Inhalt

2. Erläuterung wesentlicher datenschutzrechtlicher Begriffe
(insbesondere zu Art. 4 BayDSG)

2.1 

Personenbezogene Datensind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbarer natürlicher Personen(Betroffene). Hierzu gehören beispielsweise Namen, Anschriften, Telefonnummern und Fotos.
An Schulen werden etwa folgende personenbezogene Daten verarbeitet:
von Schülerinnen und Schülern beispielsweise Angaben zur Person, zur schulischen Laufbahn, zu den Leistungen und Veranlagungen, zu Verhalten und Mitarbeit, ggf. auch zum sozialen Umfeld und zum Gesundheitszustand, Zeugnisbemerkungen und Eintragungen im Schülerbogen,
von den Erziehungsberechtigten beispielsweise die Anschriften,
von den Ausbildungsbetrieben der Berufsschülerinnen und Berufsschüler beispielsweise ggf. die Anschrift und ggf. der Name der Ausbildenden oder des Ausbildenden,
von den Lehrkräften beispielsweise Angaben zur Person, zur Lehrbefähigung, zur Unterrichtspflichtzeit und einer evtl. Ermäßigung, zu den unterrichteten Fächern und Klassen sowie zu Sprechstunden und Vertretungsstunden.
Summendaten, die beispielsweise in amtliche Erhebungen einzutragen sind, sind, soweit sie keine Rückschlüsse auf bestimmte oder bestimmbare natürliche Personen zulassen, keine personenbezogenen Daten.

2.2 

Eine Datei ist
eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei) oder
jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei).
Eine Datei liegt demnach insbesondere vor, wenn personenbezogene Daten von Schülerinnen und Schülern, Erziehungsberechtigten und Lehrkräften
in einem EDV-Verfahren geführt werden, in dem mehrere Merkmale zu Datensätzen zusammengefasst sind (datenbankgeschützte Verfahren, z.B. Schulverwaltungsprogramm),
in Karteien (Schülerkartei, Lehrerkartei) geführt werden,
in Tabellenkalkulationen, Datenbanken usw. verwendet werden.
Nicht unter den Begriff der Datei fallen
Listen (wie beispielsweise Klassenlisten, Notenlisten, Sprechstundenverzeichnisse), manuell geführte Notenbücher, Jahresberichte,
Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können. In der Regel fallen also beispielsweise Schülerakten und Schulpersonalakten nicht unter den Begriff der Datei.
Akten sind alle nicht zu den Dateien zählenden, amtlichen oder dienstlichen Zwecken dienenden Unterlagen mit personenbezogenen Daten; dazu können auch Bild- und Tonträger, z.B. Fotografien, Videoaufnahmen, Tonbandaufnahmen zählen. Nach dem BayDSG wird dabei der Begriff „Akten“ als Restgröße definiert.
Anmeldebogen, Schülerbogen, Notenbogen, Kursbogen etc. sind Bestandteile des Schülerakts. Soweit diese Unterlagen mit Rücksicht auf die einfachere Übertragung von Noten etc. zeitweise nach Klassen o. ä. zusammengefasst und außerhalb der Schülerakten aufbewahrt werden, ist die gleiche Sorgfalt anzuwenden, um die Daten vor unbefugtem Zugriff zu schützen.

2.3 

Automatisierte Verfahrensind solche, in denen wesentliche Verfahrensschritte (Erhebung, Verarbeitung, Nutzung) mit Hilfe programmgesteuerter Anlagen (Computern) ablaufen.
Ein nicht automatisiertes Verfahren ist beispielsweise die manuelle Führung von Karteien

