Elternbeiräte tragen viel Verantwortung für den guten Kontakt zwischen Eltern und Schule oder Kita. Aber tragen sie auch die datenschutzrechtliche Verantwortung? Die Antwort darauf hat Konsequenzen: Wenn die Mitbestimmungsgremien eigene Verantwortliche sind, müssen Eltervertreter*innen den ganzen Katalog der datenschutzrechtlichen Pflichten erfüllen. Sind sie es nicht, ist die Schule oder Kita auch für ihre Mitbestimmungsgremien verantwortlich – und muss damit auch im Blick haben und regulieren, wie Elternbeiräte arbeiten.
Im kirchlichen Datenschutzrecht wird die Frage nicht einfacher: Bei eigenen Verantwortlichen muss nämlich zusätzlich die Frage beantwortet werden, ob diese Verantwortliche dann auch kirchliche Stellen sind – ob sie also DSGVO oder das jeweilige kirchliche Datenschutzgesetz anwenden müssen.
Positionen im staatlichen Bereich
Offizielle Äußerungen zur Frage der Verantwortlichkeit von Mitbestimmungsgremien gibt es sehr wenige, die zudem nicht ohne weiteres zu verallgemeinern sind, da Schule und Bildung in die Zuständigkeit der Länder fallen. Während der Sächsische Datenschutzbeauftragte in seinem Bericht für 2019 die Position vertritt, dass Schulen die Verantwortlichen für Elternräte sind, geht das Kultusministerium in Baden-Württemberg davon aus, dass Elternvertretungen an Schulen eigene Verantwortliche sind.
Eine Anfrage an alle deutschen Kultusministerien und Landesdatenschutzaufsichten zeigt ein recht einheitliches Bild: Von den neun Aufsichten, die auf die Anfrage innerhalb von drei Wochen geantwortet haben, geht nur eine klar von einer Verantwortlichkeit im schulischen Bereich aus, nämlich in Schleswig-Holstein. Dort ist die Verantwortlichkeit der Elternvertretungen in § 16 Abs. 1 Schul-Datenschutzverordnung geregelt. Die brandenburgische Aufsicht sieht bei den Elternversammlungen und Kita-Ausschüssen aufgrund der Aufgabenbeschreibung im Kindertagesstättengesetz eigene Verantwortlichkeit. Der baden-württembergische Landesdatenschutzbeauftragte gab an, bislang der Ansicht des Kultusministeriums zugestimmt zu haben, diese Einschätzung aber derzeit zu prüfen. Von den sieben Kultusministerien, die innerhalb der Frist geantwortet haben, geht nur Baden-Württemberg von einer eigenen Verantwortlichkeit der Elternbeiräte aus. Bei den Kitas sei die Frage noch nicht abschließend geklärt, sagte der Sprecher des baden-württembergischen Ministeriums. Denkbar wäre eine Verantwortlichkeit für das Kultusministerium Rheinland-Pfalz wie die hamburgische Aufsicht, wenn »Elterngremien digitale Kommunikationskanäle untereinander eigenverantwortlich nutzen« (RLP) oder »eine Datenverarbeitung durch einen Elternrat außerhalb der durch das Schulgesetz zugewiesenen Aufgaben« (HH) stattfindet.
Regelmäßig wurde in den Antworten auch auf die herrschende Meinung zu Betriebsräten hingewiesen, die keine eigenen Verantwortlichen sind. Bei den Elternbeiräten sei analog vorzugehen.
Aus den Antworten lassen sich zur Beurteilung der Frage einige Faustregeln und Kriterien ableiten:
- Die DSGVO sieht in Art. 4 Nr. 7 vor, dass neben der allgemeinen Bestimmung der verantwortlichen Stelle über das Kriterium der Entscheidung über Zwecke und Mittel der Verarbeitung auch eine gesetzliche Festlegung des Verantwortlichen möglich ist.
- Mitbestimmungsgremien, die rechtlich Trägern zugeordnet werden, sind ohne anderslautende gesetzliche Regelung im Zweifel auch datenschutzrechtlich keine eigenen Verantwortlichen. Verantwortlich ist die jeweilige Schule oder Kita.
- Eine eigene Verantwortlichkeit wird nur da angenommen, wo es explizit im Gesetz so geregelt wird oder in Ausnahmefällen, wenn das Gremium seine gesetzlich zugewiesenen Aufgaben erweitert oder überschreitet.
