Aufgaben der Datenschutzbeauftragten

Seit dem 25. Mai 2018 gilt mit der EU-Datenschutz-Grundverordnung – auch DS-GVO genannt – ein neues Datenschutz-Zeitalter. Die DS-GVO regelt den Umgang mit personenbezogenen Daten durch private und öffentliche Datenverarbeiter EU-weit. Neu daran ist, dass nationale Regelungen zu weiten Teilen durch die DS-GVO ersetzt werden – das heißt, es gelten weitestgehend einheitliche Regelungen in der gesamten EU.

Ziel der DS-GVO war es unter anderem, großen Internetkonzernen, wie bspw. Google und Facebook – mittlerweile Meta Platforms, Inc. – in Bezug auf Datenschutz einheitliche Regeln und Pflichten aufzuerlegen. Die Daten von Kindern und Jugendlichen werden dabei als besonders schützenswert angesehen. Den Datenschutz-Aufsichtsbehörden wurde in diesem Zusammenhang eine neue Aufgabe zugewiesen, nämlich Kinder und Jugendliche über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Datenverarbeitung zu sensibilisieren und darüber aufzuklären (Art. 57 DS-GVO).

Neu ist außerdem, dass ein Anbieter die Regelungen der DS-GVO auch dann beachten muss, wenn er innerhalb der EU gar keine Niederlassung hat (Marktortprinzip). Voraussetzung ist aber, dass die Datenverarbeitung im Zusammenhang damit steht, dass Waren oder Dienstleistungen in der Europäischen Union angeboten werden oder im Rahmen der Datenverarbeitung das Verhalten europäischer Nutzerinnen und Nutzer beobachtet wird (z. B. durch das Setzen von Cookies, durch Profiling oder Tracking).

Durch das Prinzip der einheitlichen Anlaufstelle (One-Stop-Shop-Prinzip) soll es EU-Bürgerinnen und EU-Bürgern erleichtert werden, bei grenzüberschreitenden Datenverarbeitungen die zuständige Datenschutzaufsichtsbehörde zu kontaktieren. Betroffene Personen können nämlich von ihrer lokalen Aufsichtsbehörde verlangen, Beschwerden über Unternehmen zu prüfen und – falls erforderlich – sich mit anderen zuständigen Aufsichtsbehörden abzustimmen und zwar unabhängig davon, in welchem Land das Unternehmen seinen Sitz hat.

Als neues Instrument der Transparenz legt die DS-GVO fest, dass Betroffene bereits bei der Erhebung personenbezogener Daten über die Datenverarbeitungsvorgänge informiert werden müssen (Art. 13 DS-GVO). Da der Einwilligung bei der Datenverarbeitung eine maßgebliche Bedeutung zukommt, hat die DS-GVO hierfür strengere Rahmenbedingungen eingeführt (Art. 7 und Art. 8 DS-GVO): So muss die Einwilligungserklärung in Form einer eindeutig bestätigenden Handlung, freiwillig und informiert erfolgen. Sie gilt nur, wenn sie zweckgebunden ist, sich also auf einen konkreten Fall bezieht; außerdem muss die bzw. der Einwilligende die Möglichkeit haben, diese zurückzunehmen, also zu widerrufen.

Zu den in der DS-GVO verankerten Betroffenenrechten zählen insbesondere das Auskunftsrecht (Art. 15), das Recht auf Löschung bzw. „das Recht auf Vergessenwerden“ (Art. 17) sowie das Recht auf Datenübertragbarkeit (Art. 20). Mehr dazu ist auf der Website des Landesbeauftragten für den Datenschutz und die Informationsfreiheit RLP (LfDI) zu finden – siehe Quellen und Links.

Im Rahmen des Auskunftsrechts kann der Betroffene bei einem Verantwortlichen beispielsweise nachfragen, welche Daten zu welchen Zwecken durch ihn genutzt werden und ob diese Daten an andere Stellen weitergegeben werden. Eine solche Anfrage muss vom Verantwortlichen innerhalb eines Monates beantwortet werden.

Jede öffentliche Schule ist verpflichtet eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung, DS-GVO). Die Person muss der zuständigen Datenschutzaufsicht gemäß Art. 37 Abs. 7 DS-GVO gemeldet werden, hierzu hat der LfDI ein entsprechendes Formular bereitgestellt, siehe Quellen und Links.

Für kleine Grundschulen wurde bei der Aufsichts- und Dienstleistungsdirektion (ADD) hierfür eine zentrale Stelle eingerichtet.

Bei Privatschulen entscheiden die Vorgaben des § 38 Bundesdatenschutzgesetz darüber, ob eine Datenschutzbeauftragte bzw. ein Datenschutzbeauftragter zu bestellen ist. Dies ist der Fall, wenn die Schule mindestens 20 Personen dauerhaft beschäftigt, zu deren Arbeit die automatisierte Verarbeitung personenbezogener Daten gehört. Auch wenn die Schule – unabhängig von der Anzahl der beschäftigten Personen – Verarbeitungen vornimmt, die besonders risikobehaftet sind und daher einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, muss sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen. Zu diesen besonders risikobehafteten Verarbeitungsvorgängen zählt die umfangreiche Verarbeitung von Daten über Kinder (siehe Positivliste des LfDI unter  Quellen und Links), wie sie bei Schulen regelmäßig der Fall ist. Altersgrenze ist hier gemäß Art. 8 Abs. 1 DS-GVO die Vollendung des 16. Lebensjahres. Im Ergebnis dürfte es daher kaum eine Schule im Land geben, die keine schulischen Datenschutzbeauftragten benennen muss.

Die Aufgaben der bzw. des schulischen Datenschutzbeauftragten sind in Art. 39 DS-GVO im Einzelnen aufgeführt. Hier steht die Beratung der Verantwortlichen an erster Stelle. Die Datenschutzbeauftragten weisen die Schulleitung auf ihre Pflichten bei der Umsetzung der datenschutzrechtlichen Vorgaben hin und unterstützen bei deren Umsetzung. So können sie z.B. bei der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten oder eines Löschkonzeptes beratend und unterstützend mitwirken.

Darüber hinaus ist der oder die Datenschutzbeauftragte direkte Ansprechperson für die Lehrkräfte, Schülerinnen und Schüler oder Eltern. Im Kollegium bietet es sich an, proaktiv über Neuerungen zu informieren und so eine Grundsensibilisierung zu schaffen. Bei Anfragen aus der Schülerschaft und von den Eltern können Datenschutzbeauftragte beispielsweise bei Auskunftsersuchen gem. Art. 15 DS-GVO unterstützen.

Der oder die Datenschutzbeauftragte kann auch bei der Meldung einer sogenannten Datenpanne unterstützen. Wenn Unklarheit besteht, ob es sich bei einem Vorfall um eine Datenpanne handelt, sollte im Zweifelsfall immer eine Meldung erfolgen, siehe  Quellen und Links. So ist dokumentiert, dass und wann die Schule aktiv geworden ist und ggf. sogar bereits Gegenmaßnahmen ergriffen wurden.

Werden neue Systeme, die Daten verarbeiten, in der Schule eingeführt, obliegt es den Datenschutzbeauftragten diesen Prozess zu begleiten. Diese sollten daher frühzeitig in die mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden (insbesondere im Hinblick auf die Beurteilung der Erforderlichkeit sowie Rechtmäßigkeit der Datenverarbeitung).

Wichtig ist: Die Verantwortung für eine rechtmäßige Datenverarbeitung liegt letztlich bei der Schulleitung. Datenschutzbeauftragte unterstützen, beraten und kontrollieren, sie können aber nicht die Endverantwortung einer Schulleiterin oder eines Schulleiters übernehmen.

