Entscheidungsdatum
30.09.2020Norm
B-VG Art133 Abs4Spruch
W274 2225135-1/3E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht erkennt durch den Richter Mag. LUGHOFER als Vorsitzenden sowie die fachkundigen Laienrichter Prof. KommR POLLIRER und Dr. GOGOLA über die Beschwerde des Mag. XXXX , p. A. XXXX , vertreten durch STÖGERER PREISINGER Rechtsanwälte OG, Mariahilfer Straße 76/2/23, 1070 Wien, gegen den Bescheid der Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, vom 02.08.2019, GZ DSB-D123.594/003-DSB/2019, Beschwerdegegnerin XXXX , XXXX , wegen Verletzung im Recht auf Geheimhaltung, in nicht-öffentlicher Sitzung zu Recht:
Der Beschwerde wird Folge gegeben und der bekämpfte Bescheid dahingehend abgeändert, dass er lautet:
„Die Beschwerde wird abgewiesen.“
Die Revision ist gemäß Artikel 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
Mit E-Mail vom 09.10.2018 an die Datenschutzbehörde (im Folgenden: belangte Behörde) brachte XXXX (im Folgenden: Beschwerdegegnerin - BG) vor, nach mehrmaligem Kontakt mit der Polizei, der Staatsanwaltschaft und der Datenschutzbehörde sei sie nun bei dieser E-Mail-Adresse gelandet. Sie sei 19 Jahre alt und besuche im letzten Schuljahr das XXXX . Im Fach XXXX sei es zu mehreren Prüfungen gekommen. Sie habe mehrmals betont, dass sie nicht wolle, dass ihre Noten vom ganzen Schuljahr öffentlich bekannt gegeben werden. Aus einer WhatsApp Nachricht habe sie aber dann erfahren, dass ihr Lehrer Mag. XXXX (im Folgenden: Beschwerdeführer – BF) die Noten detailliert den Klassensprechern mitgeteilt habe, an einem Tag, an dem sie nicht in der Schule gewesen sei. Er habe die beiden extra aus einer anderen Unterrichtsstunde geholt, um ihnen ihre Noten aufzuschlüsseln. Sie sehe dies als Datenschutzverletzung durch den BF. Sie wisse auch, dass ihre Mitschüler die Noten in dieser Gruppe nicht hätten öffentlich machen dürfen, jedoch habe der BF die Intuition vermittelt, ihre Noten so schnell wie möglich zu veröffentlichen. Die Schüler wolle sie hiermit nicht in diese Materie mithineinziehen. Sie bitte, Konsequenzen einzuleiten.
Im Anhang übermittelte die BG eine WhatsApp Nachricht folgenden Inhalts:
"Sodala Leute, da XXXX hat in da Latein-Stunde di D... und mi rausgeholt um zumindest eine Sache zu erklären und i will des jetzt allen weiterleiten. Da XXXX hat an seinem Notensystem nichts verändert und di Noten von XXXX ... berechnet. Schriftlich ist da ... zwar besser aber er hat drei Mitarbeitsplus und 4 von 5 Stundenwiederholungen negativ. Die XXXX hat in den … Stundenwiederholungen einmal 1.75 und einmal 1.5 und 12 Mitarbeitsplus, weil sie öfter versucht mitzuarbeiten, was beim ... nicht der Fall ist. Beim Zusammenrechnen steht die XXXX auf 48 % und kann mit 2 Punkten in einer normalen Stundenwiederholung, die auch morgen noch stattfinden darf, auf die benötigten 50 % kommen. Der ... ist wegen seiner Mitarbeit weit von den 50 % entfernt und kann nicht mit einer Stundenwiederholung auf 50 % kommen. Eine weitere Prüfung bekommen sie beide nicht."
Mit Mängelbehebungsauftrag vom 21.11.2018 trug die belangte Behörde der BG auf, ihre Beschwerde durch Bezeichnung des als verletzt erachtenden Rechts, des Rechtsträgers bzw. Organs, dem die behauptete Rechtsverletzung zugerechnet werde, ein Begehren und Angaben zur Rechtzeitigkeit der Beschwerde zu ergänzen.
