DSGVO für Schulen, Teil 9: Die Umsetzung

Der letzte Teil des Praxisleitfadens behandelt die Umsetzung der DSGVO in Schulen

Die Verantwortlichen müssen den Datenschutz aktiv managen: Das betrifft Abläufe und Dokumentation, das Verzeichnis der Verarbeitungstätigkeiten, Datenschutzfolgenabschätzung und Auskunftsansprüche, Auftrags(daten)verarbeitung, technische Ausstattung und Schulungen.

Die Verantwortlichen in der Schule sollten nichts mehr dem Zufall überlassen und den Datenschutz aktiv managen. So ist es auch in der DSGVO gefordert. Die Rechenschaftspflicht verlangt, den Nachweis führen zu können, dass Vorgaben der DSGVO eingehalten werden (Artikel 5 Absatz 2 und Artikel 24 Absatz 1). Es gilt Abläufe zu schaffen, die es erlauben, die DSGVO einzuhalten und gleichzeitig die festgelegten Abläufe zu dokumentieren (Nachweispflicht). Eine Möglichkeit wäre es, alle Dokumentationen und Maßnahmen zum Datenschutzrecht in einem Handbuch zum Datenschutz zusammenzufassen, in dem die Aktivitäten zum Datenschutz beschrieben sind. Ohne Nachweis droht Ärger.

Als Organisation ist die Schule auf die Anforderungen der DSGVO einzustellen und es sind Verantwortlichkeiten zu schaffen, in welchen Fällen zum Beispiel ein Datenschutzbeauftragter bei Fragen zur DSGVO einbezogen werden muss. Gibt es Schulungen zum Umgang mit der DSGVO in der Schule?

Die wichtigsten Fragen im Überblick

Zentral zu erfüllende Fragestellungen aus der DSGVO sind bereits angesprochen worden und werden hier noch einmal kurz zusammengefasst (Dokumentationspflicht):

Ein zentraler Bestandteil einer datenschutzgerechten Aufarbeitung der DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten: Wie und womit werden personenbezogene Daten verarbeitet? Ist die Verarbeitung zulässig? Gibt es entsprechende Rechtsvorschriften oder ein Schulgesetz dazu? Werden Betroffenenrechte gewahrt?

Nach meinem Verständnis ist eine Datenschutzfolgenabschätzung (DSFA) durchzuführen, da Schulen mit sehr sensiblen Daten arbeiten: Kinder und Jugendliche, die einem sehr starken Schutz unterliegen, medizinische Daten (Erkrankungen) etc. Die Kultusministerien der Bundesländer sehen dies unterschiedlich, da der Artikel 35 DSGVO einigen Interpretationsspielraum zulässt.

Zu den Informationspflichten, die erfüllt werden müssen, ist es auch wichtig zu regeln, wie mit den Auskunftsansprüchen und den Betroffenenrechten umzugehen ist (Artikel 12 bis 21 DSGVO). Einwilligungen (etwa für die Nutzung von Cloud-Diensten, Auftragsdatenverarbeitung) müssen wirksam eingeholt werden und auch deutliche Hinweise auf das Widerspruchsrecht gegeben werden.

Bei der Auftrags(daten)verarbeitung ist es wichtig, die absolute Zuverlässigkeit des Dienstleisters sicherzustellen und dies auch regelmäßig zu überprüfen.

Die technisch-organisatorischen Maßnahmen (Datensicherheit zum Schutz personenbezogener Daten) mit ihrer Rechenschaftspflicht sind ebenfalls zu dokumentieren und in regelmäßigen Abständen zu überprüfen.

Die technische Ausstattung sollte  bei vertretbarem Aufwand dem „Stand der Technik“ entsprechen. Die Software-Aktualisierung (neben Betriebssystemen auch die Schulsoftware etc.) gehört genauso dazu wie ein Datensicherungskonzept.

Datenpannen (Diebstahl, Missbrauch) sind umgehend zu melden (innerhalb von 72 Stunden) und Abläufe zu hinterlegen, was bei einer Datenpanne zu tun ist.

Laut DSGVO sind weiterhin regelmäßig Schulungen durchzuführen, damit das Kollegium sowie die Verwaltungsmitarbeiter im Datenschutz geschult und sensibilisiert sind. Ein mächtiger Aufwand für die Verantwortlichen in der Schule aber nicht zu vernachlässigen.

In diesem Zusammenhang sei auch  noch einmal darauf hingewiesen, dass die Nutzung privater E-Mail-Adressen ein absolutes NO-GO ist. Unverständlich ist in diesem Zusammenhang, dass bisher die Nutzung von Dienst-Mail-Adressen an Schulen nicht verpflichtend ist.    

Volker Jürgens, AixConcept

Die Nutzung privater E-Mail-Adressen in der Schule ist ein absolutes NO-GO! Es ist mir schleierhaft, warum bisher Dienst-Mail-Adressen an Schulen nicht verpflichtend sind.

Volker Jürgens