Datenschutzbeauftragte antwortet nicht

Hallo zusammen,

ich habe folgende Problematik, an unsere Schule wurde und wird immer noch MS365 ohne AVV und DSFA betrieben. Das ganze ist vor einiger Zeit an die Öffentlichkeit gekommen und die DSB und die Schulaufsicht haben hier intern einen auf dicke Hose gemacht.

In Richtung MS365 ist nicht wirklich was passiert, nur ein Mitarbeiter, der für die Technik zuständig ist und das Thema sehr transparent dargestellt hat, wurde freigestellt und soll versetzt werden.

Da die Schule immer noch MS365 einsetzt und ich keine wirklich echten neuen Informationen bekomme, hatte ich mich an unsere DSB gewandt und wollte wissen, ob der Einsatz jetzt DSGVO-konform ist oder nicht.

Ich habe nicht wirklich eine Antwort bekommen, nur Mails wo die DSB geschrieben hat das Sie von dem „Fall“ abgezogen ist und ich soll mich bitte an eine höhere Stelle wenden. Diese Stelle teile mir dann mit, dass Sie auch nicht zuständig ist.
Die DSB teilte mir dann wieder mit, dass es Vertretungen gibt und angeblich wurden meine Mails an die passende Stellen weitergeleitet. Antwort habe ich nie erhalten.
Das ist die letzte Mail, die ich bekommen habe:

vielen Dank für Ihre nochmaligen Anfragen.

Zuständig für die Einhaltung des Datenschutzes sowie Beantwortung von Auskunftsanfragen ist xxxx als Schulleiterin. Beratend wird dabei die behördliche Datenschutzbeauftragte tätig (vgl. Art. 38 u. 39 DSGVO). In meiner Abwesenheit hatte das Schulamt eine Vertretung organisiert. Schulaufsichtlich ist das Schulamt und nicht die Bezirksregierung für Grundschulen zuständig.

Betroffene Personen können nach Art. 38 Abs. 4 DSGVO die behördliche Datenschutzbeauftragte zu Rate ziehen.

Da die Auskünfte, die hier eingefordert werden, den Rahmen einer Beratung übersteigen, bitte ich darum solche Anfragen oder Auskunftsersuche dieser Art an die zuständigen Stellen oder der Landesdatenschutzbeauftragten als Aufsichtsbehörde zu stellen. Weitere Anfragen von Ihrer Seite aus werde ich nicht beantworten.

Ich finde es schon mehr als Fragwürdig, was hier passiert. Ich werde mich an das LDI wenden und prüfen lassen, ob die DSB so richtig arbeitet, bzw. Sie hat ja nie wirklich gearbeitet.

Die Schulleitung antwortet auf Fragen oder Mails zum Thema Datenschutz nicht.

Ich würde aber gerne der DSB schreiben, was ich von solchen Sachen halte, denn wenn man DSB ist sollte man seinen Job auch machen und nicht alles aussitzen und hoffen das alles an einem vorbeizieht. Hätte ihr hier Ideen?

Details über Antworten von Anfragen betroffener Personen durch Datenschutzbeauftragte sind nicht direkt vorgeschrieben. Wegen der Verschwiegenheitspflicht wäre schon anzunehmen, dass solche Kommunikation direkt geführt werden kann. Wird die Verschwiegenheit über das Anliegen nicht gebrochen, können DSB sie an den Verantwortlichen (=Schule) weitergeben und der muss sich damit befassen.

Anders sieht es aus, wenn man sich mit einem formellen Auskunftsantrag an den Verantwortlichen wendet. (Art. 15 DSGVO. Welche Daten habt ihr von mir und wie werden sie verarbeitet? Evtl. speziell auf MS 365 bezogen.) Der Antrag kann direkt an die Schule oder an DSB als Teil dieser Organisation gestellt werden. Solche Anfragen müssen(!) spätestens innerhalb eines Monats beantwortet sein (Art. 12 Abs. 3 DSGVO).

Wenn die Auskunft zu spät, gar nicht bzw. nicht zufriedenstellend erteilt wird, kann man sich bei der Datenschutz-Aufsichtsbehörde des Bundeslands beschweren. (In Bayern gibt es 2; für öffentliche Schulen ist der BayLFD zuständig.)

