-----
Der weisungsgebundene Einsatz externer Dienstleister zur Verarbeitung personenbezogener Daten ist in Artikel 28 der DSGVO geregelt. Wenn eine Schule etwa eine Cloud-Plattform wie Office 365 von Microsoft nutzt, überträgt sie Daten an den Dienstleister. Diese Übermittlung von Daten muss datenschutzrechtlich abgesichert sein. Das kann über eine Einwilligung der betroffenen Personen erfolgen (Prinzip der Freiwilligkeit) oder eine gesetzliche Erlaubnisform sein. In jedem Fall muss ein Vertrag zur "Auftragsdatenverarbeitung" (ADV) oder neuer: "Auftragsverarbeitung" (AV) mit dem Dienstleister abgeschlossen werden.
Wenn der Zugriff auf personenbezogene Daten möglich ist, muss die Schule den Service als Auftragsverarbeitung behandeln. Das betrifft Software-as-a-Service-Angebote wie das elektronische Klassenbuch und Cloud-Dienste, aber auch die IT-Wartung des Support-Teams über den Remote-Zugriff.
Die Verantwortung für den Datenschutz liegt beim Schulleiter
Der Schulleiter ist dafür verantwortlich, sicherzustellen, dass beim Dienstleister das Schutz-Niveau bei der Verarbeitung personenbezogener Daten genauso hoch ist wie in der Schule. Dazu schließt die Schule mit dem Dienstleister einen Vertrag, den AV-Vertrag. Anbieter wie Microsoft und IT-Dienstleister bieten ihren Kunden vorbereitete AV-Verträge an.
Schul-IT-Berater empfehlen, sich mit dem Artikel 28 der DSGVO intensiv auseinanderzusetzen. Denn der Artikel besagt, dass der Auftraggeber in der Haftung bleibt, also muss er sich seine Dienstleister sorgsam auswählen. Ein Anhaltspunkt kann dabei ein Zertifikat wie ISO 27001 sein: Zertifizierte Dienstleister bieten ein erhöhtes Schutz-Niveau, weil sie bereits alle Arbeitsabläufe dokumentiert haben oder überprüft worden sind.
Stehen die Server im Geltungsbereich der EU DSGVO?
Ein weiterer Anhaltspunkt ist der Nachweis geeigneter technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit. Außerdem sollte man darauf achten, ob die Server zur Datenverarbeitung in Europa (Geltungsbereich der EU-DSGVO) oder in einem Drittland stehen, zum Beispiel in den USA. Der Dienstleister muss alle Unternehmen benennen, die ebenfalls auf die Daten im Rechenzentrum zugreifen können. Die Sub-Unternehmen sollen das gleiche Sicherheitsniveau bieten wie der Hauptauftragnehmer.
"Streng genommen muss der Datenschutz-Verantwortliche die Dienstleister regelmäßig auf ihre datenschutzrechtliche Seriosität hin überprüfen", erklärt Volker Jürgens, Geschäftsführer von AixConcept. "Das ist natürlich schwierig, wenn der Dienstleister gar nicht in Deutschland oder sogar außerhalb von Europa residiert." Große Anbieter informieren ihre Kunden von sich aus regelmäßig und stellen ihnen die erforderlichen Dokumente zur Verfügung.
Exkurs: Viele Schulen können das geforderte Schutz-Niveau, das seriöse Anbieter bieten, selbst gar nicht gewährleisten, weil es an finanziellen Mitteln oder räumlichen Gegebenheiten fehlt: Sie können weder geeignete technische und organisatorische Maßnahmen ergreifen noch die entsprechenden Schulungen des Personals durchführen.
WEITERFÜHRENDE LINKS
- DSGVO für Bildungseinrichtungen: Info-Veranstaltungen im Juni in NRW
- Leitfaden "Die DSGVO im Bildungssektor"
- Bildungsportal des Landes NRW: "Umsetzung der EU-Datenschutz-Grundverordnung"