Positionen im kirchlichen Bereich
Sowohl der BfD EKD wie der Diözesandatenschutzbeauftragte für die NRW-Bistümer gehen davon aus, dass Elternbeiräte in kirchlichen Schulen und Kitas keine eigenen Verantwortlichen sind. Der BfD EKD argumentierte auf Anfrage damit, dass alles im Rahmen der Institution Schule oder Kita im Rahmen offizieller Schularbeit stattfinde und so eine eigene Verantwortlichkeit nicht in Frage käme. Der NRW-Diiözesandatenschutzbeauftragte wies darauf hin, dass nach den Leitlinien des Europäischen Datenschutzausschusses Verantwortliche sowohl über Zwecke wie über Mittel der Verarbeitung entscheiden müssen. Die Zwecke der Verarbeitung lege ein Elternbeirat aber nie fest, selbst dann, wenn er die Mittel (wie Kommunikationskanäle) bestimmt: »Auch wenn es vielleicht einzelne Verarbeitungsvorgänge eines Elternbeirates geben mag, bei denen die Abgrenzung, wer die Zwecke der Verarbeitung bestimmt, nicht sofort auf der Hand liegen mag, erscheint es uns insgesamt aber vorzugswürdig, den Elternbeirat nicht als eigenen Verantwortlichen im Sinne der datenschutzrechtlichen Regelungen anzusehen«, so der Diözesandatenschutzbeauftragte. Wie im staatlichen Bereich argumentieren auch die kirchlichen Aufsichten mit der Analogie zum Betriebsrat.
Beide Aufsichten gaben an, dass die Frage nach Elternbeiräten im Rahmen der Aufsichtstätigkeit noch nicht geklärt werden musste. Insofern überrascht es auch nicht, dass auch die Spitzenorganisationen von kirchlichen Kita- und Schulträgern auf Landes- und Bundesebene keine Auskunft geben konnten – keine einzige Anfrage dazu wurde mit einer Position zur Verantwortlichkeit beantwortet. Von verschiedenen betrieblichen Datenschutzbeauftragten im katholischen Bereich wurde einhellig die Meinung geäußert, dass Elternbeiräte keine eigenen Verantwortlichen sind. »Eine Eigenverantwortlichkeit scheidet aufgrund der gesetzlichen Errichtungspflicht aus«, war eine Einschätzung. Zudem seien derartige Gremien immer Gremien unter der Verantwortung des Trägers, da es sie ohne den Träger nicht geben würde.
Für den kirchlichen Bereich vertritt anscheinend niemand die Position, dass Elternbeiräte eigene Verantwortliche sind – das vereinfacht die Arbeit insofern deutlich, als dass dann eindeutig ist, dass dasselbe Recht, also etwa KDG oder DSG-EKD, und dieselbe Aufsicht für Schule oder Kita und ihre Mitbestimmungsgremien gilt.
Eine eigene Verantwortlichkeit sollte nur dann angenommen werden, wenn es dafür eine klare gesetzliche Regelung gibt. In diesem Fall dürfte kirchliches Recht zur Anwendung kommen, wenn die Gremien über kirchliches Recht eingerichtet werden, während bei mittels weltlichen Rechts eingerichteten Gremien die (unpraktische) Position vertretbar erscheint, dass der eigenständige Elternbeirat DSGVO anwenden muss – wobei diese Frage bislang völlig ungeklärt ist.
Fazit
Wenn es keine explizite Regelung gibt und sich Elternbeiräte im Rahmen ihrer Aufgabenzuweisung bewegen, kann man wohl in der Regel davon ausgehen, dass sie keine eigenen datenschutzrechtlichen Verantwortlichen sind. Das heißt für die Schulen und Kitas, dass sie diese Gremien bei ihrem Datenschutzmanagement mitdenken müssen. Für die Elternvertreter*innen heißt es, dass sie diese Zuständigkeit auch beachten müssen und, wollen sie nicht einen ehrenamtlichen Mitarbeiterexzess oder eine ausnahmsweise Verantwortlichkeit riskieren, den Vorgaben des Trägers folgen müssen.Im kirchlichen Bereich ist diese Frage noch weniger bearbeitet als im staatlichen, aber hoffentlich in der Regel ebenso mit einer Verantwortlichkeit des Trägers zu beantworten. Landeskirchen und Diözesen sollten für ihren Bereich klären und gegenüber Trägern transparent machen, auf welcher staatlichen oder kirchlichen Rechtsgrundlage die Mitbestimmungsgremien eingerichtet werden und im Idealfall eine Regelung vornehmen. Elternbeiräte oder Träger, die Zweifel haben, sollten die geographisch zuständige Landesdatenschutzaufsicht wie die zuständige kirchliche Aufsicht nach ihrer Einschätzung fragen.