Die Datenschutzbeauftragten üben nicht nur Beratungs- und Sensibilisierungstätigkeiten aus, sie haben gemäß Art. 39 DS-GVO auch allgemeine Überwachungspflichten. Welche persönlichen Fähigkeiten und Fachkenntnisse das Amt erfordert, kann den Leitlinien der Artikel-29-Datenschutzgruppe entnommen werden, siehe Quellen und Links.

Daher sollte bei der Auswahl einer Person niemand aus dem Bereich der Schulleitung oder der IT-Administration die Funktion übernehmen (vgl. Leitlinien S. 19). Insbesondere die Schulleitung, die (wie bereits erwähnt) letztendlich in der Verantwortung für die Datenverarbeitung ist, könnte mit der Aufgabe, gleichzeitig die eigenen Verarbeitungen zu kontrollieren, in Interessenkonflikte geraten.

Die Anstellungskörperschaft tritt i. d. R. für einen etwaigen Schaden ein. Nur wenn die oder der Datenschutzbeauftragte vorsätzlich/grob fahrlässig falsch berät (z. B. die Nutzung von datenschutzrechtlich unzulässigen Diensten gutheißt) könnte sie oder er persönlich haftbar gemacht werden.

Art. 8 DS-GVO - Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Art. 15 DS-GVO - Auskunftsrecht der betroffenen Person

Art. 30 DS-GVO - Verzeichnis von Verarbeitungstätigkeiten

Art. 33 DS-GVO - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Art. 35 DS-GVO - Datenschutz-Folgenabschätzung

Art. 37 DS-GVO - Benennung einer / eines Datenschutzbeauftragten

Art. 39 DS-GVO - Aufgaben des Datenschutzbeauftragten

§ 35 BDSG - Recht auf Löschung

§ 54 Landesdatenschutzgesetz (LDSG) - Meldung von Verletzungen des Schutzes personenbezogener Daten

Leitlinien der Artikel-29-Datenschutzgruppe in Bezug auf Datenschutzbeauftragte
Abrufbar unter https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/wp243rev01_de.pdf

Formular zur Mitteilung der bzw. des Datenschutzbeauftragten gem. Art. 37 Abs. 7 DS-GVO an die Aufsichtsbehörde:
Abrufbar unter
https://www.datenschutz.rlp.de/themen/online-services/meldeformular-datenschutzbeauftragter-gem-art-37-abs-7-ds-gvo

Formular zur Meldung einer Datenpanne nach Art. 33 DS-GVO, bzw. § 54 LDSG
Abrufbar unter
https://www.datenschutz.rlp.de/themen/online-services/meldeformular-datenpanne-art-33-ds-gvo

Verzeichnis von Verarbeitungstätigkeiten: Grundsätze und Muster
Abrufbar unter
https://www.datenschutz.rlp.de/themen/verzeichnis-von-verarbeitungstaetigkeiten

Datenschutzfolgenabschätzung: Positivliste
Abrufbar unter
https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf

Hinweise zur Datenschutzfolgenabschätzung
Abrufbar unter
https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Orientierungshilfen/Hinweise_DSFA_20171205.pdf

Weitere Hinweise und Mustertexte zur Umsetzung der DS-GVO für Schulen, erstellt in Abstimmung mit dem Ministerium für Bildung auf der Website des LfDI
Abrufbar unter https://www.datenschutz.rlp.de/themen/datenschutz-in-der-schule-faq

Themenfeld „Ihre Rechte“ auf der Website des LfDI
Abrufbar unter https://www.datenschutz.rlp.de/buergerinnen-/-buerger/ihre-rechte

Themenfeld „DS-GVO“, Artikel „Recht auf Datenübertragbarkeit“ auf der Website des LfDI
Abrufbar unter https://www.datenschutz.rlp.de/themen/recht-auf-datenuebertragbarkeit