Ja, auch Schulen sind als öffentliche Einrichtungen von der DSGVO betroffen. Dabei gilt, dass jede Schule zunächst einmal eigenständig für die Umsetzung der DSGVO verantwortlich ist. Dies sieht die Landesschulbehörde Niedersachsen (LSB) auch so und bietet ihren Einrichtungen/Schulen einige Muster und Vorlagen zur Verwendung an.
Nun sieht es an den niedersächsischen Schulen allerdings so aus, dass seit Jahren eine Unterversorgung an Lehrkräften besteht. D.h. im Klartext: es ist vielfach zu wenig Personal vorhanden, um die Unterrichtsversorgung sicherzustellen.
Und in diesen Kontext ist nun auch noch die DSGVO umzusetzen. D.h. die Schulen, die eh schon zu wenig Personal haben, sollen nun auch noch in Eigenregie das Thema Datenschutz beackern und u.a. eine/n Datenschutzbeauftragte/n benennen.
Was heißt das? Weder LSB noch Schulträger stellen – außer den Mustern – Budgets oder Freistellungen zur Verfügung, sondern gehen davon aus, dass eine DSGVO-Umsetzung mit „Bordmitteln“ der jeweiligen Schule zu stemmen ist. Somit scheint die bei LSB/Schulträger die Auffassung vorzuherrschen, dass die Schulen also noch Luft und Kapazitäten haben, um eine weitere durchaus komplexe Aufgabe zu bewerkstelligen.
Dies lässt eigentlich nur zwei Rückschlüsse zu:
- entweder werden die Aufwände von Schulträger und LSB drastisch unterschätzt oder
- man „setzt“ sich einfach auf die gesetzliche Anforderung
Welche der beiden Schlussfolgerungen nun greift, ist eher unerheblich. Beide wären sehr bedenklich.
Aber mal abgesehen von der quantitativen Komponente: wer sollte diese Aufgabe in Schulen denn faktisch ausführen? Neben einer fachlichen Expertise wäre durchaus auch eine gewisse berufliche Erfahrung erforderlich. Und diese qualitative Dimension ist weit und breit in Schulen nicht zu sehen. Am Rande bemerkt: das ist auch kein Wunder, denn Lehrer haben nun mal eine andere Ausbildung und andere Aufgaben als Datenschützer.
Da stehen nun also Landesschulbehörde, Schulträger und Schulen seit nahezu einem Jahr und machen… nichts.
Und das Beste daran: der Landesaufsichtsbehörde für Datenschutz ist diese Situation nicht unbekannt. Dort ahnt man zumindest, dass bei Schulen gravierende Mängel in punkto DSGVO-Konformität bestehen. Und was passiert? Nichts. Na ja, zumindest nichts, was nach außen hin wahrnehmbar wäre. Halt, stopp: immerhin werden von der Landesaufsichtsbehörde Seminare und Schulungen für öffentliche Einrichtungen angeboten. Ist ja auch schon etwas… Kleines Problem an der Stelle: wenn z.B. pro Schulung 25 Personen aus öffentlichen Einrichtungen teilnehmen könnten und diese Schulung 1x monatlich stattfände, dann bräuchte es bei ca. 5.000 öffentlichen Einrichtungen in Niedersachsen ja „nur“ knapp 20 Jahre, dass Vertreter aller Institutionen einmal durchgeschult wären.
Und damit haben wir das nächste Dilemma für Schulen: selbst wenn man jemanden in den eigenen Reihen auserkoren hätte und dieser wollte sich im Thema Datenschutz weiterbilden: wann kann er denn diese Weiterbildung erhalten? In 20 Jahren?
Also bleibt man lieber dabei: wer nichts macht, macht nichts verkehrt. Oder: wer sich zuerst bewegt, verliert…