DSGVO für Schulen, Teil 8: Datenschutz-Folgenabschätzung – DSFA

DSFA ja oder nein? Unterschiedliche Einschätzungen

Neu eingeführt mit der EU-DSGVO ist die Datenschutz-Folgenabschätzung (DSFA; Art 35 DSGVO). Früher im deutschen Datenschutzrecht die Vorabkontrolle. Dieser Name lässt das Prinzip der Datenschutz-Folgenabschätzung erahnen.

Die DSFA ist als Risikoprognose durchzuführen, wenn personenbezogene Daten verarbeitet werden müssen. Das ist laut Schulgesetz in jeder Schule gegeben, da Daten von Schülern erfasst werden müssen, also eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten gegeben ist. Bei der DSFA ist aber zu bewerten, welche Risiken und Folgen für die Rechte und Freiheiten der Betroffenen (Lehrer, Eltern, Schüler) entstehen können und ob durch technisch organisatorische Maßnahmen diese Risiken begrenzt werden können.

Dies kann in der Schule schon ein größeres Problem darstellen, da die technische Ausstattung in Schulen durchaus Defizite aufweist. Darüber hinaus ist damit auch die Verarbeitung der Schülerdaten im Rechenzentrum der Kommune zu bewerten. Sollte die DSFA ergeben, dass hohe Risiken bestehen und nur mit hohem Aufwand beseitigt werden können, dann muss die Verarbeitung unterbleiben. Das kann zum Beispiel bei Cloud-Diensten der Fall sein, wenn entsprechende Zertifizierungen nicht nachgewiesen werden können.

Eine DSFA ist nach Artikel 35 Absatz 3 DSGVO zwingend erforderlich, wenn Persönlichkeitsprofile erstellt werden, Gesundheitsdaten erfasst oder Daten von Kindern erfasst werden. Dies ist aus meiner Sicht in der Schule der Fall, da eine Schülerlaufbahn oder eine Schülerhandakte, aber auch (sinnvoller Weise) Gesundheitsdaten von Schülern erfasst werden. Wie bereits beschrieben, ist es hier zwingend erforderlich, einen Datenschutzbeauftragten hinzuzuziehen, der bei der korrekten Umsetzung der DSFA beraten kann.

Leider gibt es bisher kaum praxistaugliche Anwendungsszenarien für eine DSFA in Schulen. Die Datenschutzbehörden sollen praxistaugliche Kriterien veröffentlichen, wann eine DSFA durchzuführen ist (Artikel 35 DSGVO Absatz  4 ff).  Also sollten die Verantwortlichen auf entsprechende Veröffentlichungen achten.

Der theoretische Ablauf einer DSFA

  • Vorbereitungsphase: Ist eine Prüfung erforderlich?
  • Bewertungsphase: Welche Risiken (hoch, mittel, gering) bestehen bei der Datenverarbeitung? (um Beispiel Datenmissbrauch durch Dritte, Server zur Datenverarbeitung steht nicht in gesicherten Räumen)
  • Maßnahmenphase: Schutz der Betroffenen trotz Datenverarbeitung, zum Beispiel durch Hinweise oder kurzfristige Löschung von Daten
  • Berichtsphase mit Unterstützung durch den Datenschutzbeauftragten; Bewertung und Dokumentation.

Da entsprechende Regelungen bzw. Kriterienkataloge für Schulen fehlen beziehungsweise nur vage sind, ist es schwierig zu beurteilen, ob eine DSFA für alle Datenverarbeitungen in einer Schule geleistet werden muss. Das Kultusministerium in BW meint Ja, wenn Gesundheitsdaten verarbeitet werden (s. o.) oder Daten zur ethnischen Herkunft. Dazu holt sich die Schule – so der Hinweis – Rat bei ihrem Datenschutzbeauftragten.

Das Kultusministerium in NRW beschreibt dies unter dem Punkt Datenschutz-Folgeabschätzung:

„Der europäische Gesetzgeber hat die für die Datenverarbeitung Verantwortlichen verpflichtet, unter bestimmten Voraussetzungen eine DFA durchzuführen. Dabei handelt es sich um eine aufwändige, systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung sowie die Beschreibung und Beurteilung der Risiken und der Abhilfemaßnahmen zur Risikoeindämmung.

Nach den Regelbeispielen im Verordnungstext ist dies jedoch insbesondere bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (z.B. systematisches Profiling; Datenbanken über Kreditauskünfte).

Daher besteht für die auf Ebene der Einzelschule übliche Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke nach hiesiger Einschätzung keine Verpflichtung der Schulleitung, eine DFA durchzuführen.“

Quelle: https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-...)

Eine andere Sicht der Dinge. Grundsätzlich geht man beim MSW NRW bei vielen Rechtnormen der DSGVO davon aus, dass in Schulen schon bisher grundsätzlich datenschutzkonform gearbeitet wurde. Dem ist meiner Einschätzung nach aber nicht so.

 

Volker Jürgens, AixConcept

Grundsätzlich geht man beim Schulministerium NRW davon aus, dass schon bisher in Schulen datenschutzkonform gearbeitet wurde. Dem ist meiner Einschätzung nach aber nicht so.