Der Einhaltung des Datenschutzes beim Einsatz von Schulgesundheitsfachkräften kommt eine zentrale Bedeutung zu. Abgesehen von den engen juristischen Vorgaben bildet die Einhaltung des Datenschutzes eine entscheidende Vertrauensgrundlage für Schülerinnen, Schüler und Eltern.
Perspektivisch ist es sinnvoll, für den Einsatz von Schulgesundheitsfachkräften eine landesgesetzliche Grundlage zu schaffen, die - je nach organisatorischer Anbindung - im ÖGD-Recht oder Schulrecht anzusiedeln ist. Bis eine landesgesetzliche Grundlage vorhanden ist, gelten die nachfolgenden Rahmenbedingungen, deren landesgesetzliche Ausgestaltung zu beachten ist.
Die Grundsätze der Verarbeitung personenbezogener Daten ergeben sich aus Art. 5 Abs. 1 der Datenschutz-Grundverordnung (DSGVO). Darin heißt es:
(1) |
Personenbezogene Daten müssen
a) |
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz"); |
b) |
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung"); |
c) |
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung"); |
d) |
sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit"); |
e) |
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ("Speicherbegrenzung"); |
f) |
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit") |
|
(2) |
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht"). |
Diese Grundsätze sind durch den Anstellungsträger im Rahmen eines Datenschutzkonzeptes zu konkretisieren und durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten vor Ort zu überwachen. Ein exemplarischer Überblick über ein solches Datenschutzkonzept ist der Anlage zu entnehmen.
Dabei ist zu berücksichtigen, dass Gesundheitsdaten nach Art. 9 Abs.1 DSGVO besonders schutzwürdig sind. Solange für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Schulgesundheitsfachkräfte keine gesetzliche Grundlage vorliegt, dürfen solche Daten grundsätzlich nur dann erhoben, verarbeitet und genutzt werden, wenn eine schriftliche Einverständniserklärung der Eltern vorliegt. Bei älteren Schülerinnen und Schülern müssen diese selbst eine Erklärung abgeben.
Mit der Einverständniserklärung wird bestätigt, dass Gesundheitsdaten erhoben, verarbeitet und genutzt werden können. Die Rahmenbedingungen und der Zweck werden dargestellt, ebenso die Rechte der Unterzeichnenden auf Widerruf und Einsichtnahme (Art. 7 Abs. 3, 13-15 DSGVO).
Mit dem Datenschutzkonzept sind die technischen und organisatorischen Maßnahmen zum Schutz der Daten (Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Verfügbarkeitskontrolle) zu klären (Art. 32 DSGVO).
Ein Verarbeitungsverzeichnis ist Teil des Datenschutzkonzeptes (Art. 30 DSGVO).