Datenschutz in der Schule: Timmy (9) hat Läuse!

Informationsaustausch in der WhatsApp-Gruppe

Inhaltsverzeichnis

Datenschutz in der Schule: Gesundheitsbezogene Daten via WhatsApp kommunizieren
"Timmy hat Läuse!", eine Aussage, die via WhatsApp-Gruppe kommuniziert, datenschutzrechtlich bedenklich ist.

„Timmy (9) hat Läuse!“, teilt ein Lehrer via WhatsApp-Gruppe den Eltern seiner Schulklasse mit. Zunächst sei unterstellen, dass der Lehrer damit nur gute Absichten verfolgt, schließlich ist bereits gesetzlich eine Betreuung oder eine Tätigkeit in einer Gemeinschaftseinrichtung bei festgestelltem Kopflausbefall untersagt (§ 34 Abs. 1 IfSG).

Zudem ist so eine WhatsApp-Nachricht in der Gruppe doch praktisch: Mit ihr weist der Lehrer auf eine drohende Ansteckungsgefahr hin und erhöht damit die Aufmerksamkeit der Eltern. So wissen Eltern, noch bevor die Zöglinge aus der Schule heimgekehrt sind, was zu tun ist: Spezialshampoo kaufen und für den Fall der Fälle auch gleich noch den Läusekamm bereitlegen. Wer Glück hat, wird beides nicht brauchen.

Doch so praktisch und unverfänglich die Nachricht wirken mag, so bedenklich ist sie mit Blick auf den Datenschutz, denn bei der Aussage „Timmy hat Läuse“ handelt es sich um eine gesundheitsbezogene Aussage. Nach § 3 Abs. 9 BDSG ist sie als besondere Art personenbezogener Daten zu qualifizieren und an die Verwendung von personenbezogenen Daten werden vom Bundesdatenschutzgesetz besonders hohe Anforderungen gestellt. Werden in diesem Bereich die Persönlichkeitsrechte des Betroffenen verletzt, wiegt das besonders schwer.

3 Abs. 9 BDSG:

„Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

Gesetzliche Möglichkeit zur Weitergabe gesundheitsbezogener Daten via WhatsApp

Lehrer, die gesundheitsbezogene Daten via WhatsApp-Gruppe mit Eltern teilen möchten, brauchen eine gesetzliche Grundlage oder die Einwilligung des Betroffenen. Eine solche gesetzliche Grundlage könnte beispielsweise das Infektionsschutzgesetz sein.

Infektionsschutzgesetz als gesetzliche Rechtfertigung

Ziel des Infektionsschutzgesetzes (IfSG) ist die Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen. Adressat der Regelungen sind insbesondere Gemeinschaftseinrichtungen.

33: IfSG:

Gemeinschaftseinrichtungen im Sinne dieses Gesetzes sind Einrichtungen, in denen überwiegend Säuglinge, Kinder oder Jugendliche betreut werden, insbesondere Kinderkrippen, Kindergärten, Kindertagesstätten, Kinderhorte, Schulen oder sonstige Ausbildungseinrichtungen, Heime, Ferienlager und ähnliche Einrichtungen.“

Zwar handelt es sich bei einer WhatsApp-Gruppe um eine öffentliche Einrichtung jedoch um keine Einrichtung, die offensichtlich dem Schutzbereich des IfSG angehört. Allerdings wird die WhatsApp-Gruppe, sofern sie vom Lehrer initiiert ist und die Kommunikation dem Schulalltag dient, auch zur Schule zugeordnet werden können. Die Schule selbst wird in § 33 IfSG ausdrücklich zu den Gemeinschaftseinrichtungen gezählt, sodass die Anwendung des Infektionsschutzgesetzes geeignet ist.

 

Die Meldepflicht nach § 34 Abs. 6 IfSG: Ist die Schule zur Veröffentlichung verpflichtet?

Die einschlägige Rechtsgrundlage könnte auf den ersten Blick § 34 Abs. 6 IfSG sein, der die Meldepflicht regelt und ausdrücklich bestimmt, dass krankheits- und personenbezogene Angaben zu machen sind. Mit anderen Worten, die Schule ist verpflichtet, die Krankheit und die erkrankte Person namentlich bekannt zu machen.

Werden Tatsachen bekannt, die das Vorliegen einer der in den Absätzen 1, 2 oder 3 aufgeführten Tatbestände annehmen lassen, so hat die Leitung der Gemeinschaftseinrichtung das zuständige Gesundheitsamt unverzüglich zu benachrichtigen und krankheits- und personenbezogene Angaben zu machen.“

Doch Vorsicht! Diese Meldepflicht betrifft lediglich das Verhältnis der Schule zum Gesundheitsamt.

 

Aushang 2.0

Anders ist das hingegen bei § 34 Abs. 8 IfSG, denn dieser Paragraf regelt die Bekanntgabe in der Gemeinschaftseinrichtung. Wer Kinder hat oder sich noch an seine Schulzeit erinnern kann, kennt den Aushang, auf dem kenntlich gemacht wird, welche Krankheitserreger aktuell im Gebäude ihr Unwesen treiben.

In der digitalisierten Welt könnte die Version des Aushangs ein Update erfahren haben: Aushang 2.0 per WhatsApp-Nachricht, statt am Schwarzen Brett der Schule.

Allerdings fehlt es dem vermeintlich digitalen Aushang an einem wesentlichen Erfordernis: Solange es sich um eine Gruppe handelt, die regelmäßig lediglich eine Klasse beziehungsweise einen kleineren Personenkreis als die gesamte Schule umfasst, genügt die Bekanntgabe in der Gruppe den Anforderungen des IfSG nicht.

Darüber hinaus verlangt der Gesetzgeber bei der Bekanntgabe, dass der Betroffene unbenannt bleibt, und wird damit auch datenschutzrechtlichen Aspekten gerecht. Auch diesbezüglich bestehen Bedenken gegen die Bekanntgabe in der WhatsApp-Gruppe. Wenn diese nämlich auf einen überschaubaren Personenkreis (zum Beispiel eine Schulklasse) beschränkt ist und sich aus der anonymisierten Benachrichtigung und weiteren Aspekten (dem anschließenden tatsächlichen Fehlen eines Schülers) Rückschlüsse auf seine Person ziehen lassen. Denn damit ist die erkrankte Person identifizierbar und der Schutzzweck der Norm läuft ins Leere.

Die Information „Timmy hat Läuse“ kann durch das IfSG nicht gerechtfertigt werden. Daher käme für die Zulässigkeit einer solchen Offenlegung von der Person des Erkrankten und der Krankheit selbst, nur die Einwilligung des Betroffenen, respektive dessen Vertretungsberechtigten in Betracht. Aber wer sollte dem schon zustimmen wollen?

 

Senden von Fotos in der WhatsApp-Gruppe

Ähnliches gilt bei der Beurteilung der Frage, wie es sich verhält, wenn Lehrer Fotos vom Klassenausflug oder den ereignisreichen Projekttagen in der WhatsApp-Gruppe posten.

 

RECHTLICHE EINORDNUNG

  1. Kindeswohl

Für das Anfertigen von Fotos in der Schule existieren keine bereichsspezifischen Rechtsvorschriften. Neben den datenschutzrechtlichen Aspekten müssen jedoch auch die Anforderungen zur Wahrung des Kindeswohls beachtet werden.

Den Gemeinschaftseinrichtungen obliegt eine besondere Pflicht zur Beurteilung, ob durch die Verarbeitung von personenbezogenen Daten der Kinder und die Verbreitung von Fotos das Wohl des Kindes beeinträchtigt oder gar gefährdet ist. Diese Verpflichtung kann sogar dazu führen, dass gegen den erklärten Willen der Eltern (Einwilligung zum Verbreiten via WhatsApp) gehandelt werden muss.

  1. Recht am eigenen Bild

Daneben sind auch Aspekte des Rechts am eigenen Bild als besondere Ausprägung des allgemeinen Persönlichkeitsrechts zu beachten. Danach kann jeder Mensch grundsätzlich selbst darüber bestimmen, ob und in welchem Zusammenhang Bilder von ihm veröffentlicht werden. Das Verbreiten von Bildnissen ist in den §§ 22 und 23 Kunsturheberrechtsgesetz (KUG) geregelt. Nach § 22 KUG ist das Verbreiten von Bildnissen nur nach der erteilten Einwilligung der Abgebildeten zulässig.

Das gilt auch für das Verbreiten von Bildern via WhatsApp. Die Einwilligung muss sich dabei auf das Anfertigen und die private Nutzung der Bilder, in Form der Verbreitung innerhalb der WhatsApp-Gruppe, beziehen. Eine anschließende etwaige Weiterverbreitung der Bilder durch die Gruppenmitglieder, in unserem Fall durch die Eltern, ist damit nicht mehr von der Einwilligung gedeckt.

