Der Elternbeirat, wie ihn das Schulrecht vorsieht ist ein Organ der Schule (Art. 64 ff. BayEUG). „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung (DSGVO) ist damit die Schule, nicht der oder die Elternbeiratsvorsitzende.  Für den gewissenhaften Umgang mit den ihnen anvertrauten Daten sind, wie schon bisher, im Rahmen ihrer Aufgaben die Mitglieder des Elternbeirats verantwortlich.

Von der Arbeit des Elternbeirats zu unterscheiden ist der private Austausch unter Erziehungsberechtigten, auf den die DSGVO keine Anwendung findet.

Ab wann für Unternehmen wegen ihrer Unternehmensgröße (Anzahl Mitarbeiter) und weiterer Faktoren die Ernennung eines betrieblichen Datenschutzbeauftragten notwendig ist.

Viele Entscheider haben schon einmal vom „Datenschutzbeauftragten“ (DSB) gehört. Doch häufig ist ihnen nicht geläufig, welche Funktionen und Aufgaben mit dieser Rolle im betrieblichen Datenschutz einhergehen. Gelegentlich ist sogar unklar, ob die eigene Organisation in der Pflicht steht, einen Datenschutzbeauftragten zu benennen (früher: bestellen).

Funktion und Aufgaben des DSB im Unternehmen

Der Datenschutzbeauftragte ist eine Person, die innerhalb einer Organisation für den Datenschutz verantwortlich ist. Sie muss u.a. die Einhaltung relevanter Datenschutzvorschriften gewährleisten, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten. 

Dies bedeutet jedoch nicht, dass sich der DSB um den gesamten betrieblichen Datenschutz selbst kümmert. Er ist berechtigt, Aufgaben zu delegieren und zu überwachen. Entscheidend für seine Tätigkeit ist die Übernahme der Verantwortung.

Die Person selbst muss übrigens kein Mitarbeiter des Unternehmens sein. Die Regelungen der EU DSGVO räumen Unternehmen bei der Bestellung des Datenschutzbeauftragten gewisse Freiheiten ein. Im betrieblichen Datenschutz besteht die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu benennen. Bei der internen Lösung wird die Rolle des DSB von einem eigenen Mitarbeiter übernommen, während bei der externen Lösung die Unterstützung von einem fachkundigen Dienstleister stammt.

Benennungspflicht nach DSGVO

Die Pflicht zur Benennung eines Datenschutzbeauftragten regelt die DSGVO in Art. 37 Abs. 1:

a) Personenbezogene Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: justizielle Tätigkeit)

b) Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.

Beispiele: Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“); Marketing auf Basis detaillierter Kunden- und Interessentenprofile

c) Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).

Beispiele: Gesundheitseinrichtungen, wie z.B. Kliniken; Labore für genetische Untersuchungen; Beratungsstellen zu Themen, wie z.B. Familienplanung; Dienstleister im biometrischen ID-Management.

Für Unternehmen sind somit die Fallgruppen b) und c) zu prüfen. Hierbei gelten jeweils zwei Voraussetzungen:

1. Die, die Benennungspflicht auslösende personenbezogene Datenverarbeitung, muss zur „Kerntätigkeit“ des Verantwortlichen bzw. Auftragsverarbeiters gehören.

2. Die Tätigkeit muss bestimmte inhaltliche Voraussetzungen erfüllen, nämlich das Erfordernis einer umfangreichen regelmäßigen und systematischen Beobachtung von betroffenen Personen oder die umfangreiche Verarbeitung von Daten im Sinne des Art. 37 Abs. 1 Buchst. c) DS-GVO.

Aufgepasst, der Begriff „Kerntätigkeit“, ist nicht mit „Kerngeschäft“ zu verwechseln. „Kerntätigkeiten“ sind alle Geschäftsbereiche, die zur Umsetzung der Unternehmensstrategie relevant sind, wie Kundenservice, Marketing oder Vertrieb. Keine Aktivitäten dieser Art sind hingegen routinemäßige Verwaltungs- und Erhaltungsaufgaben. Folglich genügt es, wenn die die Benennungspflicht auslösende Tätigkeit einen (!) Hauptzweck der betreffenden Stelle verkörpert. Der Begriff „Beobachtung“ meint umfangreiche und zugleich regelmäßige sowie systematische Auswertungen personenbezogener Daten, ganz besonders die Erstellung von Profilen.

Benennungspflicht nach BDSG

In Deutschland hat der Gesetzgeber weitergehende Pflichten zur Benennung eines Datenschutzbeauftragten im BDSG n.F. verankert.

