Das Problem
Fritz Müller* ist als Schulleiter einer Grund- und Mittelschule schon seit Jahren mit dem Datenschutz an seiner Schule befasst. Er ist der Meinung, dass eigentlich alles ganz gut läuft. Eines Tages bekommt er per E-Mail eine sogenannte „Datenschutz-Mustergeschäftsordnung“ des Kultusministeriums mit der Aufforderung, diese „Geschäftsordnung“ für seine Schule auszufertigen und bekannt zu machen. Beim Studium dieser „Geschäftsordnung“ laufen Müller heiße und kalte Schauer über den Rücken, bevor der Zorn in ihm hochsteigt.
Die Details
Insbesondere zwei Formulierungen stoßen Müller auf: Schon in § 2 muss er lesen, der Schulleiter trage die Verantwortung für alle verarbeiteten personenbezogenen Daten der Organe und Lehrkräfte der Schule sowie des sonstigen dort tätigen Personals im schulischen beziehungsweise dienstlichen Zusammenhang. Die Verantwortung erstreckt sich ausdrücklich auch auf den Umgang mit Daten dieser Kategorie auf privaten Endgeräten der Lehrkräfte. Zum Punkt „Auftragsdatenverarbeitung“ muss Müller in § 11 lesen: Er als Schulleiter habe in Zusammenarbeit mit dem behördlichen Datenschutzbeauftragten vor Abschluss eines Vertrages über die Auftragsverarbeitung zu prüfen, ob der Vertrag die Voraussetzungen des Art. 28 DSGVO erfüllt. Die Prüfung solle insbesondere die Frage beinhalten, ob der Auftragsverarbeiter „hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO und den zu ihrer Ergänzung erlassenen europäischen, bundes- und landesrechtlichen Regelungen erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird“.
Die Entscheidung
Müller ärgert sich besonders über die ihm auferlegte Verantwortung für die datenschutzkonforme Nutzung der privaten Rechner seiner Kollegen und Kolleginnen. Aber auch die Prüfpflichten bei Auftragsdatenverarbeitung übersteigen sowohl sein technisches als auch sein rechtliches Verständnis. Er wendet sich hilfesuchend an die Rechtsabteilung des BLLV.
Die Lösung
Wie so viele Mitglieder des Verbandes erhält Müller eine Auskunft, die ihn beruhigt. Er erfährt: Unter „Verantwortlichkeit nach der DSGVO“ ist nicht eine strafrechtliche beziehungsweise zivilrechtliche Verantwortlichkeit für eventuell auftretende Unstimmigkeiten im Datenschutz zu verstehen. Vielmehr ist der Verantwortliche im Datenschutz in erster Linie Ansprechpartner für Datenschutzfragen und nimmt hauptsächlich Koordinierungsaufgaben wahr. Darunter fallen Informations- und Meldepflichten ebenso wie die Schulung der Mitarbeiterinnen und Mitarbeiter in Datenschutzfragen. Bei der Auftragsdatenverarbeitung können die entsprechenden Aufgaben selbstverständlich nur im Zusammenwirken mit dem behördlichen Datenschutzbeauftragten erfüllt werden. // Bernd Wahl, Leiter der Rechtsabteilung des BLLV
*Name von der Redaktion geändert
Die Rechtskolumne erschien in der bayerischen schule #6/2021.