  1. BDSG

Zunächst stellt sich hierbei die Frage, wie Fotos datenschutzrechtlich einzuordnen sind.

a)   Fotos von Personen als sensitive Daten

Nach den Vorgaben der Europäischen Datenschutzrichtlinie 95/46/EG unterliegen „besondere Kategorien personenbezogener Daten“, wie sensitive Daten dort genannt werden, einem besonderen Schutz (Art. 8). Zu diesem gehören Angaben, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben. Entsprechend werden „besondere Arten personenbezogener Daten“ im deutschen Bundesdatenschutzgesetz definiert (§ 3 Abs. 9 BDSG). An die Erlaubnis der Verwendung dieser Daten stellt das Gesetz besonders hohe Anforderungen: In der Regel muss eine schriftliche Einwilligung eingeholt werden und es ist eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten erforderlich.

Streng genommen würde jedes Foto, auf dem eine bestimmte Person erkennbar ist, ein sensitives Datum darstellen, denn allein die Hautfarbe lässt zweifellos Schlüsse auf die „rassische und ethnische Herkunft“ zu. Ebenso könnte das Tragen einer Brille als Gesundheitsdatum aufgefasst werden.

Allerdings bedarf es für die Bestimmung, ob es sich um ein Foto mit sensitiven Daten handelt noch mehr. Peter Fleischer, der Konzern-Datenschutzbeauftrage von Google, trifft dazu folgende Überlegung:

“Think of the simple example of a photo of two people holding hands. Is this indicative of their sexual orientation, and hence, „sensitive“ personal data, or really, just two people holding hands? I suppose it depends on the context.“

Man wird also sagen müssen, dass die Einordnung als besondere Arten personenbezogener Daten nicht schematisch erfolgen kann, sondern nur einzelfallbezogen nach einer Gesamtwürdigung der Umstände. Das kann dazu führen, dass sich besonders sensible Daten, wie Gesundheitsdaten, erst mittelbar aus dem Gesamtzusammenhang ergeben. Allerdings greift der besondere Schutz nicht ein, wenn keine Auswertungsabsicht der Gesundheitsdaten besteht.

Davon ausgehend, dass Fotos jedenfalls „einfache“ personenbezogene Daten sind, ist mangels gesetzlicher Grundlage dennoch die Einwilligung des Betroffenen (respektive seines Vertretungsberechtigten) erforderlich.

b)   Anforderungen an die Einwilligung

Die Voraussetzungen an eine wirksame Einwilligung sind, dass die Einwilligung ausdrücklich, in der Regel schriftlich und vor allem freiwillig erfolgt. Insbesondere am Aspekt der Freiwilligkeit bestehen häufig Zweifel, weil sich Eltern, um mögliche Nachteile für ihre Kinder durch eine Verweigerung der Einwilligung abzuwenden, dem Gruppenzwang einer schulischen „Einrichtung“ (offizielle WhatsApp-Gruppe der Schule) wohl fügen würden.

Darüber hinaus muss die Daten verarbeitende Stelle, in dem Fall die Schule beziehungsweise deren Träger, umfassend über die Datenverarbeitungsvorgänge des Messengerdienstes WhatsApp unterrichten. Damit soll über die Bedeutung und die Tragweite der Einwilligungserklärung aufgeklärt werden. Welche Probleme damit einhergehen, habe ich bereits im Beitrag WhatsApp in der Schule: „Der Elternabend to go“ unter die Lupe genommen.

 

Exkurs: Ich sehe was, was Du nicht siehst – Metadaten in Bildern

Was kaum einer weiß: Fotos sind personenbezogene Daten und enthalten mehr Informationen als sie zunächst vermuten lassen. Nämlich vor allem Metadaten. Das Gefährliche an Metadaten: Sie befinden sich nicht offensichtlich auf dem Bild und sind doch durch jeden einsehbar.

So gibt ein Bild unter anderem folgende Angaben preis:

  • Quelle, Ersteller, Kontaktdaten
  • Uhrzeit von Erstellung und Digitalisierung
  • Ortsangaben
  • Datum

I know where your cat lives

Um die Auskunftskraft und Macht dieser Daten und welche Gefahren der leichtfertige Umgang damit birgt, zu demonstrieren, führte der amerikanische Wissenschaftler Owen Mundy ein Experiment mit dem Namen I know where your cat lives durch. Dabei durchsuchte er diverse Internetplattformen nach dem Stichwort „cat“, entnahm den Metadaten den Standort, an dem das Bild geschossen wurde, und erstellte daraus eine Weltkarte.