Gemäß § 38 Abs. 1 Satz 1 BDSG n.F. ist ergänzend zu den Vorgaben der DSGVO ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Gemäß § 38 Abs. 1 Satz 2 BDSG n.F. ist schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Eine Person gilt als „ständig“ beschäftigt, wenn sie die Aufgabe (die nicht ihre Hauptaufgabe zu sein braucht) regelmäßig wahrnimmt.

Macht ein Antragsteller bzw. eine Antragstellerin ein Betroffenenrecht der DSGVO geltend, ist nicht immer klar, ob es sich bei dieser Person tatsächlich um die betroffene Person im Sinne der Art. 12 ff. DSGVO handelt. Zur Identifizierung des Antragstellers bzw. der Antragstellerin können daher ggf. weitere Maßnahmen erforderlich sein. Genauere Ausführungen hierzu finden Sie auf der Homepage des Landesbeauftragten für den Datenschutz.

Damit die Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können (siehe oben unter Informationspflichten ), stellt das Staatsministerium für Unterricht und Kultus ein Muster für Datenschutzhinweise im Internetauftritt zur Verfügung. Wenn die Schule das Muster an die Verhältnisse vor Ort anpasst und auf ihrer Homepage einstellt, erfüllt sie damit ihre Informationspflichten für die an allen Schulen üblichen Datenverarbeitungen.

Für Datenverarbeitungen, die nicht von dem Muster erfasst sind, können die Datenschutzhinweise ergänzt werden.

Bei Bedarf kann die Schule gesonderte, auf den Einzelfall angepasste Informationen nach Art. 13 DSGVO bereitstellen und ergänzend auf ihre allgemeienn Datenschutzhinweise verweisen. Dabei empfiehlt es sich, Informationen in Grundinformationen und weitergehende Informationen aufzuteilen (für genaue Erläuterungen siehe oben unter Informationspflichten). So wird es sich z.B. im Rahmen einer Anmeldung zur Klassenfahrt in der Regel anbieten, Informationen zum Verantwortlichen, zum Verarbeitungszweck, zur Rechtsgrundlage der Verarbeitung, zu etwaigen Empfängern der Daten und zu Speicherfristen im Anmeldeformular selbst darzustellen (Grundinformationen) und im Übrigen (z.B. Kontaktdaten der bzw. des Datenschutzbeauftragten, Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde) auf das Muster im Internetauftritt der Schule zu verweisen (weitergehende Informationen).

Die verantwortliche Stelle muss die Informationen den betroffenen Personen in leicht zugänglicher Form zur Verfügung stellen. Hierfür gibt es grundsätzlich zwei Möglichkeiten:

1. Vollständige Information auf dem Erhebungsformular

Das Unternehmen kann die Informationen direkt und vollständig auf dem Erhebungsformular bereitstellen

2. Aufteilen der Informationen in Grundinformationen und weitergehende Informationen

Die Informationen müssen in der Regel nicht vollständig im Erhebungsformular aufgeführt werden, sondern können auch wie folgt aufgeteilt werden:

• in Grundinformationen, die das Unternehmen direkt auf dem Erhebungsformular bereitstellt (z.B. Verantwortlicher, Verarbeitungszweck, Rechtsgrundlage, Empfänger der Daten, Speicherfristen) und
• in weitergehende Informationen, die das Unternehmen in ihren Datenschutzhinweisen im Internetauftritt zur Verfügung stellt (z.B. Kontaktdaten der bzw. des Datenschutzbeauftragten, Betroffenenrechte, Beschwerderecht bei der Aufsichtsbehörde)Werden die weitergehenden Informationen durch einen Verweis auf Datenschutzhinweise im Internetauftritt bereitgestellt, hat das Unternehmen den betroffenen Personen mitzuteilen, wo genau im Internet die Informationen zum Datenschutz eingesehen werden können. Sie hat den betroffenen Personen also entweder einen Direktlink auf die Datenschutzhinweise im Internetauftritt oder einen einfach zu befolgenden Navigationshinweis zur Verfügung zu stellen. Für den Verweis kann z.B. folgender Satz gewählt werden:„Ergänzende Hinweise zum Datenschutz finden Sie unter https://www.muster.de/datenschutzerklaerung.“Im Falle eines „Medienbruchs“, wenn also Datenerhebung und Informationen nach Art. 13 DSGVO mittels unterschiedlicher Medien erfolgen sollen, hat die verantwortliche Unternehmen betroffenen Personen in der Regel alternative Möglichkeiten für den Bezug der Informationen aufzuzeigen, um die Informationen leicht zugänglich zu machen. Will ein Unternehmen Daten z.B. auf dem Papierweg erheben, werden die Informationen aber auf einem anderen Medium (Homepage) bereitgestellt, kann nicht davon ausgegangen werden, dass jede betroffene Person die Informationen über einen Internetzugang abrufen kann. Daher muss das Unternehmen in solchen Fällen zusätzlich zur Online-Bereitstellung noch eine alternative Bezugsmöglichkeit der Informationen vorsehen (z.B. die Möglichkeit, einen entsprechenden Abdruck der Informationen bei einem benannten Ansprechpartner anzufordern).Formulierungsbeispiel für den Fall eines oben geschilderten Medienbruchs (Datenerhebung mittels eines Papierformulars und Bereitstellung der Datenschutzhinweise auf der Homepage):„Ergänzende Hinweise zum Datenschutz finden Sie unter https://www.muster.de/datenschutzerklaerung oder können Sie bei Person x unter den oben angegebenen Kontaktdaten des Unternehmens anfordern.“