2.4 

Erheben ist das Beschaffen von Daten über Betroffene.
Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.
Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger (beispielsweise Festplatten, USB-Sticks, Karteikarten oder Akten) zum Zwecke ihrer weiteren Verarbeitung oder Nutzung.
Verändern ist das inhaltliche Umgestalten gespeicherter personenbezogener Daten.
Übermitteln ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an Dritte in der Weise, dass die Daten durch die speichernde Stelle weitergegeben werden oder Dritte Daten einsehen oder abrufen, die zur Einsichtnahme oder zum Abruf bereitgehalten werden.
Das Übermitteln von Daten kann in verschiedener Weise erfolgen, beispielsweise durch Weitergabe von Ausdrucken, Übergabe von Datenträgern, mündliche Auskunft, Übertragung in einem Netzwerk (insbes. im Internet), Veröffentlichung, Dateneinsicht.
Sofern Daten an den Betroffenen selbst gegeben werden, liegt keine Datenübermittlung vor.
Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.
Gesperrte Daten dürfen nur noch in Ausnahmefällen genutzt werden (vgl. Nr. 5.2).
Löschen ist das Unkenntlichmachen gespeicherter Daten.
Löschen kann z.B. durch vollständiges Überschreiben von Daten auf Datenträgern (z.B. USB-Sticks, Festplatten, Bändern) erfolgen oder durch Vernichtung von Karteikarten oder Akten im Reißwolf. Löschen einzelner Einträge auf Karteikarten oder in Akten hat so zu erfolgen, dass die ursprünglichen Daten nicht mehr lesbar sind.
Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt, insbesondere die Weitergabe von Daten innerhalb der speichernden Stelle an Teile derselben Stelle mit anderen Aufgaben oder anderem örtlichem Zuständigkeitsbereich.
An Schulen liegt beispielsweise eine Nutzung vor, wenn Daten an die Lehrkräfte der Schule oder an Einrichtungen zur Mitgestaltung des schulischen Lebens weitergegeben werden. Auch das bloße Lesen von Daten stellt eine Datennutzung dar.

2.5 

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mehr mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
Anonymisierung kann beispielsweise oftmals erreicht werden, indem aus Datensätzen Merkmale (beispielsweise Namen) entfernt werden und die Datensätze anschließend in eine zufällige Reihenfolge gebracht werden. Eine andere Möglichkeit bietet eine unumkehrbare Verschlüsselung der Daten (Kryptierung), die keine Rückschlüsse auf bestimmte oder bestimmbare natürliche Personen zulässt. Anonymisierte Daten stellen keine personenbezogenen Daten mehr dar.
Pseudonymisieren dagegen ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (§ 3 Abs. 6a des Bundesdatenschutzgesetzes ‑ BDSG). Pseudonymisierte Daten stellen weiterhin personenbezogene Daten dar.

2.6 

Speichernde Stelle ist jede öffentliche Stelle, die Daten für sich selbst speichert oder durch andere im Auftrag speichern lässt.
So bleibt eine Schule speichernde Stelle und damit für die ordnungsgemäße Datenverarbeitung und die Einbehaltung der Datenschutzvorschriften auch dann verantwortlich, wenn sie beispielsweise Schüler- oder Lehrerdaten auf einem Rechner einer anderen Schule, einer Lehrkraft (vgl. Nr. 4.3) oder einer Firma (z.B. zur Erstellung von Schülerausweisen; vgl. Nr. 4.5) verarbeiten lässt. Diese Stellen sind insbesondere nicht befugt, Daten, die sie von einer Schule nur zur Verarbeitung erhalten haben, für eigene Zwecke zu verwenden.

2.7 

Drittesind alle Personen oder Stellen außerhalb der speichernden Stelle, also alle außerschulischen Personen und Firmen, aber auch andere Schulen und Behörden.
Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sind alle Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen. Werden dagegen personenbezogene Daten auf dem Server eines privaten Programmanbieters in der Schweiz oder in den USA verarbeitet, ist dieser Dritter.
Nicht Dritter, weil Betroffener, sind bei Schülerdaten die Schülerinnen und Schüler selbst und bei minderjährigen Schülerinnen und Schülern deren Erziehungsberechtigte.

2.8 

Regelmäßige Datenübermittlungen liegen vor, wenn bestimmte Daten bei Eintritt festgelegter Voraussetzungen weitergegeben oder zum Abruf bereitgehalten werden, ohne dass die speichernde Stelle hierüber im konkreten Einzelfall entscheidet. Keine regelmäßigen Datenübermittlungen, sondern Einzelübermittlungen liegen dagegen vor bei Datenübermittlungen, die von Fall zu Fall nach Einzelentscheidungen durch die speichernde Stelle vorgenommen werden.
Beispiele für regelmäßige Datenübermittlungen sind der Jahresbericht der Schule, die Abgabe der Amtlichen Schuldaten oder die Schülerlisten für die Handwerkskammer.