspruchsrecht aber auch »auf einzelne Angaben beschränkt« werden, ohne dass es für diese Beschränkungen Rahmenbedingungen gibt (§ 5 Abs. 6 OS-SchulDS-DVO – hier und folgend inoffizielle Abkürzungen für beide Normen). Der Paragraph zu Betroffenenrechten (§ 4 OS-SchulDS-DVO) nimmt zu den Anspruchsberechtigten zwar explizit auch die Erziehungsberechtigten auf, anders als die Hamburger Ordnung (§ 4 Abs. 1 HH-SchulDS-DVO), aber das ist wohl ohnehin nur deklaratorisch. In Abs. 2 schwächt die Osnabrücker Ordnung die Hamburger Betroffenenrechte sogar noch weiter ab: Haben in Hamburg Schüler*innen bereits ab 14 Jahre ein Auskunftsrecht, dem die Eltern widersprechen können, und ab 16 Jahre ein uneingeschränktes, haben Osnabrücker Schüler*innen erst mit der Volljährigkeit dieses Recht.
Schon die Zulässigkeit der Hamburger Regelung ist fragwürdig, kennt das KDG doch keine Altersgrenze sowie die Maßgabe, dass Spezialgesetze das Schutzniveau des KDG nicht unterschreiten dürfen (§ 2 Abs. 2 KDG) – das Osnabrücker Gesetz ist völlig unzureichend und zeugt von einer Geringschätzung der Rechte minderjähriger Schüler*innen. Eine Regelung zum Recht auf gebührenpflichtige Kopien (auch das fragwürdig mit Blick auf das Schutzniveau des KDG, das keine kostenpflichtige Auskunft kennt) wird in der Osnabrücker Ordnung nicht getroffen, was zwiespältig ist: So können Betroffene und Verantwortliche einerseits nicht auf die falsche Fährte gelockt werden, andererseits braucht es mehr Rechtskenntnis, um Kopien einzufordern.
Ähnlich zwiespältig ist der Verweis auf staatliche Aufbewahrungs- und Löschfristen statt einer länglichen Normierung (§ 11 OS-SchulDS-DVO, § 5 HH-SchulDS-DVO) – keine (absichtlichen oder versehentlichen) Abweichungen vom allgemeinen Recht, aber eben wieder Recherchearbeit.
Verbesserungen und ein Versäumnis
Es gibt aber auch Regeln, die die Rechte Betroffener besserstellen: Es gibt kein pauschales Einsichtsrecht von Mitarbeitenden in Daten der von ihnen Unterrichteten (§ 6 Abs. 3 HH-SchulDS-DVO), sondern nur dann, wenn die Einsicht zur Erfüllung der Aufgaben erforderlich ist (§ 3 Abs. 3 HH-SchulDS-DVO). Eine ähnliche Verbesserung findet sich bei der Übermittlung von Daten an andere Schulen und sonstige Stellen. Die Hamburger Regelung, dass eine Datenübermittlung an »sonstige öffentliche und nichtöffentliche Stellen« zulässig ist, »sofern dies zur rechtmäßigen Erfüllung ihrer Aufgaben erforderlich ist« (§ 9 Abs. 7 HH-SchulDS-DVO), ist mit Blick auf die nichtöffentlichen Stellen mindestens problematisch und missverständlich. In der Osnabrücker Ordnung wird die wichtige Einschränkung bei den nichtöffentlichen Stellen eingefügt, dass damit nur diejenigen gemeint sind, »die schulbehördliche Aufgaben wahrnehmen« (§ 7 Abs. 5 OS-SchulDS-DVO). Vernünftig ist auch, dass Daten auf privaten Geräten nicht nur über mobile verschlüsselte Datenträger (wie in Hamburg, § 10 Abs. 2 Nr. 1 HH-SchulDS-DVO), sondern auch über »für die Schule freigegebenen Softwarelösungen« zulässig ist (§ 8 Abs. 2 OS-SchulDS-DVO) – gekapselte Tunnellösungen und Remote-Zugriffe sind im Zweifel eher sicherer als kompakte, schnell verlorengehende Datenträger.
Kurios ist, dass es zu jedem Hamburger Paragraphen grundsätzlich eine Osnabrücker Parallele gibt – mit einer einzigen, aber gewichtigen Ausnahme: Die in Hamburg grundsätzlich gut gelungene und die Rechte der Betroffenen achtende Regelung zu Fern-, Wechsel- oder Hybridunterricht, Videoübertragung, Verarbeitung von Ton-, Bild- und Videodaten (§ 8 HH-SchulDS-DVO) fehlt völlig. Angesichts einer immer noch andauernden Pandemie mit einer immer noch größtenteils ungeimpften Schüler*innenschaft und dem inklusiven Potential einer auch über die Pandemiezeit normierten Möglichkeit einer Fernteilnahme am Unterricht ist das unverständlich. Möglicherweise wurde die Regelung zu internetbasierten Lern- und Unterrichtsplattformen und digitalen Lehr- und Lernmittel (§ 9 OS-SchulDS-DVO) als ausreichend erachtet – die normiert aber keine speziellen Betroffenenrechte wie das auf das Abschalten der Kamera.
Fazit
Leider zieht sich ein Eindruck durch die bisher novellierten kirchlichen Schuldatenschutzregelungen: Viel Aufwand wird in die – unzweifelhaft wichtigen – technischen und organisatorischen Maßnahmen gesteckt, teilweise überraschend hoher Aufwand (so die explizite Normierung von Zwei-Faktor-Authentisierung für digitale Klassenbücher – Bonuspunkte für die Verwendung von Authentisierung statt Authentifizierung). Die Betroffenenrechte von Schüler*innen werden aber im Vergleich zum KDG massiv abgeschwächt: Auskunftsrechte werden für jüngere Schüler*innen beschnitten, zusätzliche Hürden wie der »Schulfrieden« als Verwehrungsgrund eingezogen.
Mit großer Wahrscheinlichkeit sind diese Regelungen zwar unzulässig (da sie das Datenschutzniveau des KDG unterschreiten) – das muss man aber erst einmal wissen und auf dem Beschwerde- oder Rechtsweg durchfechten. Und bisher waren die kirchlichen Datenschutzgerichte oft verantwortlichenfreundlich in ihrer Rechtsprechung. Schöner wäre es, wenn die Gesetzgeber selbst die Rechte von Schüler*innen besser achten würden.