Eine Mutter eines betroffenen Kindes, von dem sensible Daten verschickt wurden, bedankte sich bei der Starken Schule beider Basel (SSbB) für die Offenlegung dieses Faux-pas. Von der Schulleitung sei sie enttäucht. Extrem besorgniserregend sei für sie auch die Tatsache, dass die Weiterleitung des testpsychologischen Berichtes ihres Kindes von KJP BL an die Sekundarschule Aesch ohne ihre Einwilligung erfolgte. Deswegen stellt sich die Frage, ob die verantwortliche Ärztin der KJP BL eine Datenschutzverletzung begangen hat. Es gilt die Unschuldsvermutung.
Gemäss den Datenschutzrichtlinien sollen zudem Ergebnisse von testpsychologischen Gutachten nicht an die nächste Schulstufe weitergeleitet werden. Auch bezüglich dieses Punktes ist möglicherweise der Datenschutz verletzt worden, indem Berichte von einzelnen Primarschulen an die Sekundarschule Aesch verschickt wurden.
Die SSbB hat sich in der Zwischenzeit mit dem Datenschutzbeauftragten Markus Brönnimann unterhalten und ihm einige Fragen gestellt:
Welche Daten von Schüler/-innen fallen unter die Datenschutzrichtlinien des Kantons?
Die Bearbeitung sämtlicher Informationen über Schülerinnen und Schüler durch kommunale oder kantonale Schulen in Basel-Landschaft richten sich nach den Bestimmungen des kantonalen Gesetzes über die Information und den Datenschutz (IDG). Dieses gibt die Rahmenbedingungen für die Datenbearbeitungen vor. Welche Daten von wem zu welchem Zweck bearbeitet werden dürfen, ist stets den Fachgesetzen und den sie konkretisierenden Verordnungen und allfällig vorhanden Weisungen zu entnehmen. Für die vorliegende Konstellation stehen dabei das Bildungsgesetz und seine Verordnungen im Vordergrund.
Können Sie uns die relevanten Paragraphen im Bildungsgesetz sowie in den Verordnungen nennen?
Die direkte Grundbestimmung für die Bearbeitung von Personendaten im schulischen Bereich ist § 4a des kantonalen Bildungsgesetzes. Die Rechtmässigkeit einer Datenbearbeitung kann sich aber auch daraus ergeben, dass sie zur Erfüllung einer gesetzlichen Aufgabe notwendig ist. Dies ist gegenwärtig (auch) Gegenstand unserer Abklärungen.
Wie müssen Schulen mit solchen Daten und Berichten umgehen?
Einerseits dürfen die Personendaten nur gemäss den rechtlichen Vorgaben bearbeitet werden, andererseits müssen sie «angemessen» geschützt werden (§ 8 IDG). Den jeweiligen Lehrpersonen dürfen und sollen alle Informationen zur Verfügung stehen, die sie brauchen, um ihre Aufgabe, welche in den gesetzlichen Vorgaben definiert sind, erfüllen zu können. Informationen, die sie für ihre Aufgabenerfüllung nicht benötigen dürfen sie auch nicht einsehen. Bei der Festlegung der dazu erforderlichen Schutzmassnahmen ist insbesondere auch der Schutzbedarf der bearbeiteten Daten zu berücksichtigen. Bei gewissen Kategorien von Personendaten besteht eine erhöhte Gefahr einer Grundrechtsverletzung, weshalb solche Daten besonders sorgfältig geschützt werden müssen. Welche Massnahmen dabei getroffen werden müssen, ist nur schwer in allgemeiner Weise zu beschreiben, es kommt dabei stets auf die konkreten Umstände an.
Wie können solche «erforderlichen Schritte» aussehen, falls die rechtlichen Bestimmungen tatsächlich verletzt sein sollten?
Es gibt verschiedene Möglichkeiten. Als Aufsichtsorgan können wir Empfehlungen abgeben und bei schwerwiegenden Fällen eine Weisung in Form einer Verfügung erlassen. Die Anstellungsbehörde kann personalrechtliche Schritte einleiten.
Werden Sie in diesem Fall aktiv? Welche Schritte unternehmen Sie?
Wir haben eine Sachverhaltsabklärung eingeleitet sowie die Sekundarschule Aesch um eine Stellungnahme gebeten. Nach Erhalt dieser Unterlagen werden wir prüfen, ob eine Verletzung der rechtlichen Bestimmungen vorliegt und – sollte dies der Fall sein – die erforderlichen Schritte einleiten.
Welche möglichen Konsequenzen kann dies für die Schulleitung der Sekundarschule haben?
Die aufsichtsrechtlichen Aufgaben und Kompetenzen der Aufsichtsstelle Datenschutz (ASD) gibt das IDG vor. Allfällige personalrechtliche Massnahmen könnten dabei nicht von der ASD, sondern den zuständigen Schulbehörden getroffen werden.
Wie können Sie Schulleitungen und Lehrpersonen unterstützen, damit der Umgang mit sensiblen Schülerdaten innerhalb der Datenschutzlinien liegt. Ist eine Aufklärungskampagne geplant? Wenn ja, in welcher Form?
Die Datenbearbeitungen liegen in der Verantwortung der jeweiligen Schule, die sie vornimmt. Es ist auch Bestandteil ihre Führungsaufgabe, die Lehrpersonen entsprechend zu instruieren und sensibilisieren. Primäre Anlaufstation bei Unklarheiten und allfälligen Vorgaben für Schulen und Lehrpersonen der Sekundarschulen ist die BKSD. Als Aufsichtsbehörde hat die ASD unter anderem auch einen gesetzlichen Beratungsauftrag und steht im Rahmen dieser Aufgabe in Kontakt mit den Bildungsbehörden. Bei diesem Austausch mit der BKSD und mit den Schulen stehen Fragen rund um den Datenschutz und der Informationssicherheit im Zentrum.
Im Fall der Sekundarschule Aesch handelt es sich bereits um den zweiten Fall innert wenigen Tagen, in welchem mutmasslich Datenschutzrichtlinien missachtet wurden. Was haben Ihre Abklärungen im ersten Fall ergeben?
Die beiden Fälle sind nach unserer Einschätzung jeweils anders gelagert. Aktuell gehen wir davon aus, dass es sich um Einzelfälle handelt und nicht um ein systematisches Versagen. Wir stellen aber auch fest, dass die zunehmende Digitalisierung die Schulen immer wieder vor grössere Herausforderungen stellt. Mit der BKSD prüfen wir nun parallel, ob und wie das Risiko solcher Vorfälle reduziert werden könnte.