Benennung von Datenschutzbeauftragten
Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung (DSGVO) hat jede öffentliche Stelle einen Datenschutzbeauftragten zu benennen.
Formale Voraussetzungen
Die Datenschutz-Grundverordnung spricht in Artikel 37 von einer Benennung des Datenschutzbeauftragten. Eine Schriftform ist nicht zwingend vorgeschrieben. Jedoch besteht eine Veröffentlichungs- und Mitteilungspflicht.
Aus Beweisgründen und zur Rechtsklarheit empfehlen wir eine schriftliche Dokumentation der Benennung. Neben dem Zeitpunkt des Wirksamwerdens der Benennung sollten auch die gesetzlichen und gegebenenfalls zusätzlich vereinbarten Aufgaben des Datenschutzbeauftragten, dessen Zeitkontingent sowie gegebenenfalls die zur Verfügung gestellten Ressourcen schriftlich fixiert werden, damit sich Verantwortlicher und Datenschutzbeauftragter über diese im Klaren sind.
Berufliche Qualifikation, Fachwissen und persönliche Voraussetzungen des oder der Datenschutzbeauftragten
Die Datenschutz-Grundverordnung bestimmt in Artikel 37 Absatz 5, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.
Der Begriff der beruflichen Qualifikation wird in der Datenschutz-Grundverordnung nicht weiter erklärt, und auch für das erforderliche Fachwissen fehlt eine Beschreibung. Jedenfalls verlangt aber die Vorschrift Fachwissen auf dem Gebiet des Datenschutzrechts, der Datenschutztechnik und der Datenschutzpraxis. Hierzu gehören fundierte Kenntnisse der datenschutzrechtlichen Grundlagen, insbesondere der Datenschutz-Grundverordnung, des Sächsischen Datenschutzdurchführungsgesetzes, bereichsspezifischer Datenschutzbestimmungen und der jeweils anzuwendenden Verwaltungsvorschriften, wie auch Kenntnisse über die internen Prozesse des Verantwortlichen, solides Fachwissen in Bezug auf das IT-System und die IT-Sicherheitsmaßnahmen. Das jeweils erforderliche Niveau des Fachwissens richtet sich insbesondere nach den durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz der personenbezogenen Daten. Je komplexer die Datenverarbeitungen im Einzelfall sind oder je größer die Menge sensibler Daten ist, desto höher sind die Anforderungen an das notwendige Fachwissen von Datenschutzbeauftragten.
Das Erfordernis der persönlichen Zuverlässigkeit ergibt sich aus der Aufgabenstellung des oder der Datenschutzbeauftragten, Ansprechpartner des Verantwortlichen und der betroffenen Personen zu sein. Hierfür sind ein hohes Maß an persönlicher Integrität, Berufsethik und Kommunikationsfähigkeit erforderlich. So kommen zum Beispiel Personen für eine Benennung nicht in Frage, die bereits Datenschutzverstöße begangen oder Verschwiegenheitspflichten verletzt haben.
Kein Interessenkonflikt
Der Verantwortliche hat gemäß Artikel 38 Absatz 6 DSGVO sicherzustellen, dass vom Datenschutzbeauftragten gegebenenfalls wahrzunehmende andere Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Generell gilt der Grundsatz, dass der Kontrolleur sich selbst kontrollieren darf.
Danach ist zum Beispiel die Benennung des Leiters der IT- oder der Personalabteilung, von Mitarbeiterinnen und Mitarbeitern in leitender Position mit besonderer Nähe zur Leitung des Unternehmens oder der Behörde, des Geheimschutzbeauftragten oder von Vorstandsmitgliedern von Betriebs- oder Personalräten zum internen Datenschutzbeauftragten unzulässig.
In formeller Hinsicht wird die Benennung des Datenschutzbeauftragten mit der Veröffentlichung von dessen Kontaktdaten und der Mitteilung an die Sächsische Datenschutzbeauftragte vollzogen (Artikel 37 Absatz 7 DSGVO).
