Von Datenverarbeitung bis technischer Datenschutz

Die DSGVO und ihre Auswirkungen auf den schulischen Alltag

| Autor / Redakteur: Volker Jürgens* / Elke Witmer-Goßner

Das Ziel der DSGVO ist, die Rechte der betroffenen Personen zu stärken und ihnen die Hoheit über ihre Daten zu geben. Die Artikel 12 bis 22 der DSGVO beschreiben diese Rechte, angefangen mit dem Grundsatz der Transparenz und weiteren Bestimmungen, die diesen Grundsatz stützen. Die Schulgesetze der Länder werden im Hinblick auf die DSGVO überarbeitet und entsprechende Klarstellungen zur Anwendung der DSGVO veröffentlicht. Für Schulen gelten vor allem die Grundsätze Informationspflicht (Artikel 13), Auskunftsrecht (Artikel 15), Recht auf Berichtigen (Artikel 16), Recht auf Löschen von Daten (Artikel 17), Recht auf Einschränkung der Verarbeitung (Artikel 18), Datenübertragung (Artikel 20) und Widerspruchsrecht (Artikel 21).

Die betroffenen Personen müssen also nicht nur über die Erhebung ihrer Daten informiert werden, sondern haben darüber hinaus ein Recht zu erfahren, wie ihre Daten verarbeitet werden. Und sie haben ein Recht auf Berichtigung und sogar auf Löschung ihrer Daten, wenn kein gesetzlicher Grund für die weitere Verarbeitung oder Speicherung gegeben ist. Und sie können verlangen, dass ihnen die Daten in einem nutzbaren Format übertragen werden.

Cloud-Dienste, SaaS und Analytics

Zu den Informationspflichten gehören die Auskunftsrechte der betroffenen Personen, die bei der Nutzung von Cloud-Plattformen und von Software-as-a-Service in besonderem Maße zu beachten sind. Erläuternde Texte dazu müssen einfach und verständlich formuliert sein. Anträge von Betroffenen auf Löschen, Berichtigen, Auskunft usw. müssen unverzüglich, in jedem Fall aber innerhalb eines Monats beantwortet werden. Außerdem müssen Schulen überprüfen, ob ihre Website DSGVO-konform ist. Wird eine Analyse-Software wie Google Analytics eingesetzt, muss der Grund der Nutzung genannt und ein Hinweis veröffentlicht werden, wie Besucher der Erhebung ihrer Daten widersprechen können. Werden Daten über Kontaktformulare erhoben, bedarf es eines Hinweises auf die Datenschutzerklärung. Diese muss detailliert offenlegen, wo und zu welchem Zweck Daten erhoben werden, wie sie verarbeitet, wie lange und wo sie gespeichert und wann sie gelöscht werden. Und sie muss eine Kontaktmöglichkeit zum Datenschutzbeauftragten beinhalten.

Die DSGVO hat für Schulen umfangreiche Informations- und Dokumentationspflichten zur Folge. Der Ausbau der IT-Infrastruktur in der Schule sowie der Einsatz cloud-basierter Technologien machen es erforderlich, die Rechte der Nutzer von Beginn an den Vorschriften der DSGVO anzupassen und verwaltungstechnisch umzusetzen. Das bedeutet eine weitere Belastung der Verwaltungsabläufe in den Schulen. Technische und organisatorische Maßnahmen (TOM) sollen zudem vor unbefugter und unrechtmäßiger Verarbeitung personenbezogener Daten schützen. Schulen müssen auch hier sicherstellen, dass Produkte und Dienste ebenso wie Cloud-Services nach den Anforderungen der DSGVO datenschutzkonform sind. Oft sind jedoch die räumlichen und technischen Voraussetzungen in den Schulen dafür gar nicht gegeben.

Dauerbaustelle Technik

Nach Artikel 25 der DSGVO ist unter Berücksichtigung des Stands der Technik sicherzustellen, dass die Integrität und Vertraulichkeit personenbezogener Daten gewahrt ist (Datenschutz durch Technikoptimierung). Technische und organisatorische Maßnahmen sollen vor unbefugter und unrechtmäßiger Verarbeitung schützen. Schulen müssen daher den Zugriff auf Server mit personenbezogenen Daten streng reglementieren und eine elektronische Zugangskontrolle einrichten, damit unbefugte Personen nicht zugreifen können. Die Technik muss so gestaltet sein, dass der Datenschutz gewährleistet ist, ebenso Produkte und Dienste, die in der Verwaltung der Schule, in der Organisation und im Unterricht eingesetzt werden. Die Schule muss gängige Produkte der Datenverarbeitung in der Schulverwaltung sowie mögliche Auftragsdatenverarbeiter (Cloud-Dienste) überprüfen, ob sie die Anforderungen des Datenschutzes erfüllen und nur die Daten erfassen, die für ihre Zwecke erforderlich sind.

Nach Artikel 32 der DSGVO orientiert sich das Sicherheitsniveau am konkreten Schutzbedarf der Daten. Dieser ist in Schulen hoch, weil Daten von Minderjährigen verarbeitet werden. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten muss ein dem Risiko angemessenes Schutzniveau geschaffen werden. Da die DSGVO trotz allem auch Spielraum zur Interpretation bietet, empfiehlt sich ein standfestes IT-Sicherheitskonzept zu erstellen, das auch Backup-Pläne enthält, damit ausgefallene Systeme schnell wieder einsatzbereit sind. Grundsätzlich müssen alle Beschäftigten einer Schule über die Vertraulichkeit von Daten unterrichtet und regelmäßig unterwiesen werden.

Einige Maßnahmen können im Schulalltag nicht umgesetzt werden, weil räumliche wie technische Strukturen den Anforderungen der DSGVO nicht entsprechen. Nicht einmal die Zugangskontrolle zur schulischen IT über eine Benutzerkennung ist in allen Schulen implementiert. Noch kritischer wird es, wenn man weitere Aspekte der TOM betrachtet: Zugriffs- und Eingabekontrolle für IT-Systeme; Berechtigungskonzept für den Zugriff auf Daten; Einsatz verschlüsselter USB-Sticks zur Kontrolle der Weitergabe von Daten; sichere VPN-Verbindungen; eingesetzte Verwaltungssoftware; Fehlerkontrollen und Backup-Konzept (Verfügbarkeitskontrolle), damit Daten vor Zerstörung und Verlust geschützt sind; Verschlüsselung der internen und externen Datensicherung, im Extremfall in verschiedenen Brandabschnitten; Auftragskontrolle, ob Dienstleister personenbezogene Daten gemäß DSGVO behandeln und vernichten – in vielen Schulen gar nicht oder nur rudimentär umgesetzt.

Vorabkontrolle 2.0

Die Datenschutz-Folgenabschätzung (DSFA) entspricht der früheren „Vorabkontrolle“ des deutschen Datenschutzrechts und wird im Artikel 35 der DSGVO beschrieben. Die DSFA ist als Risikoprognose durchzuführen, wenn personenbezogene Daten verarbeitet werden. Die rechtliche Grundlage für die Verarbeitung personenbezogener Daten ist das Schulgesetz, nach dem jede Schule die Daten ihrer Schüler erfasst. Die Folgenabschätzung muss bewerten, welche Risiken und Folgen für die Rechte und Freiheiten der betroffenen Lehrer, Eltern und Schüler entstehen, und ob sie durch technisch-organisatorische Maßnahmen begrenzt werden können. Dies kann in Schulen problematisch werden, wenn die technische Ausstattung Defizite aufweist. Darüber hinaus muss auch die Verarbeitung der Daten in den Rechenzentren der Kommunen bewertet werden. Sollte die DSFA ergeben, dass die Risiken zu hoch sind, um mit vertretbarem Aufwand beseitigt werden zu können, müsste die Verarbeitung unterbleiben. Das ist möglicherweise bei Cloud-Diensten der Fall, wenn der Dienstleister keine Zertifizierung nachweist.

Eine DSFA ist zwingend erforderlich, wenn Persönlichkeitsprofile erstellt oder Gesundheitsdaten oder Daten von Kindern erfasst werden. Dies trifft auf Schulen zu, da sie gewöhnlich die Laufbahnen der Schüler und auch deren Gesundheitsdaten in Handakten erfassen. Theoretisch durchläuft die DSFA vier Phasen: In der Vorbereitungsphase wird festgestellt, ob eine Prüfung erforderlich ist. Die Bewertung beurteilt die Risiken (hoch, mittel, gering) bei der Datenverarbeitung, etwa Datenmissbrauch durch Dritte oder ein Server zur Datenverarbeitung in unsicheren Räumen. In der dritten Phase werden Maßnahmen definiert, etwa der Schutz der Betroffenen trotz der Datenverarbeitung, zum Beispiel durch Hinweise oder die kurzfristige Löschung von Daten. Als letztes folgen der Bericht mit Unterstützung durch den Datenschutzberater (DSB), die Bewertung und die Dokumentation.

Die Regelungen beziehungsweise Kriterienkataloge für Schulen sagen nicht eindeutig aus, ob eine DSFA für Datenverarbeitungen durchgeführt werden muss. Das Kultusministerium in Baden-Württemberg behauptet, die Schule müsse eine DSFA vorweisen, wenn Gesundheitsdaten oder Daten zu ethischer Herkunft verarbeitet würden. Das Kultusministerium in NRW interpretiert die Regelung so, dass eine Datenschutz-Folgeabschätzung nur bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen sei, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, also etwa systematisches Profiling oder Datenbanken über Kreditauskünfte, und ür die auf Ebene der Einzelschule übliche Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke keine Verpflichtung, eine DSFA durchzuführen.

Ergänzendes zum Thema
 
Die zentralen Fragestellungen der DSGVO im Überblick

Pflicht zum aktiven Datenschutz

Die DSGVO fordert, dass die Verantwortlichen in den Schulen den Datenschutz aktiv managen. Sie sind zur Rechenschaft verpflichtet und müssen die Einhaltung der Vorgaben nachweisen (Artikel 5 Absatz 2 und Artikel 24 Absatz 1), entsprechende Abläufe einrichten und dokumentieren (Nachweispflicht) – zum Beispiel, indem alle Maßnahmen und Aktivitäten in einem Datenschutz-Handbuch zusammengefasst werden. Als Organisation stellt sich die Schule auf die Anforderungen der DSGVO ein und definiert Verantwortlichkeiten, etwa wann ein Datenschutzbeauftragter einbezogen wird und welche Schulungen in der Schule angeboten werden.

Volker Jürgens, Geschäftsführer AixConcept GmbH.
Volker Jürgens, Geschäftsführer AixConcept GmbH. (Bild: © Sandra Kreutzer – Fotomobiel.de/AixConcept)

Dringend möchte ich noch einmal darauf hinweisen, dass private E-Mail-Adressen in Schulen absoluter Unfug sind. Es gibt keinen vernünftigen Grund dafür, Schul-Bedienstete nicht zu verpflichten, eine dienstliche Mail-Adresse zu nutzen.

* Der Autor Volker Jürgens ist Geschäftsführer der Aachener AixConcept GmbH. Der Microsoft-Partner mit Gold-Status hat sich auf Schul-IT spezialisiert und liefert schlüsselfertige IT-Lösungen für Bildungseinrichtungen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45493457 / Compliance und Datenschutz )