Wann ist ein externer Datenschutzbeauftragter gesetzlich verpflichtend?

Gemäß § 38 BDSG und Art. 37 DSGVO müssen Organisationen in der Regel einen DSB benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder eine Datenschutz-Folgenabschätzung erforderlich ist.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten für einen externen DSB variieren je nach Unternehmensgröße und individuellem Risiko. Wir setzen auf transparente Monatspauschalen statt unübersichtlicher Stundensätze, um unseren Kunden volle Kalkulationssicherheit zu bieten.

Welche Vorteile bietet ein externer gegenüber einem internen DSB?

Externe DSB bieten maximale Flexibilität ohne gesetzlichen Sonderkündigungsschutz. Zudem entfallen Fortbildungskosten für eigenes Personal, und die Gefahr von internen Interessenkonflikten wird von vornherein vermieden.

Haftet ein externer Datenschutzbeauftragter für Fehler?

Ja, wir stehen für unsere Beratungsleistung gerade. Während interne DSB durch das Arbeitnehmerhaftungsprivileg geschützt sind, sichern wir unsere Kunden durch eine umfassende Berufshaftpflichtversicherung gegen fachliche Fehler im Innenverhältnis ab.

Wie läuft die Zusammenarbeit mit a.s.k. Datenschutz ab?

Wir starten mit einem Quick-Check Ihrer aktuellen Situation. Danach setzen wir notwendige Maßnahmen pragmatisch und schrittweise um – ohne unnötige Bürokratie, sondern mit Fokus auf die Sicherheit Ihres Betriebs.

ISMS in der Kommune: Warum die Schule NICHT in den Scope gehört

Der Datenschutz Dude im Bademantel vor dem Rathaus und Cipher vor der Schule markieren die Geltungsgrenze des ISMS-Scope.

by Sascha Kuhrau |

on März 10, 2026 |

at 09:05

Wenn die Kasse klingelt, aber das Hausrecht fehlt

Bayerische Kommunen kennen das Spielfeld gut. Auf der einen Seite das BayDiG (Art. 43), das seit seinem Inkrafttreten unmissverständlich sagt: Ein funktionierendes Informationssicherheitskonzept muss her. Auf der anderen Seite steht die örtliche Schule. Die Kommune zahlt als Sachaufwandsträger nicht nur für die Technik, gelegentlich wartet sie auch die Server und administriert die Switches. Man hat den Schlüssel zum Serverraum, man kennt jede IP-Adresse. Gefühlt ist das eine Einheit. Was liegt also näher, als die Schule einfach in den Geltungsbereich (Scope) des kommunalen ISMS aufzunehmen?

Gefühlt. Genau da liegt das Problem. Dieser Reflex führt in die Irre – rechtlich, methodisch und haftungstechnisch.

1. Die rechtliche Falle: Wer zahlt, schafft NICHT an

Im bayerischen Schulrecht ist die Rollenverteilung strikt:

Der Freistaat Bayern trägt den Personalaufwand (Lehrer sind Staatsbeamte, Dienstaufsicht liegt beim Ministerium).
Die Kommune trägt den Sachaufwand (wie Gebäude und IT-Infrastruktur).

Die Finanzierungsverantwortung begründet jedoch keine Weisungsbefugnis. Der Schulleiter untersteht nicht dem Bürgermeister. Wenn die Kommune die Schule in ihr ISMS presst, argumentiert sie am Gesetz vorbei. Das BayDiG verpflichtet öffentliche Stellen, die eigene Organisation abzusichern – nicht fremde Institutionen.

Der Datenschutz-Check:

Wer ist „Verantwortlicher“ im Sinne der DSGVO? Die Schule entscheidet über Zwecke und Mittel der Datenverarbeitung. Die Kommune stellt nur das Werkzeug bereit. Was im Datenschutz eine Auftragsverarbeitung (AVV) wäre, kann im ISMS nicht plötzlich zur eigenen Verantwortung werden.

2. ISMS-Methodik: Scope follows Control (nicht Budget!)

Ein ISMS (egal ob nach ISO 27001 oder IT-Grundschutz) umfasst nur das, was man tatsächlich steuern und anweisen kann.

Informationssicherheit ist kein reines IT-Thema

Hier liegt der größte Denkfehler: Die Kommune schraubt an der Firewall und denkt, die Sicherheit steht. Also ab damit ins ISMS. Und die Schule denkt: “Praktisch!” Aber Informationssicherheit umfasst auch die organisatorische und personelle Dimension:

Der Mensch klickt: Wenn eine Lehrkraft einen dubiosen Anhang öffnet, hat die Kommune keine Handhabe.
Keine Weisung: Die Gemeinde kann keine Pflichtschulungen für staatliches Lehrpersonal anordnen oder Nutzungsrichtlinien verbindlich durchsetzen.

Wer die Schule in seinen Scope aufnimmt, betreibt Scheinabsicherung. Im Schadensfall haftet die Kommune (und der Bürgermeister oder Landrat sogar schlimmstenfalls persönlich) für Versäumnisse in einem Bereich, den sie faktisch gar nicht kontrollieren konnte.

Der Datenschutz Dude steht an einer Straßenkreuzung, an der schwarz-gelbes Absperrband mit der Aufschrift „BELASTUNG“ und „HAFTUNGSRISIKO“ die Geltungsgrenze markiert. Im Hintergrund Rathaus und Schule.

Die Geltungsbereich-Falle: Wenn gut gemeinte ISMS-Überlappungen zu echten Haftungsrisiken werden.

3. Die Lösung: Saubere Trennung statt falscher Liebe

Trennung ist hier keine Kapitulation, sondern professionelles Risikomanagement. Die Kommune muss zwei Rollen strikt trennen:

Rolle: Sachaufwandsträger (Gesetzlich fixiert).
Rolle: IT-Dienstleister (Freiwillig und sinnvoll).

So funktioniert das Dienstleister-Modell:

Technische Trennung: Getrennte Netze, getrennte Systeme. Was nicht im kommunalen Netz hängt, gehört nicht in den kommunalen Informationsverbund. Und kann dort auch nicht zum Risiko werden.
Vertragliche Basis: Ein belastbarer Vertrag über den Leistungsumfang (Was macht die Kommune? Was macht die Schule?).
AVV nach Art. 28 DSGVO: Unverzichtbar, wenn personenbezogene Daten im Auftrag verarbeitet werden.

Im kommunalen ISMS taucht die Schule dann nur noch als Schnittstelle zu einer externen Partei auf – methodisch sauber und revisionskonform.

Agentin Ciphers Fazit: Klartext zur Lage

„Hört auf, Verantwortung zu simulieren, wo ihr keine Befugnisse habt. Ein ISMS-Scope ohne Durchgriffsrecht ist kein Sicherheitskonzept, sondern eine Haftungsfalle mit Ansage. Die Grenze eures ISMS ist die Schultür. Technisch trennen, vertraglich sauber regeln, fertig. Alles andere ist grob fahrlässiges Wunschdenken auf Kosten der kommunalen Haftung.“

Update 10.03.2026: Die “Schul-IT-Falle” – Warum Technikverantwortung kein ISMS ersetzt

Uns erreichte ein fachlicher Hinweis, der die Diskussion um den Geltungsbereich von Schulen in der kommunalen Informationssicherheit ergänzt. Darin wird angeführt, dass der Schulaufwandsträger (die Kommune) bereits über das Bayerische Schulfinanzierungsgesetz (BaySchFG) die Verantwortung für die IT-Administration, Wartung und Pflege trägt – und dafür sogar staatliche Zuschüsse erhält (Art. 3 & 5 BaySchFG).

Die Schlussfolgerung dieser Sichtweise: Wer die Technik administriert und das finanzielle Risiko trägt, sollte die Schule auch (zwingend) in sein ISMS aufnehmen.

Warum die „IT-Brille“ hier zu kurz greift

Obwohl die technische Zuständigkeit durch das BaySchFG klar geregelt ist, darf man hier nicht einer rein technischen Sichtweise erliegen. Wie wir bereits eingangs in unserem Beitrag aufgezeigt haben, löst dies das Grundproblem nicht:

Technik vs. Prozesse: Das BaySchFG regelt die Bereitstellung der Infrastruktur. Ein ISMS regelt jedoch Prozesse. Solange der kommunale ISB keine Weisungsbefugnis gegenüber der Schulleitung und den Lehrkräften hat, bleibt die organisatorische Sicherheit vor Ort eine unkontrollierbare „Blackbox“.
Normative Wahrheit: Man kann sich den Geltungsbereich nach BSI IT-Grundschutz oder ISO 27001 nicht einfach „hinbiegen“. Wer keine echte Steuerungshoheit über die pädagogische Organisation hat, kann diese auch nicht seriös in ein ISMS integrieren.

Die wohl einfachste Lösung: Die Kommune als IT-Dienstleister

Die zielführendste Konstruktion – auch aus Sicht der Normen – ist daher wohl die Rolle der Kommune als IT-Dienstleister der Schule.

In diesem Modell garantiert die Kommune als interner Dienstleister die Sicherheit der Plattform (Netz, Server, Clients). Die Schule hingegen bleibt als eigenständige Organisationseinheit (unter der Fachaufsicht des Freistaats) für ihre internen Abläufe und die inhaltliche Nutzung verantwortlich. Das bedeutet natürlich auch, die Schule muss sich intern um ein eigenes ISMS bemühen — analog zum Thema Datenschutz.

Fazit: Die Trennung ist kein bürokratisches Hindernis, sondern eine notwendige Leitplanke. Die Kommune liefert die sichere Technik – die Schule muss die organisatorische Sicherheit im Inneren selbst gewährleisten. Alles andere wäre ein ISMS-Kartenhaus, das bei jedem Audit in sich zusammenfällt.

Weiterführende Informationen & Downloads

Du möchtest tiefer in die Materie eintauchen oder die Argumentation schwarz auf weiß für deine nächste Sitzung mitnehmen? Hier findest du die detaillierte Analyse und die Zusammenfassung für die Entscheider:

Fach-Dossier: Die Geltungsbereich-Falle – Warum Schulen nicht ins kommunale ISMS gehören

Diese detaillierte Analyse beleuchtet die strukturellen Fehlannahmen bei der Einbindung von Schulen in das Informationssicherheitsmanagement (ISMS) bayerischer Kommunen. Auf Basis von Art. 43 BayDiG, dem bayerischen Erziehungs- und Unterrichtsgesetz (BayEUG) sowie den Standards ISO 27001 und IT-Grundschutz wird dargelegt, warum die Rolle des Sachaufwandsträgers keine Weisungsbefugnis begründet. Das Dokument liefert eine fundierte Argumentationshilfe für die saubere Trennung von Verantwortlichkeiten und stellt ein rechtssicheres Dienstleistermodell vor.

Version: 1.0

Published: 8. März 2026

Vollständige Analyse herunterladen (PDF)60 Downloads

60 Downloads

Management-Zusammenfassung: ISMS-Verantwortung an Schulen rechtssicher abgrenzen

Kompaktes Briefing für die Behördenleitung und Entscheidungsträger. Dieses Dokument fasst die wesentlichen Risiken einer fehlerhaften ISMS-Einbindung von Schulen zusammen und zeigt den Lösungsweg über ein Dienstleistermodell auf. Es dient als Entscheidungsvorlage, um die Haftung der Kommune und der Behördenleitung durch eine saubere strukturelle Trennung (Scope-Abgrenzung) zu minimieren.

Version: 1.0

Published: 8. März 2026

Management-Zusammenfassung herunterladen (PDF)43 Downloads

43 Downloads

Categories:

Behörde Schule Verwaltung

Tags:

BayDiG Art. 43 Geltungsbereich ISMS Informationssicherheitskonzept Schule it-sicherheit Sachaufwandsträger

4 Responses

Michael sagt:

9. März 2026 um 14:38 Uhr

Danke @Sascha Kuhrau für die Antwort.

Ich habe das Thema intern angesprochen und der Fachbereich verwies mich auf das Bayerische Schulfinanzierungsgesetz. Damit wäre wohl alles geklärt. Und somit stünde einer Aufnahme in den Geltungsbereich unseres ISMS nicht mehr im Wege, quasi Rechtsvorschrift. Wie seht ihr das?

Antworten
- Sascha Kuhrau sagt:
  
  10. März 2026 um 09:31 Uhr
  
  Ich finde es klasse, dass Du an dem Thema so dranbleibst und lösungsorientiert vorgehst. Der Einwand mit dem Schulfinanzierungsgesetz ist nicht ganz unberechtigt. Allerdings löst er nicht das Problem mit der einseitigen Sicht durch die IT-Brille. Wir haben das mal aufgegriffen und als Update in unseren Beitrag eingearbeitet. Vielleicht hilft Dir das weiter.
  
  Im Sinne Deiner ursprünglichen Frage zum Thema ISB für Kommune und Schule gleichzeitig: Dem steht weiterhin außer den Themen Zeitanteile und mögliche Interessenskonflikte nichts im Wege. Aber das impliziert nicht, dass die Schule in den Geltungsbereich der Schule schlüpft. Als gemeinsamer ISB könntest Du natürlich die Schule als zweiten Informationsverbund in Deinem ISMS Tool anlegen und pflegen. Aber jeder Verbund hat andere Ansprechpartner und andere Verantwortlichkeiten.
  
  Viel Erfolg bei der weiteren internen Diskussion
  
  Antworten
Michael sagt:

8. März 2026 um 11:08 Uhr

Vielen Dank. Das Thema kommt bei uns auch immer wieder auf.
Ich bin als interner ISB der Verwaltung benannt. Und soll jetzt auch die Schule als ISB mitbetreuen. Geht das denn überhaupt?
Schönes Wochenende, Micha

Antworten
- Sascha Kuhrau sagt:
  
  8. März 2026 um 12:04 Uhr
  
  Guten Morgen!
  Wenn die Zeitanteile es zulassen, kann man natürlich für mehrere Organisationen als ISB tätig sein. Das wäre aber meiner Meinung nach genau zu beobachten, ob die Zeitanteile da wirklich realistisch eingeschätzt sind. Es geht ja nicht darum, pro forma irgendwelche Funktionen zu vergeben.
  Kritischer würde ich es aber sehen, wenn eure Kommune umfassend IT-Services für die Schule erbringt. Da würde ich einen Interessenskonflikt annehmen, den ihr nicht auflösen könnt.
  LG Sascha
  
  Antworten