Zu den durch den Verantwortlichen zu veröffentlichenden und der Aufsichtsbehörde mitzuteilenden Kontaktdaten des Datenschutzbeauftragten gehören mindestens folgende:
- Postadresse
- Telefonnummer
- E-Mail-Adresse
Die Kontaktdaten sind sowohl innerhalb der Organisation des Verantwortlichen (Intranet, Geschäftsverteilungspläne) als auch auf dessen Internetseite zu veröffentlichen und der Sächsischen Datenschutzbeauftragten mitzuteilen. Die Sächsische Datenschutzbeauftragte stellt für die Meldung der Kontaktdaten auf ihrer Internetseite ein Formular bereit. Die Veröffentlichung oder Mitteilung des Namens des Datenschutzbeauftragten ist nach der Datenschutz-Grundverordnung nicht zwingend. Bei der Veröffentlichung der Mailadresse im Internet genügt es, ein Funktionspostfach anzugeben.
Häufige Fragen
Nach Artikel 37 Absatz 5 DSGVO ist ein betrieblicher Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der ihm nach Artikel 39 DSGVO obliegenden Aufgaben zu benennen. Die erforderliche Qualifikation des Datenschutzbeauftragten richtet sich nach Erwägungsgrund 97 in erster Linie nach den von dem Unternehmen durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten.
Darüber hinausgehende dezidierte Vorgaben zum Fachkundeerwerb hat der Verordnungs-geber nicht gemacht, insbesondere hat er auch keine speziellen Ausbildungen und Abschlüsse vorgeschrieben, auch ist keine Zertifizierung zum Nachweis der Fachkunde erforderlich. Vor diesem Hintergrund haben Unternehmer bei der Auswahl geeigneter Weiterbildungsveranstaltungen also einen gewissen Spielraum, müssen insoweit aber sicherstellen, dass der oder die zu benennende Datenschutzbeauftragte im spezifischen Unternehmenskontext fachlich und persönlich zur Erfüllung seiner Aufgaben in der Lage ist.
Die Zulässigkeit einer Benennung juristischer Personen als Datenschutzbeauftragter ist höchstrichterlich ungeklärt. Die praktische Compliance mit der DSGVO erfordert allerdings nach Auffassung der Sächsischen Datenschutzbeauftragten, dass die konkret funktionell als Datenschutzbeauftragter zuständige natürliche Person klar feststeht.
Aus der DSGVO ergeben sich eine Reihe zwingend zu erfüllender Voraussetzungen, die durch die Bestellung lediglich einer juristischen Person nicht erfüllt werden können:
Nach Erwägungsgrund 97 und Artikel 37 Absatz 5 DSGVO muss etwa der Datenschutzbeauftragte eine berufliche Qualifikation und insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis aufweisen. Beides ist einer juristischen Person als solcher nicht möglich. Auch die vom Gesetz vorgesehene Vertraulichkeit und Unabhängigkeit können bei Bestellung einer juristischen Person nicht gewährleistet werden. Gleiches gilt für die Dokumentationspflichten insoweit, da der Verantwortliche sich seiner Verantwortung durch Bestellung eines externen Datenschutzbeauftragten nicht entziehen kann.
Eine lediglich formelle Bestellung einer juristischen Person ohne eindeutige Festlegung der persönlichen Verantwortlichkeiten kann diese Voraussetzungen nicht erfüllen und vermag nach Auffassung der Sächsischen Datenschutzbeauftragten die Pflicht zur Bestellung eines Datenschutzbeauftragten nicht zu erfüllen. Zulässig und üblich ist jedoch der Einsatz von durch die als Datenschutzbeauftragten benannten weiteren natürlichen Personen, etwa als Vertreter/in, Datenschutzansprechpartner/in, Koordinator/in etc.
Der Europäische Datenschutzausschuss (EDSA) hat in der Vergangenheit die Benennung einer juristischen Person zwar für zulässig befunden. Das durch den EDSA bestätigte Working Paper 243 rev. 0.1 setzt allerdings voraus, dass jedes Mitglied derjenigen Einrichtung, die die Funktion eines Datenschutzbeauftragten wahrnimmt, sämtliche in Abschnitt 4 der DSGVO genannten Anforderungen erfüllt. Ebendort wird, im Interesse der Rechtssicherheit und einer ordnungsgemäßen Organisation, aber auch, um Interessenkonflikte der Teammitglieder zu vermeiden, empfohlen, eine klare Aufgabenverteilung innerhalb des Datenschutz-Teams der juristischen Person vorzusehen und eine einzelne Person als primären Ansprechpartner festzulegen, der zugleich für den jeweiligen Kunden „zuständig“ ist.
Jedenfalls bis zur höchstrichterlichen Klärung, ob diese Funktionsbedingungen – mit Auffassung der Sächsischen Datenschutzbeauftragten – verpflichtend sind, stellt die Benennung einer juristischen Person als Datenschutzbeauftragter jedenfalls ein erhebliches Compliance- und Haftungsrisiko dar.
Nein. Fraktionen, Gruppen, fraktions- oder gruppenlose Kreis- oder Gemeinderäte sind ebenso wenig wie einzelne Kreis- oder Gemeinderäte für sich verpflichtet, eigene Datenschutzbeauftragte zu bestellen. Sie unterfallen der Zuständigkeit der oder des Datenschutzbeauftragten des jeweiligen Landkreises beziehungswiese der jeweiligen Gemeinde.
Nach Artikel 37 Absatz 1 Buchstabe a DSGVO besteht die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn die Verarbeitung personenbezogener Daten von einer Behörde oder öffentlichen Stelle erfolgt. Nach § 2 des Sächsischen Datenschutzdurchführungsgesetzes werden Behörden und sonstige öffentliche Stellen des Freistaates Sachsen, der Gemeinden und der Landkreise als öffentliche Stellen angesehen.
Bei den Kreistagen und Gemeinderäten handelt es sich nicht um Parlamente und nicht um Organe der Legislative, mithin nicht um selbständige öffentliche Stellen. Vielmehr gehören die Kreistage und Gemeinderäte als Organe der kommunalen Selbstverwaltung zur Exekutive, also zum Landkreis oder zu der Gemeinde, die die öffentliche Stelle ist. Das kann aus den Regelungen der Sächsischen Landkreisordnung und Sächsischen Gemeindeordnung abgeleitet werden. Nach § 23 Sächsische Landkreisordnung ist der Kreistag das Hauptorgan des Landkreises. Er entscheidet über alle grundlegenden Angelegenheiten des Landkreises und kann Grundsätze für die Verwaltung des Landkreises festlegen (§ 24 Sächsische Landkreisordnung). Gleichartige Regelung enthalten §§ 27, 28 Sächsische Gemeindeordnung für die Gemeinderäte. Fraktionen, Gruppen und Kreis- oder Gemeinderäte sind Teile des Kollegialorgans Kreistag oder Gemeinderat.
Im Ergebnis muss daher der Landkreis oder die Gemeinde eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen. Dieser ist auch für das Kollegialorgan Kreistag oder Gemeinderat und damit auch die Fraktionen oder Kreis- und Gemeinderäte zuständig.
Es ist grundsätzlich nicht datenschutzgerecht, wenn einzelfallbezogene Probleme der Lehrkräfte und der Schule mit Schülerinnen und Schülern und einzelnen Eltern und die sich daraus ergebenden Maßnahmen in der Öffentlichkeit eines Elternabends personenbezogen (insbesondere namensbezogen) genannt und beraten werden. Die Bekanntgabe von personenbezogenen Daten von Schülerinnen und Schülern und Eltern im Rahmen eines Elternabends stellt eine Übermittlung an private Dritte dar. Die Schule als öffentliche Stelle darf diese Daten nur im Rahmen ihrer Aufgabenerfüllung übermitteln. Dabei unterliegt die Datenübermittlung dem Grundsatz der Zweckbindung und Erforderlichkeit. Es ist für die Aufgabenerfüllung der Schule nicht erforderlich, private Dritte in die Schwierigkeiten der Schule mit anderen Eltern und/oder Schülerinnen und Schülern einzubeziehen. Der Verlauf eines Elternabends kann bei personenbezogenen Offenbarungen und einem nachteiligen Zusammenhang eskalieren, wie zumindest aus Beispielen aus dem Schulalltag bekannt ist. Die Bekanntmachung solcher Daten ist also weder datenschutzgerecht noch zielführend.
Da personenbezogene Daten im Internet weltweit abgerufen, gespeichert, und verändert werden können und dabei keinerlei Zweckbindung oder Kontrolle unterliegen, dürfen personenbezogene Daten von Schülerinnen und Schülern grundsätzlich nicht ohne Einwilligung von Eltern und heranwachsenden bzw. volljährigen Schülerinnen und Schülern auf den Internetpräsenzen von Schulen veröffentlicht werden. Die Schule als öffentliche Stelle sollte, unabhängig von der Einwilligungsmöglichkeit, nach strengen Maßstäben prüfen, ob überhaupt und in welchem Umfang personenbezogene Schülerdaten über ihre Schulhomepages in das Internet gelangen. Da die Veröffentlichung personenbezogener Schülerdaten für die Aufgabenerfüllung der Schule grundsätzlich nicht erforderlich ist, müssen im Übrigen die Einwilligungen jederzeit widerrufbar sein. Ein entsprechendes Muster, das gemäß Nr. II.5.c) VwV Schuldatenschutz zu verwenden ist, findet sich in Anlage 2 der VwV Schuldatenschutz. Schulen sind in der Regel daran interessiert, ihre Websites bunt und abwechslungsreich zu gestalten und nutzen dafür gern auch Fotos, die z. B. Klassenaktivitäten und Schulsportveranstaltungen darstellen. Solange darauf keine einzelnen bestimmbaren Personen erkennbar sind, ergeben sich daraus keine datenschutzrechtlichen Fragestellungen. Bei der Darstellung von Einzelpersonen jedoch muss neben den einschlägigen Bestimmungen der Datenschutz-Grundverordnung und des Sächsischen Datenschutzdurchführungsgesetzes auch das Kunsturheberrechtsgesetz beachtet werden, wonach Bildnisse nur mit Einwilligung der Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden dürfen, § 22 Abs. 1 Kunsturheberrechtsgesetz. Nach § 33 des Kunstrechtsurhebergesetzes ist eine Zuwiderhandlung strafbar. Das Gesetz nennt in § 23 Abs. 1 aber auch Ausnahmen. So dürfen nach dem Gesetz Bildnisse verbreitet und zur Schau gestellt werden, wenn die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeiten erscheinen oder Versammlungen, Aufzüge und ähnliche Vorgänge (z. B. das Schulfest) abgebildet werden, an denen die dargestellten Personen teilgenommen haben. Die Schule muss also zunächst entscheiden, ob die Veröffentlichung des Fotos durch die gesetzliche Ausnahmeregelung gedeckt ist. Sie hat aber in jedem Fall zu prüfen, ob schutzwürdige Interessen der betroffenen Schülerinnen und Schüler berührt oder verletzt werden könnten.
Fotoaufnahmen von Schülerinnen und Schülern stellen zwar zweifelsfrei personenbezogene Daten im Sinne der Datenschutz-Grundverordnung dar, jedoch ist der Anwendungsbereich der Datenschutz-Grundverordnung immer dann nicht eröffnet, wenn natürliche Personen, zumeist Anverwandte der Schülerinnen und Schüler, Fotografien allein zu persönlichen oder familiären Zwecken anfertigen. Die Verarbeitung personenbezogener Daten in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten fällt unter das so genannte Haushaltsprivileg und wird gemäß Artikel 2 Absatz 2 Buchstabe c Datenschutz-Grundverordnung gerade nicht von der Verordnung erfasst.
Der Anwendungsbereich der Datenschutz-Grundverordnung ist hingegen dann eröffnet, wenn die Schule selbst oder gewerbliche Fotografen (auf Einwilligungsgrundlage) Abbildungen der Schüler erstellen und verwenden. In diesen Fällen sind seitens der Verantwortlichen regelmäßig auch die Informationspflichten nach der Datenschutz-Grundverordnung gegenüber den betroffenen Schülern bzw. den sorgeberechtigten Personen einzuhalten.
Für die Zulässigkeit der Verbreitung und Veröffentlichung personenbezogener Abbildungen gelten weiterhin unverändert die bundesgesetzlichen Vorschriften des Kunsturheberrechtsgesetzes.
Anhand eines anonymisierten Notenspiegels, der z. B. im Zusammenhang mit einer Klassen- oder Projektarbeit erstellt wird, wird ein Überblick über den Leistungsstand der Klasse insgesamt gegeben. Im Klassenverband wird damit öffentlich gemacht, wie viele Schüler, welche Noten erreicht haben. Der Notenspiegel gibt Eltern und Schülern eine Orientierung über den Leistungsstand der Klasse und ermöglicht damit die Einordnung des individuellen Lernstandes. Da sich kein Bezug zum/zur einzelnen Schüler/in ergibt, werden auch keine personenbezogenen Daten bekannt gegeben.
Ergebnisse und Benotungen von Klassenarbeiten sind personenbezogene Schülerdaten. Die Verarbeitung/Übermittlung personenbezogener Daten richtet sich nach Artikel 6 Absatz 1 Buchstabe e DSGVO. Danach ist die Verarbeitung zulässig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Dabei ist die Schule zur Aufgabenerfüllung (Erziehungs- und Bildungsauftrag nach § 1 Sächsisches Schulgesetz) berechtigt, personenbezogene Daten zu verarbeiten. So kann es pädagogisch gerechtfertigt sein, Benotungen (z. B. als besondere Würdigung) vor dem Klassenverband bekannt zu geben. Hierbei hat die Schule einen Beurteilungsspielraum, aber auch Grenzen zu beachten. Schmähkritik oder Herabwürdigungen von Schülerinnen und Schülern, die nicht als erforderliche Datenverarbeitung in dem Zusammenhang anerkannt werden können, sind nicht statthaft. Eine dementsprechende Regelung enthält Nr. II.3.b) VwV Schuldatenschutz: Die personenbezogene Bekanntgabe und Erörterung von Noten in der Klasse, im Kurs oder in der Gruppe liegt im Ermessen des Lehrers.
