Auswirkungen der DSGVO auf den schulischen Alltag, Teil 5

Die Auftragsverarbeitung (AV) beziehungsweise Auftragsdatenverarbeitung (ADV)

Schulen müssen mit Dienstleistern einen Vertrag zur Auftrags(daten)verarbeitung schließen, falls diese Zugriff auf personenbezogene Daten haben. Die Schule bleibt aber verantwortlich für die Einhaltung des Datenschutzes.

Der weisungsgebundene Einsatz externer Dienstleister zur Verarbeitung personenbezogener Daten ist in Art 28 DSGVO geregelt.

Wenn Sie zum Beispiel eine Cloud-Plattfrom wie Office 365 von Microsoft nutzen, übertragen Sie Daten an den Dienstleister. Dies ist eine Übermittlung von Daten, die datenschutzrechtlich abgesichert sein muss. Dies kann über eine Einwilligung der betroffenen Person erfolgt  (Prinzip der Freiwilligkeit) oder eine gesetzliche Erlaubnisform sein. Des Weiteren muss ein AV-Vertrag mit dem Dienstleister abgeschlossen sein.

Software-as-a-Service-Angebote (elektronisches Klassenbuch) oder generell Cloud-Dienste und auch die Wartung durch den IT-Support über den Remote-Zugriff, wenn der Zugriff auf personenbezogene Daten möglich sein kann, sind als Auftragsverarbeitung zu behandeln. Bei vielen Schulen ist dies definitiv der Fall, also greift Art 28 DSGVO. Beim Dienstleister ist  also sicherzustellen, dass das Schutzniveau der Verarbeitung personenbezogener Daten genau so hoch ist wie in der Schule.

Die Verantwortung für den Datenschutz liegt beim Schulleiter

Dazu schließt man einen Vertrag – AV-Vertrag genannt. Anbieter wie Microsoft, aber auch andere IT-Dienstleister bieten solche  Verträge an. Eine Empfehlung ist hier, sich einmal genau mit dem Artikel 28 der DSGVO auseinanderzusetzen. Wichtig zu erwähnen bleibt, dass der Auftraggeber voll in der Haftung bleibt, also muss der Dienstleiter sorgsam ausgewählt sein. Zertifizierte Dienstleister bieten sicherlich ein erhöhtes Schutzniveau, da sie zum Beispiel alle Arbeitsabläufe entsprechend dokumentiert haben oder selber bereits überprüft worden sind (Zertifikate wie ISO 27001).

Stehen die Server im Geltungsbereich der EU DSGVO?

Eine Frage in diesem Zusammenhang könnte sein, ob der Dienstleister geeignete technische und organisatorische Maßnahmen (TOMs) zur Datensicherheit nachweisen kann (dazu später mehr). Auch gilt es zu beachten, ob die Server zur Datenverarbeitung in Europa (Geltungsbereich der EU-DSGVO) oder in einem Drittland stehen (zum Beispiel in den USA). Weiterhin muss der Dienstleister alle Unternehmen benennen können, die ebenfalls auf die Daten im Rechenzentrum zugreifen könnten. Die Subunternehmen müssen das gleiche Sicherheitsniveau bieten können wie der Hauptauftragnehmer.

Als Verantwortlicher ist es ratsam, den Dienstleister regelmäßig ob seiner datenschutzrechtlichen Seriosität zu überprüfen. Große Anbieter informieren von sich aus regelmäßig ihre Kunden und stellen alle erforderlichen Dokumente zur Verfügung.

Exkurs: Viele Schulen können das geforderte Schutzniveau, das seriöse Anbieter leisten, nicht ansatzweise darstellen/abbilden, da es an finanziellen Mitteln oder räumlichen Gegebenheiten fehlt,  um etwa geeignete technische und organisatorische Maßnahmen ergreifen zu können – von Schulungen des Personals, die auch verpflichtend sind, einmal abgesehen.

Artikel empfehlen

Was sagt Wikipedia?

Streng genommen muss der Datenschutz-Verantwortliche die Dienstleister regelmäßig auf ihre datenschutzrechtliche Seriosität hin überprüfen. Das ist natürlich schwierig, wenn der Dienstleister gar nicht in Deutschland oder sogar außerhalb von Europa residiert.