Nach Artikel 25 der DSGVO ist unter Berücksichtigung des Stands der Technik sicherzustellen, dass die Integrität und Vertraulichkeit personenbezogener Daten gewahrt ist (Datenschutz durch Technikoptimierung). Technische und organisatorische Maßnahmen sollen vor unbefugter und unrechtmäßiger Verarbeitung schützen. Schulen müssen daher den Zugriff auf Server mit personenbezogenen Daten streng reglementieren und eine elektronische Zugangskontrolle einrichten, damit unbefugte Personen nicht zugreifen können.
Datenverarbeitung in der Schulverwaltung und Cloud-Dienste überprüfen
Die Technik muss so gestaltet sein, dass der Datenschutz gewährleistet ist, ebenso Produkte und Dienste, die in der Verwaltung der Schule, in der Organisation und im Unterricht eingesetzt werden. Die Schule muss gängige Produkte der Datenverarbeitung in der Schulverwaltung sowie mögliche Auftragsdatenverarbeiter (Cloud-Dienste) überprüfen, ob sie die Anforderungen des Datenschutzes erfüllen und nur die Daten erfassen, die für ihre Zwecke erforderlich sind.
Nach Artikel 32 der DSGVO orientiert sich das Sicherheitsniveau am konkreten Schutzbedarf der Daten. Dieser ist in Schulen hoch, weil Daten von Minderjährigen verarbeitet werden. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten muss ein dem Risiko angemessenes Schutzniveau geschaffen werden.
IT-Sicherheitskonzept und Backup
Die DSGVO bietet Interpretationsspielraum. Es empfiehlt sich jedoch, ein IT-Sicherheitskonzept zu erstellen, das Backup-Pläne enthält, damit ausgefallene Systeme schnell wieder einsatzbereit sind. Grundsätzlich müssen alle Beschäftigten einer Schule über die Vertraulichkeit von Daten unterrichtet und regelmäßig unterwiesen werden.
Auftragsdatenverarbeiter (Cloud-Dienste) müssen ihre Sicherheitsmaßnahmen vorweisen und nachprüfbar dokumentieren. Große Anbieter verfügen über entsprechende Unterlagen und Zertifikate.
Räumliche und technische Strukturen überprüfen
Einige Maßnahmen können im Schulalltag nicht umgesetzt werden, weil räumliche wie technische Strukturen den Anforderungen der DSGVO nicht entsprechen. Nicht einmal die Zugangskontrolle zur schulischen IT über eine Benutzerkennung ist in allen Schulen implementiert.
Weitere Aspekte der TOM: Verfügt die Schule über eine Zugriffs- und Eingabekontrolle für IT-Systeme? Gibt es ein Berechtigungskonzept für den Zugriff auf Daten? Werden nur verschlüsselte USB-Sticks eingesetzt (Kontrolle der Weitergabe von Daten)? Wird für den Zugriff auf Daten eine sichere VPN-Verbindung genutzt und welche Software wird in der Verwaltung eingesetzt? Gibt es Fehlerkontrollen und ein Back-up-Konzept (Verfügbarkeitskontrolle), damit Daten vor Zerstörung und Verlust geschützt sind? Ist die interne und externe Datensicherung verschlüsselt, im Extremfall in verschiedenen Brandabschnitten? Stellt eine Auftragskontrolle sicher, dass Dienstleister personenbezogene Daten gemäß DSGVO behandeln und vernichten?
WEITERFÜHRENDE LINKS
- DSGVO für Bildungseinrichtungen: Info-Veranstaltungen im Juni in NRW https://aixconcept.de/...
- Leitfaden "Die DSGVO im Bildungssektor": https://aka.ms/DSGVO-DE