|   Blog   |

Die digitale Schule

DSGVO in der Schule: Was muss beachtet werden?

Die Datenschutzgrundverordnung, kurz DSGVO, ist offiziell seit dem 25.05.2018 in Kraft und dient dem Schutz aller personenbezogenen Daten. Diese Verordnung gilt natürlich auch für Schulen – aber was genau bedeutet das? Alles zur DSGVO in Schulen wird hier im Sdui-Blog vorgestellt.

Inhaltsverzeichnis:

1. Definition: DSGVO – Datenschutzgrundverordnung

Die Datenschutzgrundverordnung besteht aus insgesamt 99 Artikeln – hier mal der offizielle Wortlaut des ersten Artikels.

“Artikel 1 DSGVO Gegenstand und Ziele: (1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. (3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch Verboten werden.”

Die darauffolgenden 98 Artikel beschreiben haargenau wie und wann ein Unternehmen oder eine Organisation personenbezogene Daten von Kunden bzw. Interessenten speichern, verwenden bzw. umgehend löschen muss. In ganz einfachen Worten dient die DSGVO also zum Schutz unserer digitalen Daten, die eindeutig einer Person zugewiesen werden können, sogenannte personenbezogene Daten. 

Unter die Kategorie “personenbezogene Daten” fallen mehr als man im ersten Moment denkt. Informationen wie Name, Geschlecht, Adresse, E-Mail und Telefonnummer komme in diesem Zusammenhang direkt in den Sinn. Aber auch weniger offensichtliche Informationen fallen unter die DSGVO wie z.B. Geburtsort, Kleidergröße und – besonders wichtig für Schulen – auch Schul- und Arbeitszeugnisse.

2. Die 7 Grundsätze der DSGVO

Einer der zentralen Artikel der aktuellen Datenschutzgrundverordnung ist Art.5 – Grundsätze für die Verarbeitung personenbezogener Daten. Hier werden die 7 fundamentalen Prinzipien klargestellt, wie eine Organisation mit personenbezogenen Daten umzugehen hat. Im Folgenden werden diese 7 Grundsätze vorgestellt und kurz erläutert.

  • „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“: Bevor eine Organisation personenbezogene Daten, in welcher Form auch immer verwenden oder speichern darf, muss aktiv die Zustimmung dazu gegeben werden. Zusätzlich müssen alle Informationen zur Verarbeitung von personenbezogenen Daten klar verfasst und auch leicht zugänglich sein.
  • „Zweckbindung“: Personenbezogene Daten dürfen nur für die rechtmäßig zugestimmten Zwecke erhoben bzw. verarbeitet werden. Jegliche Weiterverarbeitung ohne Zustimmung ist nicht gestattet.
  • „Datenminimierung“: Die Erhebung von personenbezogenen Daten muss auf das wirklich notwendige Maß beschränkt und reduziert werden.
  • „Richtigkeit“: Alle rechtmäßig erhobenen personenbezogenen Daten müssen sachlich richtig und auf dem, soweit zugänglich, neuesten Stand sein. Entsprechend gesammelte Daten, die dem Zweck ihrer Verarbeitung nach unrichtig sind, müssen gelöscht oder aber berichtigt werden.
  • „Speicherbegrenzung“: Personenbezogene Daten müssen in einer bestimmten Form gespeichert werden, die eine direkte Identifizierung von bestimmten Personen nur ermöglicht, wie es für die zugestimmte Zweckbindung erforderlich ist.
  • „Integrität und Vertraulichkeit“: Für personenbezogene Daten muss jederzeit eine angemessene Sicherheit durch sowohl technische als auch organisatorische Maßnahmen gewährleistet werden. Das beinhaltet den „Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
  • „Rechenschaftspflicht“: Die verantwortliche Instanz in der Organisation muss die Einhaltung jederzeit nachweisen können und kann bei Missachtung zur Rechenschaft gezogen werden.

3. Was muss in Schulen gemacht werden in Sachen DSGVO?

Die Datenschutzgrundverordnung hat mit der offiziellen Erlassung im Jahr 2018 nicht nur in der Wirtschaft einiges auf den Kopf gestellt und viele Unternehmen in eine Notsituation gebracht. Auch alle öffentlichen Stellen – somit auch Schulen –  fallen unter die Datenschutzgrundverordnung und müssen alle entsprechenden Maßnahmen einleiten. Welche Schritte konkret eingeleitet werden müssen ist, abhängig von den bestehenden Umständen in den Schulen, individuell zu betrachten. Die fünf häufigsten Schritte, die Schulen durchlaufen müssen hin zur datenschutzkonformen Schule werden hier vorgestellt.

3.1 Benennung eines verantwortlichen Datenschutzbeauftragten

Im Artikel 37 der Datenschutzgrundverordnung wird klar formuliert, dass jede Behörde und auch öffentliche Stelle ausnahmslos einen Datenschutzbeauftragten bestimmen muss. Daraus folgt dann natürlich, dass auch jede öffentliche Schule in Deutschland einen Datenschutzbeauftragten bestimmen muss. Im Schulsektor gibt es einige zusätzliche Richtlinien und Sonderfälle, an die sich eine Schule halten muss bei der Bestimmung des Datenschutzbeauftragten.

So darf der Datenschutzbeauftragte zum Beispiel nicht nur direkt fachlich geeignet sein, sondern darf kein Mitglied der Schulleitung oder ein IT-Administrator der Schule sein. Lehrkräfte mit entsprechender Qualifikation und ohne Funktion in der Schulleitung sind zugelassen, als Datenschutzbeauftragter zu fungieren. Wie auch in der öffentlichen Wirtschaft müssen die Kontaktdaten des Datenschutzverantwortlichen einer Schule veröffentlicht werden und zusätzlich an die verantwortliche Aufsichtsbehörde des Bundeslandes geleitet werden.

Öffentliche Schulen haben außerdem die Möglichkeit gemeinsam einen verantwortlichen Datenschutzbeauftragten zu benennen, der somit diese Rolle gleichzeitig für mehrere Schulen einnimmt. Wichtig dabei ist, dass jede Schulleitung diesem Beauftragten des Datenschutzes explizit zustimmt. Ausnahmen basierend auf der Größe der Schule oder der Anzahl an Lehrkräften gibt es derzeit in der Datenschutzgrundverordnung nicht.

3.2 Verzeichnis zu welchen Zwecken personenbezogene Daten verarbeitet werden

Jede Schule in Deutschland ist laut der Datenschutzgrundverordnung verpflichtet, eine schriftliche Liste zu führen, in der genau festgehalten wird, mit welchen personenbezogenen Daten die Schule arbeitet und vor allem zu welchem Zweck sie gespeichert bzw. verarbeitet werden. Dieses sogenannte Verzeichnis von Verarbeitungstätigkeiten (VVS) dient als Nachweis, dass die Schule sich an die Bestimmung der DSGVO hält. Dieses Verzeichnis kann auch elektronisch geführt werden und muss der verantwortlichen Aufsichtsbehörde bei Anweisung vorgezeigt werden.

3.3 Informationspflicht der Schulen

Sobald eine Schule personenbezogene Daten erhebt, die direkt von der entsprechenden Person stammen ist sie dazu verpflichtet die Betroffenen bzw. im Fall von minderjährigen Schülern auch die entsprechenden Verantwortungspersonen über die datenschutzrechtlichen Bestimmungen zu informieren. Das ist zum Beispiel bei der Aufnahme einer Schülerin oder eines Schülers in die Schule der Fall.

Entsprechende Vorlagen werden meist vom Bundesland zur Verfügung gestellt. Zur Auswahl stehen häufig Listen, die abhängig der Schulform alles enthält und noch individualisiert bzw. an die Gegebenheiten der Schule angepasst werden.

3.4 Datenverarbeitung durch externe Dritte

Sobald eine dritte Partei mit personenbezogenen Daten aus der Schule in Kontakt kommt, weiterverarbeitet oder auch einfach speichert, muss ein Vertrag zur Auftragsverarbeitung (AV) abgeschlossen werden. Dieser Vertrag wird dann zwischen dem Verantwortlichen der Schule und dem Auftragsverarbeiter geschlossen. Artikel 28 der Datenschutzgrundverordnung befasst sich explizit mit dem Thema der Auftragsverarbeitung und listet die Mindestinhalte eines solchen Vertrages auf.

Wichtig ist sich als Schule im Klaren zu sein, dass wirklich jede Weitergabe der Daten an Dritte unter diese Pflicht fällt. Verbreitete Beispiele, die in diesem Zusammenhang genannt werden sind unter anderem:

  • Die Inanspruchnahme von jeglichen externen Servern oder Cloud-Diensten zur Datenspeicherung. Auch Dienste die von übergeordneten Instanzen, wie dem Schulträger, zur Verfügung gestellt werden.
  • Jegliche Wartungsdienstleistungen von bestehenden IT-Systemen, die in Verbindung zu personenbezogenen Daten stehen.
  • Auch die nicht digitale Datenverarbeitung muss durch einen Vertrag zur Auftragsverarbeitung geschützt werden. Als Beispiel ist hier die Beauftragung eines externen Unternehmens zur Entsorgung von Akten oder anderen Datenträgern zu nennen.

3.5 Datenschutzverletzung

Es ist klar: Niemand wünscht sich eine Datenschutzverletzung! Aber falls es aus irgendeinem Grund doch mal dazu kommen sollte, ist es umso wichtiger zu wissen, wie man danach weiter vorgehen muss. Auch hier definiert die DSGVO im Artikel 4 unter Punkt 12 genau wann eine Verletzung des Schutzes personenbezogener Daten vorliegt: „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Ganz einfach heruntergebrochen: Sobald personenbezogene Daten unrechtmäßig verändert oder Unbefugten zugänglich gemacht worden sind, liegt eine Datenschutzverletzung vor.

Grundsätzlich muss jede Datenschutzverletzung unverzüglich bzw. binnen 72 Stunden an die verantwortliche Aufsichtsbehörde gemeldet werden. Bei Verletzungen, die nur ein geringes Risiko auf die Rechte und Freiheiten der natürlichen Personen haben kann eine Ausnahme der Meldepflicht in Anspruch genommen werden. Diese Ausnahme sollte aber wirklich nur nach einer tiefgehenden Analyse der Datenpanne beansprucht werden.

4. Fazit: DSGVO in Schulen

Die Datenschutzgrundverordnung hat für Unternehmen und Organisationen viele Veränderungen mit sich gebracht. Häufig wird sie auch negativ betrachtet, da unter Umständen viel Arbeit in den Datenschutz gesteckt werden muss. Diese Arbeit dient aber auch einem der wichtigsten Aspekte in der digitalen Welt – dem wirklichen Schutz unserer persönlichen Daten.

Die vier wichtigsten Aussagen dieser Seite hier nochmal kurz auf einen Punkt:

  • Die DSGVO schützt alle personenbezogenen Daten einer natürlichen Person.
  • Artikel 5 der DSGVO umfasst die zentralen Prinzipien und Grundsätze des Umgangs mit personenbezogenen Daten von natürlichen Personen.
  • Auch Schulen müssen sich an die DSGVO halten und haben sogar noch zusätzliche Auflagen, die sie zu erfüllen haben.
  • Datenschutz darf nie auf die leichte Schulter genommen werden und dient dem Schutz aller.

Quellen: