Livestream-Unterricht und Datenschutz: Hessisches Gericht sucht Rat beim EuGH

Der Streit, den das Verwaltungsgericht (VG) Wiesbaden nun vor den Europäischen Gerichtshof (EuGH) gebracht hat, behandelt die datenschutzrechtliche Frage, ob beim Unterricht per Livestream, also über Videokonferenzsysteme, neben der Einwilligung der Schüler – vertreten durch ihre Eltern – auch die Einwilligung der den Unterricht erteilenden Lehrkraft erforderlich ist.

Dies wäre nur dann der Fall, wenn die entsprechende Verarbeitung der personenbezogenen Daten, die beim Unterricht per Livestream zwangsläufig für alle an der Schalte beteiligten Personen gegeben ist, nicht schon aufgrund gesetzlicher Bestimmungen zulässig wäre, so Experten. Eine solche Erlaubnisnorm könnte unter Umständen in Paragraf 23 des Hessischen Datenschutz- und Informationsfreiheitsgesetz (HDSIG) gesehen werden.

Dort heißt es, dass personenbezogene Daten von Beschäftigten „für Zwecke des Beschäftigungsverhältnisses“ verarbeitet werden dürfen. Dies aber nur dann, wenn die Datenverarbeitung „nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung“ erforderlich ist.

„Die Erteilung von Online-Unterricht zählt dieser Tage ohne Frage zu den üblichen Methoden, wie Lehrer*innen ihrer pädagogischen Beschäftigung nachgehen“, sagt Dr. Nils Rauer, Experte für Datenschutzrecht bei Pinsent Masons, der Kanzlei hinter Out-Law. Der dem EuGH übermittelte Fall sei daher „gerade vor dem Hintergrund der Corona-Pandemie und den Maßnahmen zu deren Eindämmung von großer praktischer Bedeutung.“

Letztlich geht es um die Frage, ob die Regelung des HDSIG in Einklang mit der Datenschutz-Grundverordnung (DSGVO) der EU steht: Die DSGVO gilt in allen Mitgliedstaaten der EU. Der Schutz personenbezogener Daten in Deutschland richtet sich daher primär nach den Bestimmungen dieser europäischen Verordnung.

„Dies bedeutet jedoch nicht, dass gar kein Raum mehr für nationale gesetzliche Regelungen zum Datenschutz bleibt. Insbesondere das Bundesdatenschutzgesetz wurde mit Inkrafttreten der DSGVO nicht obsolet. Es hat eine Überarbeitung erfahren und wurde auf diejenigen Bereiche fokussiert, in denen nationale Regelungen noch statthaft und erforderlich sind. Gleiches gilt für die Datenschutzgesetze der Länder“, so Anna-Lena Kempf, Expertin für Datenschutzrecht bei Pinsent Masons. „In Deutschland bestehen daher auf Bundes- wie auch auf Landesebene datenschutzrechtliche Bestimmungen fort. Diese müssen aber im Einklang mit der DSGVO stehen – sowohl im Hinblick darauf, welche Regelungsgegenstände noch auf nationaler Ebene verortet sind, als auch, wie die inhaltliche Ausgestaltung ausfällt.“

In diesem Kontext steht die Vorlagefrage des VG Wiesbaden: Artikel 88 DSGVO erlaubt für die Datenverarbeitung im Beschäftigungskontext nationale Regelungen. Handelt es sich um Daten von Lehrkräften, greift das Datenschutzrecht der Länder. Folglich fragt das Gericht nun beim EuGH an, ob es sich bei den hessischen Vorschriften um Normen handelt, welche die Anforderungen der DSGVO erfüllen.

Eine Fachkammer des VG Wiesbaden hat Zweifel daran. Die Anforderungen der DSGVO seien „weder in den hessischen Normen selbst, noch durch ergänzende Normvorgaben an anderer Stelle des jeweiligen Gesetzes erfüllt worden“, so das VG Wiesbaden.

Die Frage, mit der sich nun der EuGH befassen muss, lautet daher: Welche inhaltlichen Anforderungen muss eine Vorschrift erfüllen, um eine hinreichend „spezifische Vorschrift“ im Sinne der DSGVO zu sein? Zudem muss laut VG Wiesbaden durch den EuGH geklärt werden, ob eine nationale Norm, die diese Anforderungen nicht erfüllt, trotzdem noch angewendet werden darf.

„Online-Unterricht ist für Lehrer*innen, Schulen und Schulträger etwas vergleichsweise Neues. Die Unsicherheit ist groß. Gleiches gilt für die Angst, Daten könnten unkontrolliert abfließen und missbräuchlich genutzt werden. Hinzu kommen die Unwägbarkeiten, welche die Schremms II-Entscheidung des EuGH mit sich gebracht hat“, so Dr. Rauer. Gerade deshalb sei es wichtig, an dieser Stelle Rechtssicherheit zu schaffen.

„Dazu gehört, die Datenverarbeitung auf die ‚richtige‘ Grundlage zu stellen“, ergänzt Kempf. „Das Schulwesen ist hier nur ein Beispiel dafür, dass stets abgewogen werden muss, welcher der Erlaubnistatbestände des Artikel 6 DSGVO zur Verfügung steht, um personenbezogene Daten rechtmäßig zu verarbeiten.“