Benennung von Datenschutzbeauftragten
Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung (DSGVO) hat jede öffentliche Stelle einen Datenschutzbeauftragten zu benennen.
Formale Voraussetzungen
Die Datenschutz-Grundverordnung spricht in Artikel 37 von einer Benennung des Datenschutzbeauftragten. Eine Schriftform ist nicht zwingend vorgeschrieben. Jedoch besteht eine Veröffentlichungs- und Mitteilungspflicht.
Aus Beweisgründen und zur Rechtsklarheit empfehlen wir eine schriftliche Dokumentation der Benennung. Neben dem Zeitpunkt des Wirksamwerdens der Benennung sollten auch die gesetzlichen und gegebenenfalls zusätzlich vereinbarten Aufgaben des Datenschutzbeauftragten, dessen Zeitkontingent sowie gegebenenfalls die zur Verfügung gestellten Ressourcen schriftlich fixiert werden, damit sich Verantwortlicher und Datenschutzbeauftragter über diese im Klaren sind.
Berufliche Qualifikation, Fachwissen und persönliche Voraussetzungen des oder der Datenschutzbeauftragten
Die Datenschutz-Grundverordnung bestimmt in Artikel 37 Absatz 5, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.
Der Begriff der beruflichen Qualifikation wird in der Datenschutz-Grundverordnung nicht weiter erklärt, und auch für das erforderliche Fachwissen fehlt eine Beschreibung. Jedenfalls verlangt aber die Vorschrift Fachwissen auf dem Gebiet des Datenschutzrechts, der Datenschutztechnik und der Datenschutzpraxis. Hierzu gehören fundierte Kenntnisse der datenschutzrechtlichen Grundlagen, insbesondere der Datenschutz-Grundverordnung, des Sächsischen Datenschutzdurchführungsgesetzes, bereichsspezifischer Datenschutzbestimmungen und der jeweils anzuwendenden Verwaltungsvorschriften, wie auch Kenntnisse über die internen Prozesse des Verantwortlichen, solides Fachwissen in Bezug auf das IT-System und die IT-Sicherheitsmaßnahmen. Das jeweils erforderliche Niveau des Fachwissens richtet sich insbesondere nach den durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz der personenbezogenen Daten. Je komplexer die Datenverarbeitungen im Einzelfall sind oder je größer die Menge sensibler Daten ist, desto höher sind die Anforderungen an das notwendige Fachwissen von Datenschutzbeauftragten.
Das Erfordernis der persönlichen Zuverlässigkeit ergibt sich aus der Aufgabenstellung des oder der Datenschutzbeauftragten, Ansprechpartner des Verantwortlichen und der betroffenen Personen zu sein. Hierfür sind ein hohes Maß an persönlicher Integrität, Berufsethik und Kommunikationsfähigkeit erforderlich. So kommen zum Beispiel Personen für eine Benennung nicht in Frage, die bereits Datenschutzverstöße begangen oder Verschwiegenheitspflichten verletzt haben.
Kein Interessenkonflikt
Der Verantwortliche hat gemäß Artikel 38 Absatz 6 DSGVO sicherzustellen, dass vom Datenschutzbeauftragten gegebenenfalls wahrzunehmende andere Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Generell gilt der Grundsatz, dass der Kontrolleur sich selbst kontrollieren darf.
Danach ist zum Beispiel die Benennung des Leiters der IT- oder der Personalabteilung, von Mitarbeiterinnen und Mitarbeitern in leitender Position mit besonderer Nähe zur Leitung des Unternehmens oder der Behörde, des Geheimschutzbeauftragten oder von Vorstandsmitgliedern von Betriebs- oder Personalräten zum internen Datenschutzbeauftragten unzulässig.
In formeller Hinsicht wird die Benennung des Datenschutzbeauftragten mit der Veröffentlichung von dessen Kontaktdaten und der Mitteilung an die Sächsische Datenschutzbeauftragte vollzogen (Artikel 37 Absatz 7 DSGVO).
Zu den durch den Verantwortlichen zu veröffentlichenden und der Aufsichtsbehörde mitzuteilenden Kontaktdaten des Datenschutzbeauftragten gehören mindestens folgende:
- Postadresse
- Telefonnummer
- E-Mail-Adresse
Die Kontaktdaten sind sowohl innerhalb der Organisation des Verantwortlichen (Intranet, Geschäftsverteilungspläne) als auch auf dessen Internetseite zu veröffentlichen und der Sächsischen Datenschutzbeauftragten mitzuteilen. Die Sächsische Datenschutzbeauftragte stellt für die Meldung der Kontaktdaten auf ihrer Internetseite ein Formular bereit. Die Veröffentlichung oder Mitteilung des Namens des Datenschutzbeauftragten ist nach der Datenschutz-Grundverordnung nicht zwingend. Bei der Veröffentlichung der Mailadresse im Internet genügt es, ein Funktionspostfach anzugeben.
Häufige Fragen
Nach Artikel 37 Absatz 5 DSGVO ist ein betrieblicher Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der ihm nach Artikel 39 DSGVO obliegenden Aufgaben zu benennen. Die erforderliche Qualifikation des Datenschutzbeauftragten richtet sich nach Erwägungsgrund 97 in erster Linie nach den von dem Unternehmen durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten.
