Fragen und Antworten zur DGSVO

Im Verzeichnis der Verarbeitungstätigkeiten Punkt 6 (Löschfristen) wurde angegeben, dass Personendaten nach 10 Jahren und Sepa-Mandate nach 13 Monaten gelöscht werden sollten. Können Sie mir bitte mitteilen, wo man sich hierzu belesen kann?
Dies ist ein schwieriges Thema. Grundsätzlich sollten die Daten, die Sie nicht mehr benötigen gelöscht werden. Jedoch können Sie sich Einwilligungen einholen, die Ihnen durchaus längere (im Prinzip unendliche lange) Aufbewahrungsfristen erlaubt.
Zu berücksichtigen sind jedoch immer die gesetzlichen Aufbewahrungsfristen, die je nach Art der Daten und Art der Firma/Des Unternehmens sich wiederum unterscheiden. Da dies ein sehr komplexes Thema ist, sollten Sie sich hierzu eine Fachmann (Datenschutzbeauftragten) zu Hilfe nehmen.

 

Im DSGVO heißt es, „sind in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt“ ist ein Datenschutzbeauftragter gesetzlich erforderlich. Zählen hierzu auch die Lehrkräfte, die Anwesenheitslisten erhalten und diese nur ausgefüllt mit der Information "Unterricht erteilt", "erkrankt", etc.) wieder abgeben?
Es zählen nur die Personen, die hauptsächlich und ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (mehr als 50% der Beschäftigung). Somit zählen die Lehrkräfte nicht zu diesem Personenkreis. Andererseits lautet die Definition: Wenn auf den Anwesenheitslisten der Name, Telefonnummer, Geburtstag etc. drauf steht, dann muss man diese Lehrkräfte zu den 10 Personen dazuzählen. Und nachdem das wohl gemeinhin der Fall ist muss ein DSB benannt werden. Diese Frage ist also abschließend noch nicht geklärt.

 

Wenn das Kind das 16. Lebensjahr vollendet hat, muss das Kind eine Einwilligung zur Speicherung der Daten geben (Art. 8 DSGVO). Bedeutet dies, dass bei einer Anmeldung eines Kindes ab 16 zusätzlich auch die Einwilligung des Kindes eingeholt werden muss? Wie ist vorzugehen mit den Kindern, die z.B. mit 14 Jahren angemeldet wurden und dann das 16. Lebensjahr erreichen?
Bei Kindern bis 18 Jahren benötigen Sie nur die Einwilligung der Erziehungsberechtigten. Kinder ab 16 Jahren müssen die Einwilligung nur zu Diensten der Informationsgesellschaft (z.B. Facebook) geben.

 

Darf der Schulleiter auch gleichzeitig Datenschutzbeauftrager sein? Muss der Datenschutzbeauftrager bestimmte Prüfungen/Zertifikate, etc. nachweisen?
Im Prinzip ja. Allerdings hätte ein Schulleiter in der Funktion des Datenschutzbeauftragten einen Konflikt zur Schulleitung (Schulleitung möchte Personendaten sammeln und lange speichern, der Datenschutzbeauftragte sollte die Forderungen der DSGVO umsetzen). Der Datenschutzbeauftragte muss keine Prüfung oder Zertifikate nachweisen, sollte aber entsprechende Kenntnisse haben, auf die sich die Schulleitung verlassen kann. Hat der Datenschutzbeauftragte nicht die entsprechende Kenntnis und es kommt zu einer Verletzung des Datenschutzes, bleibt die Schulleitung in der Haftung.

 

Muss ich mir eine Einwilligung zur Veröffentlichung von Namen im Programmheft bzw. für die Presse separat erteilen lassen?
Ja, dies ist auf jeden Fall angebracht und notwendig, wenn es sich um Portraits oder Fotos mit wenigen Schülern handelt. Bei Veranstaltungen wird empfohlen darauf hinzuweisen, dass Fotos (z.B. für die Öffentlichkeitsarbeit der Musikschule) erstellt werden (auch wenn es sich um Fotos mit sehr vielen Teilnehmern handelt). Praktisch kann dies z.B. durch einen Aufsteller oder Aushang am Eingangsbereich durchgeführt werden. Vermerken Sie den Besuchern/Teilnehmern die Möglichkeit, dass Sie der Veröffentlichung Ihres Fotos widersprechen können.

 

Wir haben lt. Satzung eine einmalige (lebenslange) Anmeldegebühr. Wenn ich die Daten der Schülers wieder löschen muss, gehen mir die Informationen verloren, ob Schüler bereits irgendwann (und wenn es vor 30 Jahre war) angemeldet waren. Darf ich hierfür die Daten weiterhin speichern oder ist unsere Satzung nicht DSGVO-konform?
Lt. § 257 HGB bzw. 147 AO müssen alle buchungsrelevanten Daten für das laufende und die folgenden 10 Jahre aufbewahrt werden. Innerhalb dieser Zeit gibt es keine Probleme, danach im Prinzip schon. Man könnte bei der Anmeldung eine Quittung ausstellen und dann den/die Schülern/Schülerinnen mitteilen, dass gegen Nachweis dieser Quittung die Anmeldegebühr ein Leben lang nicht mehr gezahlt werden muss? (Eventuell könnte auch der erschwerte/gesperrte Zugang hier greifen)

 

Muss ich mit freien Mitarbeitern bzw. Honorarkräfte, die bei uns unterrichten, eine Vereinbarung zur Auftragsverarbeitung abschließen, da diese Lehrkräfte mit Personendaten in Verbindung kommen?
Egal ob Lehrkraft, Honorarkraft oder Ehrenamt – alle Personen die mit personenbezogenen Daten einer Institution in Verbindung kommen müssen diese Geheimhaltungs-Vereinbarung unterschreiben. Ob darüber hinaus eine Vereinbarung zur Auftragsdatenvereinbarung notwendig ist, ist noch nicht abschließend geklärt.

 

noch unbeantwortet:

Wie lange muss die Einwilligung für Presse/Internet aufbewahrt werden (da die Artikel praktisch nicht mehr löschbar sind)?

Dürfen Rechnungen/Anwesenheitsliste per Mail versendet werden?

Müssen die Schülerdaten so lange gespeichert werden, bis der Berichtsbogen abschließend vom Verband bearbeitet wurde und keine Änderungen/nachweise mehr erforderlich sind? Ebenso gibt es in verschiedenen Bundesländer Landesstatistiken, die nach über 10 Jahren noch nachweisbar sind. Wie kann ich den Nachweis liefern, wenn die Daten gelöscht wurden?

Programmhefte werden bei uns zur Führung eine Chronik aufbewahrt. In diesen Programmheften sind auch Schülernamen mit aufgelistet. Darf ich dann diese Programmhefte weiterhin aufbewahren? Wie sieht es aus, wenn ein Schüler die Löschung seiner Personendaten verlangt?

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok