Anforderungen an den Datenschutz für Bildungszentren, Bildungseinrichtungen, Schulen, Hochschulen und Kindergärten

Das Bundesdatenschutzgesetz und die Datenschutzgrundverordnung gelten für öffentliche und nicht öffentliche Stellen. Jedoch sind die Anforderungen an die Verarbeitung personenbezogener Daten aufgrund von gesetzlichen Regelungen für Bildungsträger und Bildungseinrichtungen wie Schulen oder Hochschulen, nicht zuletzt auch abhängig von der Struktur der Datenverarbeitung, sehr unterschiedlich. Daher bringen wir unser Know-how rund um das Thema Datenschutz für Bildungsträger in Ihre Branche ein.

Datenschutzbeauftragter für Bildungsträger

Die Benennungspflicht eines Datenschutzbeauftragten richtet sich im Bildungssektor auch nach der Art der Institution.

Für staatliche Bildungseinrichtungen gelten die Regelungen nach § 5 BDSG, wo eine allgemeine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Für privatwirtschaftliche Einrichtungen gilt § 38 BDSG, wo ein Datenschutzbeauftragter notwendig ist, soweit in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Ist der Datenschutzbeauftragte mit Kontrollfunktionen ausgestattet, sollte er nicht in Situationen kommen, in denen er sich selber kontrollieren muss oder ein Interessenskonflikt besteht.

Beispiel:

Der Leiter der IT-Abteilung ist gleichzeitig der Datenschutzbeauftragte einer Schule. In seiner Position als IT-Leiter ist er verantwortlich für die Implementierung und Überwachung von Sicherheitsmaßnahmen und IT-Prozessen, die den Schutz personenbezogener Daten gewährleisten sollen.

Eines Tages steht die Schule vor der Aufgabe, ein neues System zur Verwaltung von Beschäftigtendaten einzuführen. Als IT-Leiter ist er für die Auswahl und Implementierung des Systems verantwortlich ist. Als das System in Betrieb genommen wird, muss er als Datenschutzbeauftragter eine Datenschutz-Folgenabschätzung durchführen, um sicherzustellen, dass das neue System den Anforderungen der DSGVO entspricht.

Hier entsteht ein Interessenskonflikt: Als Datenschutzbeauftragter müsste er die Einhaltung der Datenschutzrichtlinien überprüfen und gegebenenfalls Maßnahmen zur Korrektur einleiten. Gleichzeitig würde er seine eigene Arbeit und Entscheidungen als Leiter der IT-Abteilung kontrollieren. Dieser Konflikt könnte seine Objektivität und Unabhängigkeit gefährden, da er möglicherweise dazu neigt, Probleme herunterzuspielen oder zu ignorieren, um seine eigene Abteilung nicht in einem schlechten Licht darzustellen.

Um diesen Interessenskonflikt zu vermeiden, sollte die Schule den IT-Leiter von einer der beiden Aufgaben entbinden. Eine Möglichkeit wäre, einen externen Datenschutzbeauftragten zu ernennen. Alternativ könnte die IT-Leitung an eine andere Person übertragen werden, um die Unabhängigkeit des Datenschutzbeauftragten sicherzustellen.

Typische Aufgaben eines Datenschutzbeauftragten für eine Schule sind:

• Analyse des Ist-Zustandes der Einhaltung datenschutzrechtlicher Verpflichtungen
• Schulung der Geschäftsführung, der Mitarbeiter der Schulverwaltung und der Buchhaltung zu den relevanten Themen des europäischen und nationalen Datenschutzrechts.
• Schulung der Lehrer und pädagogischen Beschäftigten zum Thema Datenschutz & DSGVO
• Unterstützung bei der Einführung eines Datenschutzmanagement-Systems.
• Fortlaufende Kommunikation mit der Schule

---

Welche Art von Daten werden vom Datenschutzbeauftragten überwacht?

---