Darüber hinausgehende dezidierte Vorgaben zum Fachkundeerwerb hat der Verordnungs-geber nicht gemacht, insbesondere hat er auch keine speziellen Ausbildungen und Abschlüsse vorgeschrieben, auch ist keine Zertifizierung zum Nachweis der Fachkunde erforderlich. Vor diesem Hintergrund haben Unternehmer bei der Auswahl geeigneter Weiterbildungsveranstaltungen also einen gewissen Spielraum, müssen insoweit aber sicherstellen, dass der oder die zu benennende Datenschutzbeauftragte im spezifischen Unternehmenskontext fachlich und persönlich zur Erfüllung seiner Aufgaben in der Lage ist.
Die Zulässigkeit einer Benennung juristischer Personen als Datenschutzbeauftragter ist höchstrichterlich ungeklärt. Die praktische Compliance mit der DSGVO erfordert allerdings nach Auffassung der Sächsischen Datenschutzbeauftragten, dass die konkret funktionell als Datenschutzbeauftragter zuständige natürliche Person klar feststeht.
Aus der DSGVO ergeben sich eine Reihe zwingend zu erfüllender Voraussetzungen, die durch die Bestellung lediglich einer juristischen Person nicht erfüllt werden können:
Nach Erwägungsgrund 97 und Artikel 37 Absatz 5 DSGVO muss etwa der Datenschutzbeauftragte eine berufliche Qualifikation und insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis aufweisen. Beides ist einer juristischen Person als solcher nicht möglich. Auch die vom Gesetz vorgesehene Vertraulichkeit und Unabhängigkeit können bei Bestellung einer juristischen Person nicht gewährleistet werden. Gleiches gilt für die Dokumentationspflichten insoweit, da der Verantwortliche sich seiner Verantwortung durch Bestellung eines externen Datenschutzbeauftragten nicht entziehen kann.
Eine lediglich formelle Bestellung einer juristischen Person ohne eindeutige Festlegung der persönlichen Verantwortlichkeiten kann diese Voraussetzungen nicht erfüllen und vermag nach Auffassung der Sächsischen Datenschutzbeauftragten die Pflicht zur Bestellung eines Datenschutzbeauftragten nicht zu erfüllen. Zulässig und üblich ist jedoch der Einsatz von durch die als Datenschutzbeauftragten benannten weiteren natürlichen Personen, etwa als Vertreter/in, Datenschutzansprechpartner/in, Koordinator/in etc.
Der Europäische Datenschutzausschuss (EDSA) hat in der Vergangenheit die Benennung einer juristischen Person zwar für zulässig befunden. Das durch den EDSA bestätigte Working Paper 243 rev. 0.1 setzt allerdings voraus, dass jedes Mitglied derjenigen Einrichtung, die die Funktion eines Datenschutzbeauftragten wahrnimmt, sämtliche in Abschnitt 4 der DSGVO genannten Anforderungen erfüllt. Ebendort wird, im Interesse der Rechtssicherheit und einer ordnungsgemäßen Organisation, aber auch, um Interessenkonflikte der Teammitglieder zu vermeiden, empfohlen, eine klare Aufgabenverteilung innerhalb des Datenschutz-Teams der juristischen Person vorzusehen und eine einzelne Person als primären Ansprechpartner festzulegen, der zugleich für den jeweiligen Kunden „zuständig“ ist.
Jedenfalls bis zur höchstrichterlichen Klärung, ob diese Funktionsbedingungen – mit Auffassung der Sächsischen Datenschutzbeauftragten – verpflichtend sind, stellt die Benennung einer juristischen Person als Datenschutzbeauftragter jedenfalls ein erhebliches Compliance- und Haftungsrisiko dar.
Nein. Fraktionen, Gruppen, fraktions- oder gruppenlose Kreis- oder Gemeinderäte sind ebenso wenig wie einzelne Kreis- oder Gemeinderäte für sich verpflichtet, eigene Datenschutzbeauftragte zu bestellen. Sie unterfallen der Zuständigkeit der oder des Datenschutzbeauftragten des jeweiligen Landkreises beziehungswiese der jeweiligen Gemeinde.
Nach Artikel 37 Absatz 1 Buchstabe a DSGVO besteht die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn die Verarbeitung personenbezogener Daten von einer Behörde oder öffentlichen Stelle erfolgt. Nach § 2 des Sächsischen Datenschutzdurchführungsgesetzes werden Behörden und sonstige öffentliche Stellen des Freistaates Sachsen, der Gemeinden und der Landkreise als öffentliche Stellen angesehen.