Mit Eingabe vom 23.11.2018 ergänzte die BG – als BF vor der DSB - ihre Beschwerde dahingehend, dass sie sich im Recht auf Geheimhaltung gemäß § 1 DSG verletzt sehe. Die Beschwerde richte sich gegen Mag. XXXX , XXXX . Sie bitte um Feststellung des Verstoßes gegen § 1 DSG und habe am 18.04.2018 vom an diesem Tag stattgefundenen Ereignis Kenntnis erlangt.
Der BF (vor dem BVwG) nahm am 09.01.2019 wie folgt Stellung:
Die BG habe am 17.04.2018 in der vierten Unterrichtstunde im Fach XXXX eine mündliche Prüfung gemäß § 5 Leistungsbeurteilungsverordnung (LBVO) abgelegt, woraufhin die Gesamtbeurteilung „nicht genügend“ im Fach XXXX für das Schuljahr 2017/18 festgestanden sei. Der BF sei um 13:30 Uhr von der BG und ihrer Mutter in der Schule kontaktiert und um eine weitere Chance zur Verbesserung der Note gebeten worden, die er ihr am Donnerstag, 19.04.2018, in Form einer Stundenwiederholung gegeben habe. Am Mittwoch dem 18.04.2018 sei ihm von einer Kollegin mitgeteilt worden, dass in der Klasse Unverständnis darüber herrsche, dass ein Mitschüler der BG, der ebenfalls die Gesamtbeurteilung „nicht genügend“ im Fach XXXX für das genannte Schuljahr erhalten habe, im Gegensatz zur BG keine weitere Chance zur Verbesserung der Note in Form einer Stundenwiederholung erhalten habe. Um die Situation in der Klasse zu deeskalieren, habe der BF die gewählten Klassensprecher, deren Funktion es sei, sowohl die gesamte Klasse als auch einzelne Schüler zu vertreten, zu einem kurzen Gespräch außerhalb des Klassenraums gebeten, indem er ihnen die Gründe für die unterschiedliche Vorgehensweise dargelegt habe. Die BG habe durch ihre Abwesenheit nichts zur Klärung der Klassensituation beitragen können. Als Grundlage für seine Erklärung habe er auf die unterschiedlichen Unterrichtsleistungen der betreffenden Schüler hingewiesen.
Leistungsfeststellungen wie Stundenwiederholungen hätten gemäß § 2 Abs. 6 LBVO stets im regulären Unterricht und im Klassenverband erbracht werden müssen. Die Klassensprecher hätten daher keine wesentlichen neuen Informationen erhalten. In weiterer Folge hätten die Klassensprecher in ihrer Funktion als Vertreter der gesamten Klasse den Inhalt des Gesprächs in ihrer privaten WhatsApp Klassengruppe zur Verfügung gestellt. Zurückgewiesen werde die Behauptung der BG, sie habe den BF mehrmalig aufgefordert, ihre Noten in der Klasse nicht öffentlich zu machen. Im Übrigen bestehe der Grundsatz, dass immer eine faire und transparente und damit auch für Mitschüler nachvollziehbare Leistungsbeurteilung gewährleistet sein müsse.
Nach Gelegenheit zum Parteiengehör führte die BG mit Schreiben vom 05.02.2019 aus, der BF habe in seiner Stellungnahme neuerlich § 1 DSG verletzt, weil er die Gesamtbeurteilung „nicht genügend“ der belangten Behörde mitgeteilt habe. Der BF habe seine Verantwortung als Lehrperson nicht wahrgenommen und die Klassensprecher aufgefordert, für ihn Aufgaben zu übernehmen. Es gehe um ein bewusstes Weitergeben der gesamten Noten der BG ohne Zustimmung ihrerseits. Hierdurch sei sie mehrmals herabgewürdigt und bloßgestellt worden.
Mit dem bekämpften Bescheid gab die belangte Behörde der Beschwerde statt und stellte fest, der BF habe die BG dadurch im Recht auf Geheimhaltung verletzt, dass er den Klassensprechern unrechtmäßig personenbezogene Daten über die BG, nämlich die genaue Zusammensetzung der Schulnote im Fach XXXX , offengelegt habe.
