Die Schulleitung ist aus der Verantwortung, wenn der Schulträger sich um den Datenschutz kümmert? Falsch. Und auch der oder die Datenschutzbeauftragte einer Schule garantiert nicht unbedingt den Datenschutz. Diese Mythen rund um den Datenschutz an Schulen hat Gastautor und Datenschutzexperte Ingo Goblirsch bereits im ersten Teil seines Beitrags entzaubert. In diesem Teil geht es weiteren drei falschen Annahmen an den Kragen.
4. Mythos: Eine Software ist datenschutzkonform – oder eben nicht
Die Wahrheit: Häufig treffen Dienstleister Aussagen wie „Unsere Cloud-Lösung ist datenschutzkonform“ oder „Wir sind DSGVO-zertifiziert“. Dabei muss man wissen: Ein System kann nicht per se als datenschutzkonform gelten, erst das Wie ist entscheidend: Wie die Daten verarbeitet werden, das ist datenschutzkonform – oder eben nicht. Es geht um das eigentliche „Doing“, nicht um eine Software.
Bevor echte Daten fließen, prüft man, ob beispielsweise eine Vereinbarung zur Auftragsverarbeitung mit dem Dienstleister vorhanden ist. Und diese Vereinbarung zur Auftragsverarbeitung legt schwarz auf weiß fest, dass der Dienstleister seine Pflichten nach Artikel 28 DSGVO erfüllen muss. Auch die diesen Pflichten entsprechenden technisch-organisatorischen Maßnahmen müssen angemessen in Bezug auf die geplante Datenverarbeitung sein. Es ist nun mal ein Unterschied, ob eine Schule einen substituierenden Digitalunterricht macht zum Präsenzunterricht – oder ob die Schule mit derselben IT-Lösung Gesundheitsdaten verarbeitet innerhalb von sozialpädagogischen oder schulpädagogischen Gutachten und diese an den Schulträger oder andere Dritte weiterleitet. Je nach Verarbeitung gibt es verschiedene technisch-organisatorische Maßnahmen, die in einer unterschiedlichen Ausprägung vorhanden sein müssen. Sie möchten in Sachen Datenschutz auf der sicheren Seite sein?
5. Mythos: Der Schulbetrieb hat Vorrang – der Datenschutz lässt sich nebenbei erledigen
Die Wahrheit: Die Umsetzung der EU-Datenschutz-Grundverordnung sollte für jede Schule ein Projekt darstellen, das vorbereitet wird, das einen Startpunkt hat, in das verschiedene Leute eingebunden sind, die dann gemeinsam mit dem Schulleiter und dem Datenschutzbeauftragten erstmal festhalten, welche Verarbeitungen es überhaupt an einer Schule gibt. Das Ganze wird dann in einem sogenannten Verzeichnis von Verarbeitungstätigkeit festgehalten. Beispielsweise: Personendatenverwaltung des Kollegiums, Vertretungspläne, Personendatenverwaltung von Schülerinnen und Schülern, Laufbahndokumentation oder Erfüllung des pädagogischen Auftrags, Dokumentationserfüllung des pädagogischen Auftrags, natürlich auch das Lernmanagementsystem, das eingesetzt wird, die Webseite als Verarbeitungstätigkeit, die Ausbildung von Referendarinnen und Referendaren, bis hin zu Klassenausflügen, für die Teilnehmerlisten angelegt werden.
Nachfolgend muss geprüft werden, gibt es eine Rechtsgrundlage der Verarbeitung, zu welchem Zweck verarbeiten wir die Daten, die Daten welcher Personen werden verarbeitet und wie lange verarbeiten wir die Datensätze, haben wir die Informationspflichten umgesetzt, auf Basis welcher technischer oder organisatorischer Maßnahmen werden diese Daten verarbeitet. Die Zeit muss sich eine Schule nehmen. Es gibt für Versäumnisse keinerlei Entschuldigung oder Härtefälle. Auch die Nutzung von Landesportalen nimmt die einzelne Schule nicht aus der Verantwortung.
6. Mythos: Lehrerinnen und Lehrer als schulische Datenschutzbeauftragte können unabhängig und qualifiziert die Schulleitung beraten
Die Wahrheit: Lehrerinnen und Lehrer sind an der Stelle häufig hoffnungslos überfordert. Und diese Überforderung zeigt sich insbesondere dadurch, dass Lehrerinnen und Lehrer, die als Datenschutzbeauftragte tätig sind, jegliche neue Datenverarbeitung, die eingeführt werden soll, per se ablehnen. Dahinter steckt der Gedanke: „Wenn man „Nein“ zu allem sagt, dann ist man auf jeden Fall auf der sicheren Seite.“
Vielmehr hilfreich ist es in jedem Fall, mit einem kompetenten Dienstleister zusammenzuarbeiten. Ein seriöser Anbieter betrachtet das Thema Datenschutz nicht nur bei seinen eigenen Verarbeitungstätigkeiten, sondern auch bei seinen angebotenen Lösungen ganzheitlich und stellt auch den Schulen alle Risiken und Vorteile einer Verarbeitung transparent dar. Jede Verarbeitungstätigkeit, ob auf Basis proprietärer Software oder Open Source ist mit Risiken verbunden. Reine Versprechen, das ist alles sauber und hundert Prozent datenschutzkonform hilft an dieser Stelle nicht weiter und sollte die Schulleitung dazu veranlassen, kritischer auf die Sache zu schauen. Das ist eine sogenannte „Red Flag“. Anbieter, die Risiken klar benennen, die fachlich kompetentes Personal haben und auch schon vor Beginn der Verarbeitung im Rahmen des Ausschreibungsprozesses bei datenschutzrechtlichen Themen unterstützend zur Seite stehen, sind aus meiner Sicht immer die besten Partner, die man sich aussuchen kann. Wenn darüber hinaus noch von dem Anbieter Vorlagen bereitgestellt werden, beispielsweise um Informationspflichten angemessen zu erfüllen oder Einwilligungen einzuholen beziehungsweise ein Muster für eine Datenschutz-Folgenabschätzung bereitstellen, ist hier aus meiner Sicht ein hoher Reifegrad des Dienstleisters erkennbar.
Hier geht es zum ersten Teil des Beitrags.
Sie möchten in Sachen Datenschutz auf der sicheren Seite sein? Wir unterstützen Schulen dabei, Office 365 datenschutzkonform zu nutzen.
In der Corona-Krise haben viele Schulen schnell handeln müssen und dabei nicht immer alle Datenschutz-Vorgaben beachten können. Um perspektivisch mit den so entstandenen Lösungen arbeiten zu können – und nicht absehbar die bisher geleistete Arbeit komplett aufgeben zu müssen–, gibt es das Verwaltungsnetzwerk von AixConcept, das mit Blick auf die Erfordernisse des Datenschutzes konfiguriert ist.
Auch bei den Aufgaben, die sich Schulen darüber hinaus beim Datenschutz stellen – Einverständniserklärungen von Eltern einholen zum Beispiel – hilft AixConcept: etwa mit elektronischen Vorlagen, die automatisch aus einem einmal angelegten Verteiler versendet und digital unterschrieben vom System gesammelt und ausgewertet werden. Und was passiert, wenn Eltern die Zustimmung verweigern? Selbst dafür gibt es dann Lösungen – die Anonymisierung von Schülerinnen- und Schülerdaten etwa.
Erfahren Sie mehr unter https://aixconcept.de/loesungen/ und vereinbaren Sie noch heute einen Beratungstermin! Sie erreichen uns per Mail vertrieb@aixconcept.de oder gerne auch telefonisch +49 (2402) 389 4110