Der Inhalt der Informationspflichten ergibt sich aus Art. 13 Abs. 1 und Abs. 2 DSGVO.

Das verantwortliche Unternehmen hat demnach insbesondere Name und Kontaktdaten des Unternehmens, die Kontaktdaten des Datenschutzbeauftragten, Rechtsgrundlage und Zweck der Verarbeitung, sowie etwaige Empfänger von Daten anzugeben (vgl. im Übrigen Art. 13 Abs. 1 DSGVO). Zur Sicherstellung einer transparenten Verarbeitung sind stets auch die Informationen des Art. 13 Abs. 2 DSGVO anzugeben, z.B. die konkrete Speicherdauer der Daten, die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde. Diejenigen Informationen, die der betroffenen Person bereits bereitgestellt worden sind, z.B. im Rahmen der Einstellung, können später als bekannt vorausgesetzt werden.

Bei einer Zweckänderung sind Informationen über den anderen Zweck und alle weiteren maßgeblichen Informationen bereitzustellen (Art. 13 Abs. 3 DSGVO).

Die Informationspflichten werden in drei Fällen ausgelöst:

• personenbezogene Daten werden direkt bei der betroffenen Person erhoben (Art. 13 DSGVO)
• personenbezogene Daten werden nicht bei der betroffenen Person erhoben (also z.B. bei Dritten oder aus öffentlich zugänglichen Quellen, Art. 14 DSGVO)
• der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten beim Betroffenen erhoben wurden (Art. 13 Abs. 3 DSGVO) oder sonst erlangt wurden (Art. 14 Abs. 4 DSGVO)

Erfolgt eine Erhebung bei der betroffenen Person, sind die Informationen zum Zeitpunkt der Erhebung mitzuteilen (z.B. auf dem Erhebungsformular). Bei Erhebung personenbezogener Daten nicht bei der betroffenen Person sind die Informationen innerhalb einer angemessenen Frist, spätestens innerhalb eines Monats, bereitzustellen. Bei beabsichtigter Zweckänderung ist die betroffene Person vorab zu informieren (Art. 13 Abs. 3 DSGVO).

Der Verantwortliche muss personenbezogene Daten transparent verarbeiten (siehe oben unter Transparenz). Aus diesem Transparenz-Grundsatz ergeben sich die Informationspflichten des Verantwortlichen nach Art. 13 bzw. Art. 14 DSGVO. Die Informationspflichten werden in der Praxis in der Regel durch Bereitstellung sog. „Datenschutzhinweise“ erfüllt.

Den Nachweis der Erfüllung der Informationspflichten hat das Unternehmen als verantwortliche Stelle zu erbringen.

Ein Testgegenstand ist ein Produkt oder eine Komponente, die für eine bestimmte Funktion oder einen bestimmten Zweck getestet wird. Es kann sich um ein physisches Produkt oder ein Softwareprodukt handeln. Ein Testgegenstand wird normalerweise nach einer Reihe von Tests unterzogen, um seine Funktionen und seine Zuverlässigkeit zu beurteilen. Diese Tests können eine Reihe von Messungen, Tests und Analysen umfassen, um festzustellen, ob das Produkt den Anforderungen entspricht.

Ein Testobjekt ist ein Objekt, das im Rahmen eines Tests verwendet wird. Es kann ein physisches Objekt sein, das als Teil eines Tests hergestellt oder verwendet wird, oder es kann ein virtuelles Objekt sein, das für einen Test erstellt wird. Testobjekte werden häufig verwendet, um die Funktionalität eines Systems zu überprüfen und sicherzustellen, dass es den Anforderungen entspricht. Bei einem Testobjekt kann es sich um ein Programm, eine Hardware-Komponente, eine Software-Komponente oder ein anderes Objekt handeln. Testobjekte sind ein wichtiger Bestandteil der Softwareentwicklung und der Softwaretests.