D., der als vorgeblichen Erlaubnistatbestand die Erforderlichkeit für schulische Aufgaben vermutet (Art. 6 Abs. 1 lit. e DSGVO i. V. m. irgendwas aus dem Landesschulrecht). Das wäre dann nur die Deklaration durch die Schule und wird wohl nicht für alles, was bei 365 passiert erforderlich = zulässig sein. Vor allem wenn Verarbeitungsübergänge zu Microsoft, mit der öffentlichen Aufgabe unvereinbare Zwecke, Verhaltensanalyse etc. weder theoretisch noch praktisch abtrennbar sind. (Der eigentliche Nachweis der Rechtmäßigkeit und des Einhaltens aller anderen Grundsätze und Vorschriften muss allerdings nur gegenüber der Aufsichtsbehörde oder einem Gericht erbracht werden.)

@Lockslay
Auch wenn ich das Verhalten der DSB für nicht förderlich für einen sinnvollen Umgang mit den Datenschutzgesetzen und der Förderung deren Akzeptanz halte, so gehört der von Dir beschriebene Sachverhalt nicht zu den gesetzlich definierten Aufgaben von DSBs.

Grundsätzlich ist für die Einhaltung des Datenschutzes der Verantwortliche zuständig und der/die DSB unterstützt ihn dabei und agiert als:

„Als eigenständiges Unterrichtungs-, Beratungs- und Kontrollorgan ist er allein an sein fachkundiges Verständnis hinsichtlich der einschlägigen Datenschutzgesetze gebunden.“ Taeger/Gabel/Scheja DS-GVO Art. 39 Rn. 1, 2

Du solltest Dich mit Deinem Anliegen daher an den Verantwortlichen wenden.

Die Schulleitung ist verantwortlich für die Einhaltung des Datenschutzes.
Ein DSB berät „nur“. Sie will sich hier vielleicht auch nicht in die Nesseln setzen…

Bist Du Mitarbeiter der Schule oder hast Du ein Kind an der Schule?
Als betroffene Person könntest Du Dich bei der zuständigen Datenschutzaufsicht beschwerden, wenn Du der Meinung bist, dass mit Deinen Daten (oder denen deines Kindes) nicht datenschutzkoform umgegangen wird. Dann wird sich die Aufsicht damit befassen…

Aufsichtsbehörde kontaktieren.
DSBs haben u.a. Prüfpflichten gegenüber den Verantwortlichen. Sie müssen aber weder eine fertige, womöglich technische Lösung für Datenschutzprobleme präsentieren noch haben sie die Pflicht, die Aufgaben der für den Datenschutz Verantwortlichen zu übernehmen.
Quasi alles, was in der DSGVO an Pflichten und Rechten zur Ausübung steht, betrifft die Verantwortlichen. Die Verantwortlichen müssen Auskunft geben, nicht die DSB. Die machen das meistens, weil sonst keiner im Unternehmen Ahnung hat.

Bei M365 sieht’s im realen Leben wahrscheinlich so aus, dass alle DSBs zumindest Kritik am Einsatz von M365 äussern oder klar formulieren, dass man den Einsatz von M365 im Unternehmen ablehen muss, wenn nicht ein spezieller Vertrag mit Microsoft und spezielle technische Maßnahmen vorliegen.
Das ist aber kein gesetzliches Veto. Sprich: die Verantwortlichen (das Unternehmen) kann sagen: egal, wir machen es trotzdem.
Die DSBs dokumentieren ihren „Einspruch“ und den „Widerspruch“ der Verantwortlichen und damit wäre ihre Pflicht getan.

Du stellst Anfragen an die Verantwortlichen - in dem Fall also Schulleitung oder übergeordnete Schulbehörde. Die müssen (!) Antworten. Es gibt Fristen.
Du kannst Dich sowohl an die Auskunftsbehörde wenden (immer, dazu gibt es keine Fristen) als auch persönlich Klage gegen die Schule bzw. Schulbehörde einreichen.

Die Antworten vom DSB erscheinen mir richtig. Die müssen dich hier nicht weiter beraten, sondern sie weisen darauf hin, wer die verantwortliche Stelle ist und schubsen Dich schon in die Richtung „Aufsichtsbehörde“. Das kann man auch als Aufforderung verstehen

Hallo zusammen,
ich danke euch für die Antworten und wollte diese etwas sacken lassen.

