© Pixabay CC0 Creative Commons
Auswirkungen der DSGVO auf den schulischen Alltag, Teil 3

Das Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Übersicht über die Verarbeitung personenbezogener Daten an der Schule und verschafft der zuständigen Aufsichtsbehörde einen Überblick über das Datenschutz-Niveau der Schule.

Nach Art 30 der DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Das bedeutet: Jede Schule muss ein schriftliches oder elektronisches Verzeichnis alles Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Das gilt auch für den Einsatz von Cloud-Plattformen, da hier zwar an anderer Stelle die Datenverarbeitung durchgeführt wird, aber Auftragsdatenverarbeitung vorliegt. Die Verantwortung für diese Verzeichnisse liegt – man ahnt es – bei der Schulleitung, auch wenn die Aufgaben zur Führung der Verzeichnisse delegiert werden können.

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Übersicht über die Datenverarbeitung an der Schule und schafft damit einen Überblick für die zuständige Aufsichtsbehörde über das Datenschutz-Niveau der Schule. Dieses Verzeichnis muss auf Verlangen der Aufsichtsbehörde vorgelegt werden.

Grundsätzlich ist es natürlich wichtig, dass mit diesem Verzeichnis alle relevanten Daten zur Verarbeitung personenbezogener Daten erfasst werden. Wichtig zum einen für die Schule, um zu prüfen, ob die Datenverarbeitung zulässig ist, aber auch, um die Informationspflichten und Auskunftsrechte der betroffenen Personen wahren zu können. Art 30 DSGVO beschreibt, wie das Verzeichnis aufzubauen ist.

Verarbeitungstätigkeiten lt. Art 30 DSGVO fallen in der Schule zum Beispiel bei Neuaufnahme von Schülern an. Zu jeder Verarbeitungstätigkeit sind die in Art 30 DSGVO beschriebenen Angaben zu machen.

Beispiel:

  • Name und Kontaktdaten der Schule und des Verantwortlichen in der Schule und des Datenschutzbeauftragten (DSB)
  • zu welchem Zweck werden die Daten verarbeitet
  • welche Kategorien werden verarbeitet (Name, Geburtsdatum, Anschrift …)
  • welche Personenkreise sind betroffen (Schüler, Eltern, Lehrer …)
  • mit wem werden Daten innerhalb und außerhalb der Schule geteilt
  • wer hat Zugriff auf die Daten in der Schule (Akten wie digitalisierte Daten)
  • welche Software wird zur Datenerfassung und- verwaltung eingesetzt
  • wie lange werden die Daten gespeichert (Fristen sind in der Schule vorgegeben inklusive der Löschfristen)
  • Speicherort der Daten
  • Liste der externen Dienstleister
  • wie sehen die technisch organisatorischen Maßnahmen aus (Datensicherung, Zutrittskontrolle etc., dazu später mehr).

Die Informationen zur Erstellung der entsprechenden Verzeichnisse sind in der Schule von den zuständigen Personen einzuholen (zum Beispiel dem Netzwerkbetreuer). Wie bereits Eingangs erwähnt, ist die Schulleitung für die Erstellung der Verzeichnisse zuständig, da sie für die Einhaltung der datenschutzrechtlichen Vorgaben die Verantwortung trägt.  

© AixConcept Volker Jürgens

Volker Jürgens

Da kommt eine Menge Arbeit auf die völlig unvorbereiteten Schulen zu: Die systematische Erstellung der einzelnen Verzeichnisse in der Schule betrifft ja nicht nur die Schülerdaten, sondern zum Beispiel auch die Unterlagen von Lehrern, die sich an der Schule bewerben.