-----
In einer Bildungseinrichtung müssen täglich personenbezogene Daten verarbeitet und gespeichert werden, um ein reibungsloses Funktionieren des Schulbetriebs sicherzustellen. Das Recht auf Informationelle Selbstbestimmung des Einzelnen ist ein Grundrecht und schützt alle mit einer Person verbundenen Daten. Das bedeutet: Jede Art der Verarbeitung von personenbezogenen Daten in der Schule fällt unter die DSGVO / BDSG nF. (Bundesdatenschutzgesetz, neue Fassung von 2018).
Das Datenschutzrecht stellt Regeln auf, nach denen personenbezogene Daten verarbeitet werden dürfen, wie damit umgegangen wird und welche Möglichkeit der Kontrolle über die Daten die betroffenen Personen (Schüler, Eltern, Lehrer) erhalten. Die IT-Sicherheit ist ein Teilaspekt davon und wird in einem späteren Artikel behandelt.
Was sind personenbezogene Daten?
Der Begriff "personenbezogene Daten" umfasst im Rahmen der DSGVO Namen, Fotos, Post- und E-Mail-Adressen, Telefonnummern, KFZ-Zeichen, Identnummern aus der Schulverwaltungs-Software und IP-Adressen, also alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Er trifft folglich auf fast alle erfassten Daten in der Schulverwaltung zu.
"Das bedeutet für die Schulen, dass die Erhebung und Verarbeitung der personenbezogener Daten nur unter Beachtung der DSGVO erfolgen darf", erklärt Volker Jürgens, Experte für Schul-IT und Geschäftsführer von AixConcept. "Somit trifft der Artikel 5 Absatz 1 der DSGVO zum Thema 'Datenverarbeitung' zu und muss beachtet werden."
Grundsätze der Datenverarbeitung
Als Grundsätze der Datenverarbeitung und somit verbindliche Vorgaben definiert sind:
- Rechtmäßigkeit der Datenverarbeitung (ist gegeben)
- Treu und Glauben der Datenverarbeitung (muss für die betroffenen Personen nachvollziehbar sein)
- Transparenz der Datenverarbeitung (fairer Umgang mit Daten und Klarheit der Verarbeitung)
- Zweckbindung der Datenverarbeitung (Erhebung nur für eindeutige und legitime Zwecke, ist in der Schule gegeben)
- Datenminimierung (keine Verarbeitung erfasster Daten zu anderen als den für Schule relevanten Zwecken)
- Speicherbegrenzung (die Speicherdauer schon bei Erhebung festlegen)
- Richtigkeit (Daten müssen sachlich richtig sein, sonst löschen oder berichtigen)
- Integrität und Vertraulichkeit (Sicherheit und Vertraulichkeit müssen gewährleistet sein)
- IT-Sicherheit (TOM = technisch-organisatorische Maßnahmen)
Weiterführende Links:
- Leitfaden "Die DSGVO im Bildungssektor": https://aka.ms/DSGVO-DE