Inhalt

9. Freigabe eines automatisierten Verfahrens
(insbesondere zu Art. 26 und 28 BayDSG und § 2 DSchV)

Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, bedarf der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle (Art. 26 Abs. 1 Satz 1 BayDSG). Eine datenschutzrechtliche Freigabe nach Satz 1 ist nicht erforderlich für Verfahren, welche durch den Vorstand der Anstalt für Kommunale Datenverarbeitung in Bayern bereits datenschutzrechtlich freigegeben worden sind, soweit diese Verfahren unverändert übernommen werden; das gleiche gilt bei öffentlichen Stellen des Freistaates Bayern für Verfahren, welche durch das fachlich zuständige Staatsministerium oder die von ihm ermächtigte öffentliche Stelle für den landesweiten Einsatz datenschutzrechtlich freigegeben worden sind (Art. 26 Abs. 1 Satz 2 BayDSG). Für wesentliche Änderungen von Verfahren gelten die Sätze 1 und 2 entsprechend (Art. 26 Abs. 1 Satz 3 BayDSG).
Eine datenschutzrechtliche Freigabe gemäß Art. 26 BayDSG ist dann entbehrlich,
wenn das automatisierte Verfahren, das an der Schule zum Einsatz kommen soll, der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG entspricht.
Eine Freigabe ist nach § 2 der Datenschutzverordnung auch nicht erforderlich
für automatisierte Verfahren, die dem internen Verwaltungsablauf dienen, wie Registraturverfahren, ausschließlich der Erstellung von Texten dienende Verfahren, Termin- und Fristenkalender, Kommunikationsverzeichnisse und Anschriftenverzeichnisse für die Versendung an die Betroffenen, Zimmer-, Inventar- und Softwareverzeichnisse und
für automatisierte Verfahren, die ausschließlich Zwecken der Datensicherung und Datenschutzkontrolle dienen.
Damit ist es beispielsweise möglich, für die Organisation eines Schuljubiläums eine Adressendatei der einzuladenden Gäste zu führen.
An den Schulen, an denen Datenschutzbeauftragte bestellt sind, können diese weitere automatisierte Verfahren freigeben (dies gilt entsprechend für die Datenschutzbeauftragten an den Schulämtern) – dabei sind die Vorgaben des Bayerischen Staatsministeriums für Unterricht und Kultus – z.B. in einschlägigen Schreiben – zu beachten. Das Vorgehen bei einer datenschutzrechtlichen Freigabe ist in Art. 26 Abs. 3 BayDSG beschrieben. Sie ist insbesondere rechtzeitig vor dem Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens in die Wege zu leiten (d.h. im Planungsstadium bzw. vor Beginn der Programmierungs- bzw. Anpassungsarbeiten). Zur Freigabe erforderliche Änderungen des Verfahrens können auf diese Weise noch mit geringem Aufwand berücksichtigt werden.
Die zu einer datenschutzrechtlichen Freigabe erforderlichen Angaben können Art. 26 Abs. 2 BayDSG entnommen werden. Bei Verfahren zur Verarbeitung von Personaldaten ist § 1 Abs. 2 der Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV zu beachten. Zudem empfiehlt es sich generell, bereits im Planungsstadium entsprechend den einschlägigen Bestimmungen des Bayerischen Personalvertretungsgesetzes den örtlichen Personalrat zu beteiligen.
Vor erfolgter Freigabe dürfen automatisierte Verfahren nicht mit Echtdaten
– auch nicht versuchsweise – betrieben werden.
Bei wesentlichen Änderungen des Verfahrens (z.B. Datensatzerweiterungen, weitere regelmäßige Datenübermittlungen) ist erneut eine Freigabe erforderlich.