Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union in Kraft. Das Ziel der neuen Bestimmungen ist es, trotz zunehmender Technisierung und Globalisierung den Datenschutz sicher zu gestalten. Jeder, der mit persönlichen Daten zu tun hat, ist davon betroffen. Das sind neben Firmen, Vereinen und Privatpersonen auch Einrichtungen öffentlicher Bereiche wie Universitäten und Schulen. Aus den neuen Verordnungen und Gesetzen ergeben sich im Umgang mit persönlichen Daten einige Pflichten. Der folgende Überblick beinhaltet die aus unserer Sicht wichtigsten Punkte für Schulen. Wir weisen ausdrücklich darauf hin, dass wir nicht den Anspruch auf Vollständigkeit erheben.
Grundsätze und Aufgaben für Schulen
Art. 5 DSGVO: Grundsätze
Bei der Verarbeitung personenbezogener Daten hat jede Schule folgende Grundsätze einzuhalten:
- Rechtmäßigkeit: Personenbezogene Daten müssen auf rechtmäßige Weise und für die betroffene Person nachvollziehbaren Weise gespeichert werden. Für die Schule ist zu prüfen, ob die Daten überhaupt gespeichert werden dürfen. Dies ist entweder mit protokollierter Einwilligung oder auf Basis eines Gesetzes (z. B. BayEUG) möglich.
- Zweckmäßigkeit: Die Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen nicht für andere Zwecke verwendet werden.
- Datenminimierung: Es dürfen nur die Daten erhoben werden, die für den Zweck notwendig sind.
- Richtigkeit: Die gespeicherten Daten müssen aktuell und korrekt sein.
- Speicherbegrenzung: Persönliche Daten dürfenin einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
- Integrität: Die Sicherheit der personenbezogenen Daten muss gewährleistet werden. Beispielsweise sind unbefugte Verarbeitung oder Verlust zu verhindern. Hierfür spielen die IT-Sicherheit, Verschlüsselungen und professionelle Backups eine wichtige Rolle.
- Rechenschaftspflicht: Der Verantwortliche (z. B. die Schule) ist für die Einhaltung verantwortlich und muss die Einhaltung nachweisen können.
Art. 12-15 DSGVO: Informations- und Auskunftspflicht
Die Schule ist verpflichtet, betroffene Personen (Schüler und Eltern) über die Verarbeitung personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren. Dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.
Art. 37 DSGVO: Benennung eines Datenschutzbeauftragten
Alle Schulen müssen einen Datenschutzbeauftragten benennen, auch dann, wenn mehrere Schulen einen gemeinsamen Datenschutzbeauftragten haben (z. B. bei Grund- und Mittelschulen). Das Amt des Datenschutzbeauftragten kann entweder intern ein Lehrer aus dem Kollegium oder ein externer Dienstleister übernehmen. Der Datenschutzbeauftragte hat eine Beratungs- und Überwachungsfunktion inne und ist von den Schulleitern für die Umsetzung der gesetzlichen Vorgaben hinzuzuziehen. Zudem ist er an die zuständige Aufsichtsbehörde zu melden. Für Bayern z. B. hier: https://www.datenschutz-bayern.de/service/bdsb.html
Art. 24 DSGVO: Einsatz technischer und organisatorischer Maßnahmen & Art. 32 DSGVO: Sicherheit der Verarbeitung
Die Schulen haben geeignete technische und organisatorische Maßnahmen zu erbringen, damit die Verarbeitung personenbezogener Daten DSGVO-konform abläuft. Die Maßnahmen müssen im Verzeichnis für Verarbeitungstätigkeiten enthalten sein und umfassen unter anderem Folgendes:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten; veröffentlicht (z. B. Sprechstunden) oder erhebt (z. B. Kontaktformular) eine Schule beispielsweise personenbezogene Daten auf ihrer Website, muss die Seite mit einer HTTPS-Verschlüsselung abgesichert sein. Zudem ist in der Datenschutzerklärung zu erläutern, was mit den Daten geschieht.
- Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; hier helfen skalierbare Serversysteme in einem professionellen Rechenzentrum.
- Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; regelmäßige Backups aller Datenbestände sind von Vorteil.
- Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Regelungen von Verantwortlichkeiten und Prozessen sind dabei hilfreich.
Art. 30 DSGVO: Verzeichnis von Verarbeitungstätigkeiten
Die Schule muss ein Verzeichnis über sämtliche ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten führen. Das Verfahrensverzeichnis enthält unter anderem die gespeicherten Daten, rechtliche Grundlagen, Zugriffsrechte sowie Fristen bezüglich der Löschung von Daten. Zu dokumentieren sind sämtliche Verfahren, die personenbezogene Daten verarbeiten. Hierunter fallen auch von einzelnen Lehrern verwendete Tools und Software-Lösungen. In diesen Fällen sind ebenfalls technisch organisatorische Maßnahmen zu treffen und schriftlich festzuhalten. Unser Tipp: Verwenden Sie besser standardisierte und sichere Software und verzichten möglichst auf Einzellösungen. Jedes Verfahren muss durch den zuständigen Datenschutzbeauftragten freigegeben werden.
Art. 28 Abs. 3 DSGVO: Auftragsverarbeiter
Falls Daten außerhalb der Schule gespeichert werden, muss mit den Dienstleistern (z. B. DieSchulApp, Office365, Cloud-Dienste, E-Mail Provider,…) ein eigener Vertrag geschlossen werden. Die Verträge bereiten in der Regel die Anbieter vor. Außerdem gibt es kostenlose Vorlagen vom Landesamt für Datenschutz der einzelnen Länder. Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen zu treffen, damit die Datenverarbeitung DSGVO-konform durchgeführt wird.
Zusätzlich zur DSGVO können die einzelnen EU-Länder eigene Datenschutz-Regelungen festlegen. In Deutschland gibt es deshalb noch ein neues Bundesdatenschutzgesetz (BDSG) sowie Länderdatenschutzgesetze, welche speziell für öffentliche Bereiche Anwendung finden. In Bayern ist das beispielsweise das BayDSG-neu. Für jedes Bundesland gelten somit andere Bestimmungen, die es zu beachten gilt.
Weitere Informationen finden Sie unter:
https://it.kultus-bw.de/,Lde/Startseite/IT-Sicherheit/Datenschutz+an+Schulen
https://www.datenschutz-bayern.de/verwaltung/20081009_freigabe-musterablaufplan.pdf