DSGVO für Schulen, Teil 1: Datenverarbeitung

AixConcept klärt auf, welche Auswirkungen die DSGVO auf den schulischen Alltag hat – Ein Praxisleitfaden

AixConcept analysiert die am 25. Mai inkrafttretende Datenschutzgrundverordnung DSGVO und ihre konkreten Auswirkungen auf den schulischen Alltag. Der erste Beitrag des Dienstleisters und Beraters für Schul-IT beleuchtet die Datenverarbeitung. Weitere Aspekte sind der Zugriff auf und die Nutzung von Daten (Datenverwaltung), die Dokumentation der Prozesse und Protokollierung von Verstößen (Reporting) und der organisatorische und technische Datenschutz.

In einer Bildungseinrichtung müssen täglich personenbezogene Daten verarbeitet und gespeichert werden, um ein reibungsloses Funktionieren des Schulbetriebs sicherzustellen. Das Recht auf Informationelle Selbstbestimmung des Einzelnen ist ein Grundrecht und schützt alle mit einer Person verbundenen Daten. Das bedeutet: Jede Art der Verarbeitung von personenbezogenen Daten in der Schule fällt unter die DSGVO / BDSG nF. (Bundesdatenschutzgesetz, neue Fassung von 2018).

Das Datenschutzrecht stellt Regeln auf, nach denen personenbezogene Daten verarbeitet werden dürfen, wie damit umgegangen wird und welche Möglichkeit der Kontrolle über die Daten die betroffenen Personen (Schüler, Eltern, Lehrer) erhalten. Die IT-Sicherheit ist ein Teilaspekt davon und wird in einem späteren Artikel behandelt.

Was sind personenbezogene Daten?

Der Begriff “personenbezogene Daten” umfasst im Rahmen der DSGVO Namen, Fotos, Post- und E-Mail-Adressen, Telefonnummern, KFZ-Zeichen, Identnummern aus der Schulverwaltungs-Software und IP-Adressen, also alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Er trifft folglich auf fast alle erfassten Daten in der Schulverwaltung zu.

“Das bedeutet für die Schulen, dass die Erhebung und Verarbeitung der personenbezogener Daten nur unter Beachtung der DSGVO erfolgen darf”, erklärt Volker Jürgens, Experte für Schul-IT und Geschäftsführer von AixConcept. “Somit trifft der Artikel 5 Absatz 1 der DSGVO zum Thema ‘Datenverarbeitung’ zu und muss beachtet werden.”

Grundsätze der Datenverarbeitung

Als Grundsätze der Datenverarbeitung und somit verbindliche Vorgaben definiert sind:

  • Rechtmäßigkeit der Datenverarbeitung (ist gegeben)
  • Treu und Glauben der Datenverarbeitung (muss für die betroffenen Personen nachvollziehbar sein)
  • Transparenz der Datenverarbeitung (fairer Umgang mit Daten und Klarheit der Verarbeitung)
  • Zweckbindung der Datenverarbeitung (Erhebung nur für eindeutige und legitime Zwecke, ist in der Schule gegeben)
  • Datenminimierung (keine Verarbeitung erfasster Daten zu anderen als den für Schule relevanten Zwecken)
  • Speicherbegrenzung (die Speicherdauer schon bei Erhebung festlegen)
    + Richtigkeit (Daten müssen sachlich richtig sein, sonst löschen oder berichtigen)
  • Integrität und Vertraulichkeit (Sicherheit und Vertraulichkeit müssen gewährleistet sein)
  • IT-Sicherheit (TOM = technisch-organisatorische Maßnahmen)

Schulen müssen die Verarbeitung personenbezogener Daten so organisieren, dass die angeführten Prinzipien eingehalten werden und dies nachgewiesen werden kann (Rechenschaftspflicht). In der Praxis bedeutet das, ein Verfahrensverzeichnis zu erstellen, in dem die Erfassung, Speicherung und Löschung aller Daten beschrieben wird. Das Microsoft Trust-Center hat einen kostenlosen Leitfaden für Bildungseinrichtungen entwickelt, der beschreibt, wie Schulen die neue Datenschutz-Grundverordnung Schritt für Schritt umsetzen können.

Weiterführende Links:

DSGVO für Schulen, Teil 1: Datenverarbeitung
Besuchen Sie AixConcept auf der Didacta 2018!
MEHR ERFAHREN
Didacta 2018