Am 25.05.2018 wird die EU-Datenschutz-Grundverordnung (DS-GVO) unmittelbar anwendbar sein. Wie bei jeder Einführung eines neuen Gesetzes gibt es auch diesmal Unsicherheiten und offene Fragen. Dieses Dokument soll einen ersten Überblick über die wichtigsten Fragen bieten und helfen, Missverständnisse und eine unnötige Besorgnis zu vermeiden.
Müssen Schulen bei Datenschutzverstößen nach dem 25.05.2018 mit der Verhängung eines Bußgeldes rechnen?
Vorbehaltlich der Verabschiedung des (überarbeiteten) NDSG ergibt sich aus § 18 Absatz 4, dass der von der oder dem Landesbeauftragten geleiteten Behörde die Befugnis Bußgelder zu verhängen nur zusteht, soweit diese als Unternehmen am Wettbewerb teilnehmen. Das ist bei den Schulen nicht der Fall. Insoweit ist für Schulen ab dem 25.05.2018 nicht mit der Verhängung eines Bußgeldes zu rechnen.
Müssen behördliche Datenschutzbeauftragte in Schulen nach dem 25.05.2018 verpflichtende Fortbildungen besuchen oder sich zertifizieren lassen?
Die DS-GVO enthält keine neuen Fortbildungs- oder Zertifizierungspflichten. Die oder der Datenschutzbeauftragte soll Fachwissen, auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen. Wie dieses Fachwissen erworben wird, ist jeder bzw. jedem Datenschutzbeauftragten selbst überlassen. Aus hiesiger Sicht ist der Besuch einer Fortbildung nach der Bestellung zur oder zum Datenschutzbeauftragten völlig ausreichend.
Welche konkreten Schritte muss eine Schule zur Umsetzung der Vorgaben der DS-GVO unternehmen?
Der erste und wichtigste Schritt ist die Bestellung einer oder eines Datenschutzbeauftragten.
Im nächsten Schritt sollte das in Art. 30 DS-GVO geforderte Verzeichnis der Verarbeitungstätigkeiten erstellt werden. In dieses Verzeichnis sind sämtliche Vorgänge und Prozesse, bei denen in der Schule personenbezogene Daten verarbeitet werden, einzutragen.
Im dritten Schritt sollte die Homepage der Schule überprüft werden. Insbesondere ist darauf zu achten, dass die Datenschutzerklärung den aktuellen Anforderungen entspricht.
Gibt es für behördliche Datenschutzbeauftragte in Schulen durch die DS-GVO erhöhte Haftungsrisiken?
Nein, die DS-GVO ändert nichts daran, dass weiterhin die Schulleiterin oder der Schulleiter die rechtliche Verantwortung dafür trägt, dass an der Schule die datenschutzrechtlichen Vorschriften eingehalten werden. Die oder der Datenschutzbeauftragte ist lediglich verpflichtet, die Schulleitung zu beraten und auf mögliche Datenschutzverstöße hinzuweisen. Zum einem entstehen bei Datenschutzverstößen nur sehr selten Vermögensschäden. Zum anderen würde die oder der Datenschutzbeauftragte nur bei grober Fahrlässigkeit oder Vorsatz haften, falls im Ausnahmefall doch ein Vermögensschaden eintreten würde. Einer als Datenschutzbeauftragter tätigen Lehrkraft wird allerdings nur in atypischen Ausnahmefällen in Bezug auf eine fehlerhafte datenschutzrechtliche Beratung der Vorwurf der groben Fahrlässigkeit gemacht werden können.
Warum gibt es im Moment sehr viele Artikel zum Thema DS-GVO, in denen von erheblichen rechtlichen Risiken die Rede ist und in denen die Neuerungen durch die DS-GVO mit Besorgnis betrachtet werden?
Die DS-GVO bringt für die Wirtschaft wesentlich mehr Neuerungen als für den öffentlichen Bereich. Viele aktuelle Artikel zur DS-GVO beziehen sich auf Neuerungen, die nur für die Wirtschaft Auswirkungen haben, z.B. die Möglichkeit wegen Datenschutzverstößen Bußgelder verhängt zu bekommen. Da dieses Risiko für die Schulen nicht besteht, besteht kein Grund zur Besorgnis.
Auf welche Art und Weise unterstützt die NLSchB die Schulen bei der Umsetzung der Vorgaben der DS-GVO
Die NLSchB wird Muster, z.B. für ein Verzeichnis für Verarbeitungstätigkeiten, auf ihrer Homepage einstellen. Auf Fortbildungsveranstaltungen für schulische Datenschutzbeauftragte, welche die NLSchB demnächst anbieten wird, wird die Thematik Umsetzung der Vorgaben der DS-GVO vertieft behandelt werden.