Nach Darstellung des Verfahrensgangs traf die belangte Behörde folgende Feststellungen:
„Die BG wird vom BF im Fach XXXX unterrichtet. In der Klasse herrschte Unverständnis darüber, dass ein Mitschüler der BG, im Gegensatz zur BG selbst, keine weitere Chance zur Verbesserung der Note in Form einer Stundenwiederholung erhalten hatte. Um die Situation zu beruhigen bat der BF die Klassensprecher zu einem kurzen Gespräch, um die Gründe für das unterschiedliche Vorgehen darzulegen. In diesem Gespräch wurde auf die unterschiedlichen Unterrichtsleistungen hingewiesen bzw. die genaue Notenzusammensetzung mitgeteilt. In weiterer Folge wurde der Inhalt des Gesprächs von den Klassesprechern in der Klassen-WhatsApp Gruppe geteilt.“
Im Folgenden gab die belangte Behörde den - bereits oben dargestellten - Inhalt der WhatsApp-Nachricht wieder.
Weiters führte sie aus:
„Ob die Behauptung der BG, sie habe den BF mehrmals aufgefordert, die Noten in der Klasse nicht öffentlich zu machen, stimme, kann nicht festgestellt werden.“
Rechtlich folgerte die belangte Behörde unter Darstellung von § 1 Abs. 1 DSG und Art 4 Abs 1 DSGVO, bei Schulnoten handle es sich um ein personenbezogenes Datum gemäß Art 4 Abs 1 DSGVO. Hinsichtlich dieser personenbezogenen Daten bestehe grundsätzlich ein schutzwürdiges Geheimhaltungsinteresse der BG gemäß § 1 Abs. 1 DSG. Von einer allgemeinen Verfügbarkeit der dem Klassensprecher mitgeteilten Daten könne nicht ausgegangen werden, weil aus der vom Klassensprecher versendeten Mitteilung eindeutig hervorgehe, dass Gesprächsgegenstand nicht nur die Schulnote der BG sowie eines Dritten per se gewesen sei, sondern eine detaillierte Information über das Zustandekommen der Schulnoten erfolgt sei. Eine derartige Vorgangsweise sei von § 6 Abs. 2 LBVO nicht gedeckt. Wenn der BF vorbringe, er habe keine wesentlichen neuen Informationen weitergegeben, sei dem entgegenzuhalten, dass dem Klassensprecher die genaue Zusammensetzung sicherlich nicht bekannt gewesen sei und die Mitteilung sehr wohl neue Informationen enthalte. Es besteht daher eine Schutzwürdigkeit der Daten. Durch die Mitteilung an die Klassensprecher über die detaillierten Notenzusammensetzungen sei in das verfassungsgesetzlich gewährleistete Recht der BG auf Geheimhaltung ihrer personenbezogenen Daten eingegriffen worden. Die belangte Behörde übersehe nicht, dass die Mitteilung an die Klassensprecher von der nachvollziehbaren Intention getragen gewesen sei, Unstimmigkeiten im Klassenverband zu bereinigen. Als gelinderes Mittel wäre aber eine Information der zwei betroffenen Schüler über die genaue Zusammensetzung der Note in Betracht gekommen.
Gegen diesen Bescheid richtet sich die Beschwerde des BF, erkennbar wegen unrichtiger rechtlicher Beurteilung, mit dem Antrag, den angefochtenen Bescheid ersatzlos zu beheben.
Die belangte Behörde legte die Beschwerde am 5.11.2019 samt dem elektronischen Verwaltungsakt mit dem Antrag vor, die Beschwerde abzuweisen. Sie langte am 6.11.2019 bei diesem Gericht ein.
Die Beschwerde ist im Ergebnis berechtigt:
Der BF führt unter Punkt 1. der Beschwerde zusammengefasst aus, die von der BG erhobenen Vorwürfe richteten sich gegen den BF als Lehrer, der als Beamter in Vollziehung des Schulrechts tätig gewesen sei. Als Verantwortlicher im Sinne der DSGVO und auch des DSG wäre die zuständige Behörde, das Bundesministerium für Bildung, Wissenschaft und Forschung, zu belangen gewesen.