Was aus meiner Sicht nicht geht, die Zuständige DSB hat fast ein Jahr auf keine Anrufe oder Mails von mir reagiert.
Alleine das zeigt, dass aus meiner Sicht der Datenschutz bzw. die Beratung nicht wirklich vorhanden ist.
Weiter gab es unterschiedliche und widersprüchliche Aussagen zum Thema Vertretung der DSB.
Ach das die Zuständige DSB schreibt, dass Sie mir nicht mehr Antworten wird, ist aus meiner Sicht nicht rechtens oder im Sinne des Datenschutzes, da Sie nicht weiß welche Fragen noch entstehen können. Auch das die DSB auf das LDI NRW verweist ist eine Verschiebung der Aufgaben, eigentlich sollte die DSB selber das LDI einschalten.

Die DSB hatte die Schulleitung bezüglich einer fehlenden AVV und einer nicht vorhandenen DSFA angeschrieben und angemahnt. Danach sollte und musste die DSB das LDI selber anschreiben und einschalten.

Ich finde, die DSB entzieht sich hier ihre Aufgabe.
Nach der Eskalation wegen Microsoft 365 wurde mir als Beschäftigter der Mailaccount durch die SL gelöscht.
Es wurde dann eine Anfrage nach §15 DSGVO gestellt, diese wurde auf drei Monate verlängert. Kurz vor Ende sollte ich einen USB-Stick kaufen und den Stick in einen Briefkasten werfen. Kurz gesagt ich habe bis heute keine Daten erhalten.

Ich habe bei allen Schritten die DSB informiert und um Rat gefragt, keine Antwort.
Jetzt habe ich das LDI eingeschaltet, die haben mir geschrieben, ich sollte die DSB befragen und um Rat fragen, oftmals können die weiterhelfen. LOL.
Habe dem LDI geantwortet und jetzt wurde die SL vom LDI angeschrieben. Auch das ist jetzt schon Monate her.

Wir sehen an dem Beispiel, dass wir auch meiner Sicht nur Datenschutz und die Einhaltung von Gesetzten als Schein haben. In vielen Sachen wird hier systematisch weggeschaut.

Das LDI in NRW beantwortet zahlreiche Anfragen.Und meiner Beobachtung nach auch wirklich jede sinnvolle. Die müssen sich also erst einmal mit der Sache beschäftigen, mit dem Vorwurf, der Rechtslage, den Verantwortlichen, etc.
Wenn es komplex wird, werden die auch nicht alleine dran arbeiten, sondern das eventuell im Team oder an Vorgesetzte eskalieren.
Man sollte keine Erwartungen haben, wenn es um Antworten vom LDI geht. Sie kommen. Es dauert aber zwischen 14 Tagen und 14 Jahren

Es ist ausserdem so, dass die DSBs tatsächlich eine Beratungsfunktion haben - nicht nur für die im Unternehmen, sondern auch für von Außen anfragende Personen. Viele Unternehmen benutzen DSBs als Blitzableiter und Beschwerdestelle. Nicht selten wird von Unternehmen erwartet (oder sogar verlangt), dass die DSB die Datenschutzprobleme der Unternehmen lösen. Das müssen sie nicht und dafür sind sie nicht da.
Wenn DSBs keine weitergehenden Informationen mehr liefern können, dann hilft es nichts, wenn man mehrmals nachfragt. Irgendwann antworten die dann nicht mehr (wie in Deinem Beispiel).

Ansprechpartner ist dann die verantwortliche Stelle im Unternehmen, d.h. das Unternehmen und ihre gesetzliche Vertretung. Wenn die nicht reagiert, gehst Du zur Aufsichtsbehörde, die für das Unternehmen zuständig ist. Oder Du überspringst die ganze Kasperei mit den DSB und gehst gleich zu den Aufsichtsbehörden.

Naja, es gibt keine ausgeprägte „Beratungspflicht“ des DSB für Betroffene. In Art 38 Abs 4 steht ein Recht Betroffener, den DSB zu Rate zu ziehen. Das ist eine schwache Form und bedeutet keineswegs eine Pflicht - was man zB an der englischen Version sehen kann, dort steht ‚may contact‘.