Auswirkungen der DSGVO auf den schulischen Alltag, Teil 7

Datensicherheit – Technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOM) sollen vor unbefugter und unrechtmäßiger Verarbeitung personenbezogener Daten schützen. Schulen müssen sicherstellen, dass Produkte und Dienste ebenso wie Cloud-Services nach den Anforderungen der DSGVO datenschutzkonform sind.

Nach Art 25 DSGVO ist unter Berücksichtigung des Stands der Technik sicherzustellen, dass die Integrität und Vertraulichkeit von personenbezogenen Daten gewahrt ist (Datenschutz durch Technikoptimierung). D. h., es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, die den Schutz vor unbefugter und unrechtmäßiger Verarbeitung verhindern. Für eine Schule bedeutet dies, dass der Zugriff auf Server mit personenbezogenen Daten streng reglementiert sein muss. Unbefugte Personen dürfen keinen Zugriff auf den Server haben (z. B. eine elektronische Zugangs- oder Zugriffskontrolle gewährleisten).

Demzufolge muss die Technikgestaltung datenschutzfreundlich sein, ebenso weitere Produkte und Dienste, die in der Verwaltung der Schule oder in der gesamten Schule eingesetzt werden. Hier sind die gängigen Produkte der Datenverarbeitung in der Schulverwaltung ob ihrer Eignung zur Datenverarbeitung zu prüfen, dazu mögliche Auftragsdatenverarbeiter (Clouddienste). Daneben spielt auch der Aspekt der Datenminimierung eine Rolle, denn Daten, die nicht erfasst wurden, können auch  nicht missbraucht werden.

Nach Art 32 DSGVO orientiert sich das Sicherheitsniveau am konkreten Schutzbedarf der Daten. Dieser ist m. M. nach in Schulen sehr hoch, da hier in der Regel Daten von schutzbedürftigen Minderjährigen verarbeitet werden. Es gilt hier unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein dem Risiko angemessenes Schutzniveau zu schaffen. Ebenso ist zu beachten, wie hoch das Risiko ist, dass bei Missbrauch der Daten für die betroffene Person eintreten kann.

Die Vorgaben der DSGVO bieten diesbezüglich einen etwas größeren Interpretationsspielraum. Zu empfehlen ist aber, ein Sicherheitskonzept für die IT zu erstellen, dass z. B. Backup-Konzepte enthält, damit ausgefallene System schnell wieder einsatzbereit sind. Grundsätzlich ist jedoch auch zu beachten, dass alle Beschäftigten einer Schule über die Vertraulichkeit von Daten unterrichtet werden. Dazu dienen auch regelmäßige Unterweisungen.

Bitte beachten Sie, dass auch Auftragsdatenverarbeiter (Cloud-Dienste) Sicherheitsmaßnahmen vorweisen müssen. Die großen Dienste sollten über entsprechende Unterlagen verfügen, zumindest belegen bei einigen Anbietern die entsprechenden Zertifikate dies. Alle Maßnahmen sind zu dokumentieren, damit sie nachprüfbar sind.

Einige Maßnahmen werden schwierig im Schulalltag umzusetzen sein, da räumliche wie technische Strukturen unzureichend sind! Hier wird mit Sicherheit in der nahen Zukunft nachgebessert werden müssen, um den Anforderungen der DSGVO entsprechen zu können. Andere Maßnahmen hingegen sind vielleicht schon implementiert, da der Zugang zur schulischen IT bereits über eine Benutzerkennung erfolgt. Ein erster Punkt zum Thema Zugangskontrolle.

Weitere Aspekte der TOM (nicht abschließend, auch nicht die Schulform betrachtend): Verfügt die Schule über eine Zugriffs- und Eingabekontrolle auf die IT-Systeme (leisten entsprechende IT-Lösungen für Schulen). Gibt es ein Berechtigungskonzept für den Zugriff auf Daten? Wer hat Zugriff auf die Berechtigungsstruktur? Wie sieht es mit der Nutzung von USB-Sticks aus (Notenlisten)? Sind diese verschlüsselt (Weitergabekontrolle von Daten)? Gibt es einen Zugriff von außen auf Daten in der Schule (sichere VPN-Verbinding)?

Welche Software wird in der Verwaltung der Schule eingesetzt (bereits öfter angesprochen)? Ist nachvollziehbar, wer welche Eingaben gemacht hat (zur Fehlerkontrolle etc.)? Gibt es ein Backup-Konzept - die sogenannte Verfügbarkeitskontrolle, die den Schutz der Daten gegen Zerstörung und Verlust gewährleistet. Gibt es eine interne und externe verschlüsselte Datensicherung hierzu, im Extremfall in verschiedenen Brandabschnitten? Auch das Thema Aktenvernichtung muss bedacht werden, weil Dienstleister durchaus sensible Daten einsehen können. Hier greift die Auftragskontrolle, die gewährleistet, dass Dienstleister die Daten gemäß DSGVO behandeln.

Volker Jürgens, AixConcept

Einige Maßnahmen der DSGVO werden schwierig im Schulalltag umzusetzen sein, da räumliche wie technische Strukturen unzureichend sind!

Volker Jürgens