Die belangte Behörde führte hierzu aus, werde der Beschwerdegegner vom BF ausdrücklich genannt, so stehe es der Datenschutzbehörde nicht zu, eine solche Bezeichnung zu ändern und die Partei, mit der sich der BF in das Verfahren einlassen wolle, gegen eine andere, von ihm nicht bezeichnete, auszutauschen. Unbeschadet dessen wäre der nunmehrige BF jedenfalls als Verantwortlicher und damit als Beschwerdegegner anzusehen gewesen, weil sein nicht gesetzeskonformes Verhalten weder der Dienstbehörde (Bildungsdirektion) noch dem - entgegen der Auffassung des BF überhaupt nicht in Betracht kommenden - zuständigen Bundesministerium zugerechnet werden könne.
Dazu ist auszuführen:
Die BG hat ihre Beschwerde ausdrücklich nach dem Mangelbehebungsauftrag vom 21.11.2018 gegen ihren Lehrer, den BF, als Beschwerdegegner iSd § 24 Abs 2 DSG gerichtet.
Die DSGVO ist nach Art 2 Abs 1 lediglich im Bereich der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten sowie der nichtautomatisierten Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder werden sollen, sachlich anwendbar. Darunter fallen nicht die hier nach den unbekämpften Feststellungen allein in einem Gespräch gegenüber zwei Personen mitgeteilten Umstände der Unterrichtsleistungen bzw die genaue Notenzusammensetzung. Die Mitteilung des Inhalts des Gesprächs in der Klassen-WhatsApp-Gruppe ist nach dem ausdrücklichen Vorbringen der BG nicht beschwerdegegenständlich.
Nach § 24 Abs 2 Z 2 DSG hat jede Beschwerde, soweit zumutbar, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner), zu enthalten.
Zwar steht diese Verpflichtung unter der Einschränkung der Zumutbarkeit. Die belangte Behörde hielt dies offenbar für zumutbar und trug der BG die Benennung des Rechtsträgers und Organs auf. Die BG teilte diesbezüglich die Person des BF und „als ladungsfähige Adresse“ die Adresse der Schule, an der der BF die BG unterrichtet, mit. Die belangte Behörde erachtete sich an diese Parteibezeichnung gebunden.
Das DSG enthält keine ausdrücklichen Bestimmungen wie die DSGVO, die allgemein die Rollen des datenschutzrechtlichen Verantwortlichen klären. Allerdings werden an verschiedenen Stellen die Begrifflichkeiten der DSGVO („Verantwortliche“, „Auftragsverarbeiter“) genannt (zB. §§ 6, 8, 22, 29, 42, 44, 46) und an diese Begriffe Rechtwirkungen geknüpft. Es ist daher davon auszugehen, dass das DSG den Begriff des Verantwortlichen iSd Art Z 7 DSGVO – auch für den Anwendungsbereich des DSG außerhalb des sachlichen Anwendungsbereichs der DSGVO – übernimmt, sodass bei der hier zu lösenden Rechtsfrage vom Verantwortlichenbegriff der DSGVO ausgegangen wird.
Die diesbezüglich maßgeblichen Rechtsvorschriften sowie die dazu ersichtlichen Kommentierungen lauten:
Art 4 DSGVO:
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
Der Begriff „Verantwortlicher“ löst den Begriff „Auftraggeber“ nach dem DSG 2000 ab (Hödl in Knyrim, DatKomm Art 4 DSGVO, Rz 76 (Stand 1.12.2018, rdb.at).
Beim Verantwortlichen handelt es sich um jene Person oder Einrichtung, die dafür zu sorgen hat, dass die Datenschutzbestimmungen der DSGVO eingehalten werden. Damit gilt der Verantwortliche als Adressat der Pflichten aus der DSGVO und der Begriff dient der Zuweisung von Verantwortlichkeiten (s Art 24 Rz 1). Der Verantwortliche ist Adressat von Ansprüchen der betroffenen Person und gilt als Ansprechstelle für Maßnahmen der Aufsichtsbehörde (s Art 24; ErwGr 74) (wie oben, Rz 77).
Der Verantwortliche hat geeignete Maßnahmen zu treffen, um sicherzustellen, dass jegliche Datenverarbeitung im Einklang mit der DSGVO und den ausführenden bzw ergänzenden Bestimmungen der nationalen Datenschutzgesetze erfolgt. Er ist sohin verantwortlich für die Einhaltung maßgeblicher Schranken, die Einhaltung der Rechte der betroffenen Personen und er ist Gegenstand der Verantwortlichkeit bei konkreten Datenverarbeitungen. Daran knüpfen sich Schadenersatzansprüche der betroffenen Person (Art 82) und Sanktionen (Art 83) (Rz 78).