Mundys Probanden sind Katzen. Natürlich sind auch andere Akteure denkbar – etwa Kinder.

 

Praxistipps

  • Machen Sie sich bewusst, dass ihre täglichen digitalen Aktivitäten, etwa das Hochladen von Bildern, Spuren hinterlassen.

 

  • Sie können Metadaten von Bildern vor dem Hochladen löschen. Das geht zum Beispiel mit dem kostenlosen Bildbearbeitungsprogramm Irfanview.

 

  • Als Träger einer Schule, sollte Sie sich der Problematik bewusst sein und der Verwendung von WhatsApp bestenfalls entgegentreten. Dies können Sie beispielsweise bereits in der Hausordnung verankern.

 

  • Sensibilisieren Sie Ihre Mitarbeiter für den Datenschutz. Dazu gehören neben den Datenschutzerklärungen, die regelmäßig erneuert werden müssen, auch Datenschutzschulungen.

Einen Kommentar schreiben

Tags

§75f HGB handel Löschung Onlinevertrieb ecommerce Panorama Abhören Stellenausschreibung Gesundheit Haftung Art. 13 GMV Personenbezogene Daten gezielte Behinderung Ratenparität Check-in Selbstverständlichkeiten Schutzbrief Jugendschutzfilter Google AdWords Social Media Team Hotelvermittler Social Engineering handelsrecht Datenschutzbeauftragter Konferenz Kartellrecht Hotelsterne Datenschutzerklärung Datensicherheit Rechtsanwalt Zustellbevollmächtigter Online-Portale right of publicity Neujahr Wettbewerbsbeschränkung Erdogan Bafin Prozessrecht EC-Karten Anmeldung data privacy informationstechnologie Adwords Verbandsklage E-Commerce Behinderungswettbewerb § 5 UWG Handynummer Privacy veröffentlichung Google USPTO Heilkunde hate speech Kritik ReFa Schleichwerbung html5 Meldepflicht Asien Bildrechte data security Interview Geschäftsanschrift Werbung Unlauterer Wettbewerb Conversion Hotels Stellenangebot Resort Einstellungsverbot fristen Meinungsfreiheit videoüberwachung #emd15 Distribution Spielzeug #bsen Insolvenz Rechtsprechung EuGH Bewertung Geschmacksmuster CRM Haftungsrecht Technologie Opentable Kleinanlegerschutz Tipppfehlerdomain berufspflicht § 4 UWG Versicherungsrecht Informationsfreiheit Suchfunktion Internet Hacking Social Networks 2014 Datengeheimnis Crowdfunding Marketing kündigungsschutz EU-Textilkennzeichnungsverordnung Herkunftsfunktion zugangsvereitelung Abmahnung Markenrecht Marke Website LG Hamburg Urteil jahresabschluss Limited Reiserecht Suchmaschinen Hausrecht Keyword-Advertising Niederlassungsfreiheit E-Mail FTC AGB Gesetz Domainrecht Markensperre Sicherheitslücke Touristik Wettbewerb Unionsmarke Einwilligung Flugzeug recht am eigenen bild Ring Newsletter technology Wettbewerbsverbot LinkedIn fake news Wettbewerbsrecht email marketing HSMA Verfügbarkeit Webdesign Kapitalmarkt Kündigung Vertragsgestaltung Scam Kundendaten Dynamic Keyword Insertion Ofcom Online Hotelkonzept Online Marketing Weihnachten 5 UWG Suchmaschinenbetreiber ITB verlinken Corporate Housekeeping Schadensfall online werbung Barcamp Custom Audiences LMIV targeting besondere Darstellung Duldungsvollmacht Direktmarketing News Creative Commons neu IT-Sicherheit Soziale Netzwerke Finanzaufsicht Event Vertragsrecht Entschädigung Bundesmeldegesetz Handelsregister Urteile Kekse Europarecht Panoramafreiheit Spitzenstellungsbehauptung Human Resource Management Persönlichkeitsrecht Internet of Things AstraDirekt Job Restaurant München PPC information technology Reisen AIDA Medienrecht c/o Urheberrecht Osteopathie messenger

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2017, alle Rechte vorbehalten




Spirit Legal LLP hat 4,75 von 5 Sterne | 59 Bewertungen auf ProvenExpert.com