Das Überlassen von (auch alten) Klassenbüchern zwecks Anfertigung von Kopien oder zum Auslegen bei Jubiläen zur Erinnerung an bedeutsame Ereignisse aus der Schulzeit wird von Organisatoren von Klassentreffen bei den Schulen immer wieder angefordert. Bei der Einsichtnahme in ein Klassenbuch würde der betreffende Personenkreis jedoch nicht nur Kenntnis von den eigenen Noten, Beurteilungen und Anmerkungen erhalten, sondern auch von denen seiner ehemaligen Mitschüler/innen. Eine Übermittlung dieser Daten an private Dritte ist nach dem Sächsischen Datenschutzdurchführungsgesetz dann zulässig, wenn es zur Aufgabenerfüllung der öffentlichen Stelle gehört und zudem den Grundsatz der Erforderlichkeit und der Zweckbindung erfüllt. Da es nicht zur Aufgabenerfüllung der Schule gehört, Klassentreffen vorzubereiten und die Klassenbücher auch nicht zum Zwecke der Ausgestaltung von Klassentreffen angelegt werden, ist es der Schule datenschutzrechtlich nicht erlaubt, die Klassenbücher Interessenten zur Verfügung zu stellen. Die Schule müsste zuvor, wenn man das Bereitstellen eines Klassenbuches für Jubiläen als berechtigtes Interesse unterstellt, jede im Klassenbuch genannte ehemalige Schülerin bzw. jeden genannten ehemaligen Schüler anschreiben und die schriftliche Einwilligung zur Veröffentlichung ihrer/seiner Daten einholen. Zudem müsste sie die Betroffenen darüber belehren, welche möglichen Auswirkungen die Bekanntgabe ihrer persönlichen Daten haben kann und dass sie ihr Einverständnis jederzeit widerrufen können. Das ist in der Regel durch eine Schule nicht zu leisten und wird von dieser deshalb zu Recht abgelehnt.
Die schulinterne elektronische Kommunikation zwischen Lehrern und Schülern über LernSax ist vom Erziehungs- und Bildungsauftrag nach § 1 Sächsisches Schulgesetz erfasst ist und bedarf daher keiner weiteren Einwilligung, sofern diese nicht außerhalb eines pädagogischen Kontextes oder mit Dritten erfolgt. Einwilligungsfrei ist die Nutzung von LernSax jedoch nur für unmittelbare Unterrichtszwecke durch Schüler und deren Lehrkräfte. Sofern eine Kommunikation mit Dritten außerhalb des pädagogischen Kontextes erfolgen soll, ist daher ebenso vorab eine Einwilligung einzuholen, wie bei der Nutzung von LernSax durch Personensorgeberechtigte oder externe Bildungspartner.
Neben den Regelungen der DSGVO enthält insbesondere die sächsische Verwaltungsvorschrift zum Schuldatenschutz eine ausdrückliche Beschränkung der Nutzung von Cloud-Computing-Diensten, die beispielsweise Server, Speicher, Netzwerkkomponenten oder Software über das Internet zur Verfügung stellen: Es sind nur solche Cloud-Computing-Dienste zulässig, auf die das Recht der EU Anwendung findet.
Mit der Neuregelung der VwV Schulformulare vom 25. August 2021 kann das Klassenbuch auch ausschließlich in elektronischer Form geführt werden. Dabei sind jedoch die in der Verwaltungsvorschrift aufgeführten Anforderungen einzuhalten. Dazu gehören beispielsweise die regelmäßige Erstellung einer Sicherung in unveränderbarer elektronischer Form oder in gedruckter Form als geheftetes Dokument und die Verwendung einer elektronischen Signatur anstelle des Signums und der Unterschrift.
Eltern- und Schülerräte an Schulen sind keine datenschutzrechtlich Verantwortlichen. Sie befinden sich vielmehr in der Verantwortlichkeit der jeweiligen Schule bzw. deren Datenschutzbeauftragten. Es müssen daher auch durch die Eltern- und Schülervertretungen keine Datenschutzbeauftragten benannt werden. Gleiches gilt für die regionalen Vertretungen, namentlich den Kreiselternrat, den Landeselternrat, den Kreisschülerrat sowie den Landesschülerrat. Auf Kreis- und auf Landesebene ist das Landesamt für Schule und Bildung Verantwortlicher. Hierfür sprechen die sowohl in der Schülermitwirkungsverordnung als auch in der Elternmitwirkungsverordnung geregelten Vorlage-, Genehmigungs- und Unterstützungspflichten. Die Auffassung zur Verantwortlichkeit vertritt auch das Sächsische Staatsministerium für Kultus.
Weitere Informationen
- Benennungspflicht von Datenschutzbeauftragten bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs (PDF-Datei auf der Website der Datenschutzkonferenz)