Essentiell ist der Begriff des Verantwortlichen sohin für die Ausübung der Betroffenenrechte. Daher muss auch der Verantwortliche und nicht der Betroffene nachweisen, dass personenbezogen Daten rechtmäßig verarbeitet wurden (Nachweispflicht nach Art 5 Abs 2; s Art 5 Rz 57 ff).
Die Rolle des für die Verarbeitung Verantwortlichen definiert sich durch drei Merkmale:
1. jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle (personenbezogener Aspekt),
2. die allein oder gemeinsam mit anderen (pluralistische Kontrolle),
3. über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden (Entscheidungsfunktion) (Rz 80).
Da als Verantwortlicher jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle infrage kommt, wird deutlich, dass es auf die Organisationsform nicht ankommt, dass sohin sowohl natürliche als auch juristische Personen und vergleichbare Personenmehrheiten, Verantwortliche nach der DSGVO sein können, unabhängig davon, ob sie öffentlich-rechtlich oder privatrechtlich organisiert sind. In der Praxis ist stets zu ermitteln, wem ein Handeln zuzuordnen ist; den handelnden Personen selbst, oder der Organisation, für die eine natürliche Person gegebenenfalls tätig wird (Rz 81).
Entscheidungsfunktion: Die Verantwortung wird dem übertragen, der die Entscheidungsmacht hat. Entscheidend für die Zuweisung der Verantwortlichkeit ist daher, wer über die wesentlichen Aspekte der Mittel der Verarbeitung entscheidet. Für die Zuschreibung der Verantwortlichen-Eigenschaft ist es nicht erforderlich, dass der Verantwortliche selbst Daten verarbeitet, sich im Besitz der verarbeiteten Daten befindet oder über die physische Herrschaft verfügt. Trifft er die Entscheidung, dass Daten zu verarbeiten sind, sind ihm sämtliche Personen und Stellen funktional zuzurechnen, die unter seiner Aufsicht bzw Anweisung Schritte einer Datenverarbeitung vornehmen (Hilfsorgane) (Rz 83).
Als Mittel sind nicht nur die technischen und organisatorischen Methoden gemeint, sondern das „Wie“ der Verarbeitung. Damit sind Entscheidungen gemeint, wie welche Daten verarbeitet werden, an wen sie übermittelt werden oder wann sie gelöscht werden. Aus Art 4 Z 7 folgt, dass der Verantwortliche, die alleinige Entscheidung über eine Datenverarbeitung trifft. Daran ändert sich grundsätzlich nichts, wenn der Verantwortliche einen Dienstleister (Auftragsverarbeiter) mit der Datenverarbeitung beauftragt (Art 4 Z 8) (Rz 84).
Sofern natürliche Personen Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle ihrer Organisation verarbeiten, können sie selbst Verantwortlicher werden. Es kann aber zur Mitverantwortung einer fährlässig handelnden Organisation kommen, die einen Datenmissbrauch grundsätzlich zu verhindern hat (Rz 86).
Bei der Ausrichtung der Definition als Verantwortlicher als jene Person oder Stelle, die über Zweck(e) und Mittel der Verarbeitung entscheidet, handelt sich um eine funktionalistische Sichtweise, wonach die Verantwortlichkeit anhand des tatsächlichen Einflusses auf die Entscheidung zugewiesen wird. Hierfür kann eine explizite Rechtsgrundlage vorliegen, in diesem Fall ist die Zuweisung des Verantwortlichen und des Zwecks samt Datenkategorien und Datenempfänger meist klar identifizierbar. Wenn eine Rechtsnorm allerdings nur implizite rechtliche Verpflichtungen vorsieht, ist als Verantwortlicher jene Person oder Stelle anzusehen, die diese rechtliche Verpflichtung trifft und dafür personenbezogene Daten verarbeitet (Rz 87).
Die Definition ist – naturgemäß – auf den oben dargestellten sachlichen Anwendungsbereich der DSGVO (die automatisierte Datenverarbeitung bzw eine solche in Dateien) zugeschnitten. Insoferne wird man für den Anwendungsbereich des DSG den Begriff des „Verantwortlichen“ dahingehend zu adaptieren haben, dass es sich um jene Person oder Einrichtung handelt, die dafür zu sorgen hat, dass die Datenschutzbestimmungen des DSG eingehalten werden. Damit gilt der Verantwortliche als Adressat der Pflichten aus dem DSG.