Bei den Kreistagen und Gemeinderäten handelt es sich nicht um Parlamente und nicht um Organe der Legislative, mithin nicht um selbständige öffentliche Stellen. Vielmehr gehören die Kreistage und Gemeinderäte als Organe der kommunalen Selbstverwaltung zur Exekutive, also zum Landkreis oder zu der Gemeinde, die die öffentliche Stelle ist. Das kann aus den Regelungen der Sächsischen Landkreisordnung und Sächsischen Gemeindeordnung abgeleitet werden. Nach § 23 Sächsische Landkreisordnung ist der Kreistag das Hauptorgan des Landkreises. Er entscheidet über alle grundlegenden Angelegenheiten des Landkreises und kann Grundsätze für die Verwaltung des Landkreises festlegen (§ 24 Sächsische Landkreisordnung). Gleichartige Regelung enthalten §§ 27, 28 Sächsische Gemeindeordnung für die Gemeinderäte. Fraktionen, Gruppen und Kreis- oder Gemeinderäte sind Teile des Kollegialorgans Kreistag oder Gemeinderat.
Im Ergebnis muss daher der Landkreis oder die Gemeinde eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen. Dieser ist auch für das Kollegialorgan Kreistag oder Gemeinderat und damit auch die Fraktionen oder Kreis- und Gemeinderäte zuständig.
Die schulinterne elektronische Kommunikation zwischen Lehrern und Schülern über LernSax ist vom Erziehungs- und Bildungsauftrag nach § 1 Sächsisches Schulgesetz erfasst ist und bedarf daher keiner weiteren Einwilligung, sofern diese nicht außerhalb eines pädagogischen Kontextes oder mit Dritten erfolgt. Einwilligungsfrei ist die Nutzung von LernSax jedoch nur für unmittelbare Unterrichtszwecke durch Schüler und deren Lehrkräfte. Sofern eine Kommunikation mit Dritten außerhalb des pädagogischen Kontextes erfolgen soll, ist daher ebenso vorab eine Einwilligung einzuholen, wie bei der Nutzung von LernSax durch Personensorgeberechtigte oder externe Bildungspartner.
Neben den Regelungen der DSGVO enthält insbesondere die sächsische Verwaltungsvorschrift zum Schuldatenschutz eine ausdrückliche Beschränkung der Nutzung von Cloud-Computing-Diensten, die beispielsweise Server, Speicher, Netzwerkkomponenten oder Software über das Internet zur Verfügung stellen: Es sind nur solche Cloud-Computing-Dienste zulässig, auf die das Recht der EU Anwendung findet.
Mit der Neuregelung der VwV Schulformulare vom 25. August 2021 kann das Klassenbuch auch ausschließlich in elektronischer Form geführt werden. Dabei sind jedoch die in der Verwaltungsvorschrift aufgeführten Anforderungen einzuhalten. Dazu gehören beispielsweise die regelmäßige Erstellung einer Sicherung in unveränderbarer elektronischer Form oder in gedruckter Form als geheftetes Dokument und die Verwendung einer elektronischen Signatur anstelle des Signums und der Unterschrift.
Fotoaufnahmen von Schülerinnen und Schülern stellen zwar zweifelsfrei personenbezogene Daten im Sinne der Datenschutz-Grundverordnung dar, jedoch ist der Anwendungsbereich der Datenschutz-Grundverordnung immer dann nicht eröffnet, wenn natürliche Personen, zumeist Anverwandte der Schülerinnen und Schüler, Fotografien allein zu persönlichen oder familiären Zwecken anfertigen. Die Verarbeitung personenbezogener Daten in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten fällt unter das so genannte Haushaltsprivileg und wird gemäß Artikel 2 Absatz 2 Buchstabe c Datenschutz-Grundverordnung gerade nicht von der Verordnung erfasst.
Der Anwendungsbereich der Datenschutz-Grundverordnung ist hingegen dann eröffnet, wenn die Schule selbst oder gewerbliche Fotografen (auf Einwilligungsgrundlage) Abbildungen der Schüler erstellen und verwenden. In diesen Fällen sind seitens der Verantwortlichen regelmäßig auch die Informationspflichten nach der Datenschutz-Grundverordnung gegenüber den betroffenen Schülern bzw. den sorgeberechtigten Personen einzuhalten.
Für die Zulässigkeit der Verbreitung und Veröffentlichung personenbezogener Abbildungen gelten weiterhin unverändert die bundesgesetzlichen Vorschriften des Kunsturheberrechtsgesetzes.
Eltern- und Schülerräte an Schulen sind keine datenschutzrechtlich Verantwortlichen. Sie befinden sich vielmehr in der Verantwortlichkeit der jeweiligen Schule bzw. deren Datenschutzbeauftragten. Es müssen daher auch durch die Eltern- und Schülervertretungen keine Datenschutzbeauftragten benannt werden. Gleiches gilt für die regionalen Vertretungen, namentlich den Kreiselternrat, den Landeselternrat, den Kreisschülerrat sowie den Landesschülerrat. Auf Kreis- und auf Landesebene ist das Landesamt für Schule und Bildung Verantwortlicher. Hierfür sprechen die sowohl in der Schülermitwirkungsverordnung als auch in der Elternmitwirkungsverordnung geregelten Vorlage-, Genehmigungs- und Unterstützungspflichten. Die Auffassung zur Verantwortlichkeit vertritt auch das Sächsische Staatsministerium für Kultus.
Weitere Informationen
- Benennungspflicht von Datenschutzbeauftragten bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs (PDF-Datei auf der Website der Datenschutzkonferenz)
