-----
Nach Artikel 30 der DSGVO müssen Schulen ein Verzeichnis der Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Das bedeutet, jede Schule muss schriftlich oder elektronisch ein Verzeichnis darüber führen, welche personenbezogenen Daten wann, wo und wie erfasst, gespeichert und verarbeitet werden. Auch wenn die Datenverarbeitung selbst an anderer Stelle stattfindet - etwa, wenn die Schule eine Cloud-Plattform nutzt - liegt Auftragsdatenverarbeitung vor. Die Schulleitung hat die Verantwortung, kann aber die Aufgabe, das Verzeichnis zu führen, delegieren.
Verarbeitungstätigkeiten an der Schule
Das Verzeichnis der Verarbeitungstätigkeiten ist eine Übersicht über die Prozesse der Datenverarbeitung an der Schule und verschafft der zuständigen Aufsichtsbehörde einen Überblick über das Datenschutz-Niveau der Schule. Das Verzeichnis muss der Aufsichtsbehörde auf Verlangen vorgelegt werden.
Grundsätzlich müssen in diesem Verzeichnis alle relevanten Daten zur Verarbeitung personenbezogener Daten erfasst werden. Damit kann die Schule prüfen, ob die Datenverarbeitung überhaupt zulässig ist. Andererseits versetzt es sie in die Lage, ihrer Informationspflicht nachzukommen und die Auskunftsrechte der betroffenen Personen wahren zu können. Verarbeitungstätigkeiten fallen etwa bei der Neuaufnahme von Schülern an.
"Da kommt eine Menge Arbeit auf die völlig unvorbereiteten Schulen zu", weiß Schul-IT-Experte Volker Jürgens. "Die systematische Erstellung der einzelnen Verzeichnisse in der Schule betrifft ja nicht nur die Schülerdaten, sondern zum Beispiel auch die Unterlagen von Lehrern, die sich an der Schule bewerben."
Welche Daten erfasst werden
Artikel 30 DSGVO beschreibt, wie das Verzeichnis aufzubauen ist und welche Angaben zu jeder Verarbeitungstätigkeit zu machen sind. Das sind zum Beispiel der Name und die Kontaktdaten der Schule und des Verantwortlichen in der Schule sowie des Datenschutz-Beauftragten, der Zweck der Verarbeitung der Daten, die Daten-Kategorien (Name, Geburtsdatum, Anschrift) und betroffenen Personenkreise (Schüler, Eltern, Lehrer). Außerdem Angaben darüber, mit wem Daten innerhalb und außerhalb der Schule geteilt werden, wer Zugriff auf die Daten in der Schule (Akten wie digitalisierte Daten) hat, welche Software zur Datenerfassung und -verwaltung eingesetzt wird und wie lange die Daten gespeichert werden: Fristen und Löschfristen sind für Schulen vorgegeben.
Weiterhin werden der Speicherort der Daten, die Liste der externen Dienstleister und technisch-organisatorische Maßnahmen zum Datenschutz wie Datensicherung und Zutrittskontrolle erfasst. Informationen zur Erstellung der Verzeichnisse müssen die Verantwortlichen bei den zuständigen Personen und Unternehmen (zum Beispiel Netzwerkbetreuer) einholen. Die Schulleitung ist für die Erstellung der Verzeichnisse zuständig, da sie die Verantwortung für das Einhalten von datenschutzrechtlichen Vorgaben trägt.
Weiterführende Links:
• Leitfaden „Die DSGVO im Bildungssektor“: Leitfaden „Die DSGVO im Bildungssektor“
• Bildungsportal des Landes NRW: „Umsetzung der EU-Datenschutz-Grundverordnung“