Zur Frage, ob in concreto der BF als Lehrer datenschutzrechtlicher Verantwortlicher sein kann, erscheinen folgende gesetzliche Regelungen und Verordnungen von Bedeutung:
Gemäß § 17 Abs 1 Schulunterrichtsgesetz (SchUG) hat der Lehrer in eigenständiger und verantwortlicher Unterrichts- und Erziehungsarbeit die Aufgabe der österreichischen Schule (§ 2 des Schulorganisationsgesetzes) zu erfüllen.
Gemäß § 18 Abs 1 SchUG hat der Lehrer die Beurteilung der Leistungen der Schüler in den einzelnen Unterrichtsgegenständen durch Feststellung der Mitarbeit der Schüler im Unterricht sowie durch besondere in die Unterrichtsarbeit eingeordnete mündliche, schriftliche und praktische oder nach anderen Arbeitsformen ausgerichtete Leistungsfeststellungen zu gewinnen. Maßstab für die Leistungsbeurteilung sind die Forderungen des Lehrplanes unter Bedachtnahme auf den jeweiligen Stand des Unterrichtes.
Gemäß Abs 10 hat der zuständige Bundesminister durch Verordnung nach den Aufgaben der einzelnen Schularten und nach der Art der einzelnen Unterrichtsgegenstände nähere Bestimmungen für den Aufbau und die Durchführung von Leistungsfeststellungen und die Beurteilung der Leistungen der Schüler zu erlassen.
Gemäß § 19 Abs 1 SchUG sind die Erziehungsberechtigten von Schülerinnen und Schülern von der Beurteilung der Leistungen der Schülerin oder des Schülers durch Schulnachrichten im Sinne der folgenden Bestimmungen in Kenntnis zu setzen. Darüber hinaus ist den Erziehungsberechtigten dieser Schülerinnen und Schüler an allgemeinbildenden Pflichtschulen durch zwei Sprechtage im Unterrichtsjahr, an allen anderen Schularten – ausgenommen an Berufsschulen – durch die wöchentliche Sprechstunde des einzelnen Lehrers sowie bei Bedarf durch Sprechtage Gelegenheit zu Einzelaussprachen zu geben. An allgemeinbildenden Pflichtschulen haben die Lehrerinnen und Lehrer den Erziehungsberechtigten, an Berufsschulen den Erziehungsberechtigten und den Lehrberechtigten auf deren Verlangen zu Einzelaussprachen zur Verfügung zu stehen.
Gemäß § 20 SchUG hat der Lehrer der Beurteilung der Leistungen eines Schülers in einem Unterrichtsgegenstand auf einer ganzen Schulstufe alle in dem betreffenden Unterrichtsjahr erbrachten Leistungen (§ 18) zugrunde zu legen, wobei dem zuletzt erreichten Leistungsstand das größere Gewicht zuzumessen ist.
Gemäß § 56 Abs 1 SchUG ist der Schulleiter zur Besorgung aller Angelegenheiten nach diesem Bundesgesetz zuständig, sofern dieses nicht die Zuständigkeit anderer schulischer Organe oder Schulbehörden festlegt.
Gemäß Abs 2 ist der Schulleiter der unmittelbare Vorgesetzte aller an der Schule tätigen Lehrer.
Gemäß Abs 4 hat der Schulleiter für die Einhaltung aller Rechtsvorschriften und schulbehördlichen Weisungen sowie für die Führung der Amtsschriften der Schule und die Ordnung in der Schule zu sorgen.
Leistungsbeurteilungsverordnung
§ 1.
(1) Grundlage der Leistungsbeurteilung sind die Leistungsfeststellungen nach Maßgabe der folgenden Bestimmungen dieser Verordnung.
§ 2.
(5) Die Leistungsfeststellungen haben auf das Vertrauensverhältnis zwischen Lehrern, Schülern und Erziehungsberechtigten Bedacht zu nehmen und zur sachlich begründeten Selbsteinschätzung hinzuführen.
(6) Die Feststellung der Leistungen der einzelnen Schüler ist in den Unterricht so einzubauen, daß auch die übrigen Schüler der Klasse aus der Leistungsfeststellung Nutzen ziehen können.
(7) Leistungsfeststellungen sind während des Unterrichtes durchzuführen. Dies gilt nicht für Wiederholungs- und Nachtragsprüfungen. Schularbeiten für einzelne Schüler dürfen auch außerhalb des Unterrichtes nachgeholt werden.
§ 4.
(1) Die Feststellung der Mitarbeit des Schülers im Unterricht umfaßt den Gesamtbereich der Unterrichtsarbeit in den einzelnen Unterrichtsgegenständen …
(2) Einzelne Leistungen im Rahmen der Mitarbeit sind nicht gesondert zu benoten.
(3) Aufzeichnungen über diese Leistungen sind so oft und so eingehend vorzunehmen, wie dies für die Leistungsbeurteilung erforderlich ist.
Die oben dargestellten Kommentierungen zum Begriff des Verantwortlichen zielen einerseits auf eine Person oder Organisation ab, die Einfluss auf die Einhaltung der Datenschutzbestimmungen nehmen kann. Sie schließen aber nicht aus, dass auch Personen, die in ihrem eigenen Bereich Entscheidungsgewalt betreffend Datenverwendungen haben, selbst (auch) als Verantwortliche Adressaten von Ansprüchen der betroffenen Person und Ansprechstellen für Maßnahmen der Aufsichtsbehörden sein können. Maßgebend ist, dass die Verantwortung dem übertragen wird, der die Entscheidungsmacht hat.
Die belangte Behörde setzte die Verantwortlicheneigenschaft des BF in ihrer Bescheidbegründung ebenso ohne nähere Argumentation voraus, wie sie der BF in der Beschwerde bestreitet. Auch den Ausführungen in der Stellungnahme der belangten Behörde ist hiezu keine nähere Begründung zu entnehmen. Die Verantwortlicheneigenschaft des BF wird offenbar daraus geschlossen, dass sein Verhalten weder der Dienstbehörde (Bildungsdirektion) noch dem „zuständigen Bundesministerium“ zugerechnet werden könne.
Wenn der BF in der Beschwerde einzig ansatzweise begründend ausführt, er sei als Lehrer „in Vollziehung des Schulrechts“ tätig gewesen, so zielt dies noch nicht auf einen spezifisch datenschutzrechtlichen Zusammenhang ab, zumal das hoheitliche Element per se keine Bedeutung für die Verantwortlicheneigenschaft nach der DSGVO bzw dem DSG hat.
Zwar ergibt sich aus der Bestimmung des § 17 Abs 1 SchUG („in eigenständiger und verantwortlicher Unterrichts- und Erziehungsarbeit“) eine selbständige und in gewisser Weise unabhängige Stellung des Lehrers in funktionaler Hinsicht. Der nach den oben dargestellten Prinzipien zu erfolgenden Leistungsbeurteilung durch die Lehrer kommt nach ständiger Rechtsprechung die Qualität eines Gutachtens zu (vgl VwGH 99/10/0240 vom 20.12.1999 "Es hat auf den Bestand einer Leistungsbeurteilung als eines Gutachtens keinen Einfluss…“). § 19 SchUG setzt den Rahmen für die mit der Leistungserbringung im Zusammenhang stehenden Informationspflichten.
Fallgegenständlich geht es um die datenschutzrechtliche Verantwortlichkeit im Zusammenhang mit der Leistungsbeurteilung selbst bzw der damit in Zusammenhang stehenden Kommunikation. Zwar geht die Leistungsbeurteilungsverordnung, insbesondere im Hinblick auf die Berücksichtigung der Mitarbeit der Schüler, auch von der Notwendigkeit eigener Aufzeichnungen des Lehrers über die Leistungen der Schüler (§ 4) aus („so oft und so eingehend wie erforderlich“). Dabei handelt es sich um nichtöffentliche interne Grundlagen für das letztendlich vorzunehmende „Gutachten“ der Leistungsfeststellung selbst.
Alle damit verbundenen Aufgaben hat der Lehrer aber, wie oben ausgeführt, in organisatorische Einordnung in die Schule und unter Dienst- und Fachaufsicht des Schulleiters (§ 56 SchUG) zu erfüllen. Schon dem Zweck des „Verantwortlichen“ iSd DSGVO, Adressat der Ansprüche des Betroffenen und Ansprechstelle für Maßnahmen der Aufsichtsbehörde zu sein, würden einzelne Mitglieder eines in der Regel vielköpfigen Lehrkörpers, wenn ihre Stellung im Bezug auf die Leistungsbeurteilung auch sehr selbständig ist, wohl nicht gerecht werden. Ebensolches gilt für die Forderung an den Verantwortlichen, Maßnahmen zu treffen, dass die Datenverarbeitung im Einklang mit den Datenschutzrechtlichen Maßnahmen steht. Ein Lehrer kann wohl keine derartigen Maßnahmen treffen, die über die Einhaltung der Bestimmungen durch seine Person hinausgehen. Nicht ganz so leicht fällt die Zuordnung der Verantwortlicheneigenschaft unter dem Blickwinkel der Entscheidung über die Zwecke und Mittel der Verarbeitung. Abgesehen von den festgelegten Formen der Leistungsbeurteilung in Form von Schulnachrichten und Zeugnissen kommt dem einzelnen Lehrer innerhalb des gesetzlichen und verordnungsmäßigen rechtlichen Rahmens durchaus ein gewisser Spielraum zu, wie er im Zusammenhang mit der Leistungsfeststellung kommuniziert. Andererseits sind hier durchaus auch schulische Weisungen vorstellbar, die diesen Rahmen weiter konkretisieren. Die grundsätzliche Ausgestaltung des Rahmens, wie welche Daten verarbeitet, an wen sie übermittelt und wann sie gelöscht werden (letzeres kommt bei mündlicher Übermittlung wie hier nicht in Frage), obliegt aber jedenfalls nicht dem einzelnen Lehrer.
Letztlich kann unter Berücksichtigung aller oben dargestellter Aspekte die Beantwortung der Frage, wem das Handeln des BF hier zuzuordnen war, lediglich zugunsten der schulischen Organisation beantwortet werden, nicht des BF selbst, sodass insgesamt eine Verantwortlicheneigenschaft des BF zu verneinen war.
Die Verneinung der Verantwortlicheneigenschaft des BF führt aber dazu, dass dem BF die Passivlegitimation für die hier zugrundeliegende Datenschutzbeschwerde der BG fehlt, sodass der Beschwerde Folge zu geben und der bekämpfte Bescheid dahingehend abzuändern war, dass die Beschwerde abgewiesen wird.
Da die Verantwortlicheneigenschaft des BF verneint wurde, bedurfte es keines inhaltlichen Eingehens mehr auf die Frage, ob das Handeln des BF (allenfalls) als Verstoß gegen die Datenschutzregeln zu qualifizieren wäre.
Da die Frage, ob mit dem BF konkret ein datenschutzrechtlicher Verantwortlicher in Anspruch genommen wurde, allein Rechtsfragen aufwirft und diesbezüglich auch keine Erörterungsbedürftigkeit zu erkennen ist, konnte auf eine mündliche Verhandlung verzichtet werden.
Der Ausspruch über die Unzulässigkeit der Revision folgt dem Umstand, dass zwar die Frage, ob und wann ein Lehrer im Zusammenhang mit der Leistungsbeurteilung und der damit in Zusammenhang stehenden Kommunikation „Verantwortlicher“ iSd DSGVO bzw des DSG sein kann, höchstgerichtlich bislang offenbar nicht geklärt ist. Fallbezogen stehen aber einzelfallbezogene Überlegungen im Vordergrund, sodass ausgehend von der hier zu beurteilenden Fallkonstellation keine Rechtfragen von grundsätzlicher Bedeutung zu klären waren.
Schlagworte
Beschwerdegegner Datenschutz Datenschutzbehörde datenschutzrechtlich Verantwortlicher Datenschutzverfahren Datenverarbeitung Grundrecht auf Datenschutz Lehrer Leistungsbeurteilung Passivlegimitation personenbezogene DatenEuropean Case Law Identifier (ECLI)
ECLI:AT:BVWG:2020:W274.2225135.1.00Im RIS seit
16.12.2020Zuletzt aktualisiert am
16.12.2020