Der Schule als Daten verantwortlicher Stelle hat die DS-GVO eine ganze Reihe von Pflichten auferlegt. Insbesondere ist die Schule dafür verantwortlich, dass die Verarbeitung personenbezogener Daten von Schülern, Eltern und Lehrkräften rechtmäßig erfolgt und die erforderlichen Maßnahmen zum Datenschutz und der Datensicherheit getroffen werden.
In kurzer Form und im Sinne eines Überblicks wird in diesem Artikel ein wesentlicher Teil dieser Pflichten aufgeführt und jeweils kurz erläutert.
1. Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO)
Die Rechenschaftspflicht bedeutet, dass die Schulleitung nachweisen und belegen können muss, dass die Grundsätze des Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten) eingehalten werden und – im Fall von Art. 24 DS-GVO (Verantwortung des für die Verarbeitung Verantwortlichen) – die Verarbeitung personenbezogener Daten entsprechend der DS-GVO erfolgt. Die Schule hat hierfür auch angemessene technische und organisatorische Maßnahmen zu ergreifen.
2. Einhaltung des Datenschutzes (Art. 32 Abs. 4 DS-GVO)
Die Schule hat sicherzustellen, dass die an der Schule tätigen Personen die personenbezogenen Daten nur im Rahmen der Vorgaben der Schule verarbeiten. Dazu sind insbesondere die Lehrkräfte regelmäßig datenschutzrechtlich zu sensibilisieren und zu schulen, dies z. B. auch im Umgang mit der IT-Ausstattung.
Ferner können Merkblätter, Hinweise und Handreichungen zu speziellen datenschutzrechtlichen Themen dazu beitragen, dass die einschlägigen Datenschutzvorschriften eingehalten werden.
In diesem Zusammenhang ist es wichtig, die „Verordnung zur Verarbeitung personenbezogener Daten an Schulen“ allen an der Schule tätigen Personen zugänglich zu machen.
3. Technische und organisatorische Maßnahmen (Art. 24, 32 DS-GVO)
Die Schule muss geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung treffen. Hierbei hat sie folgende Aspekte zu berücksichtigen:
- Art, Umfang, Umstände und die Zwecke der Datenverarbeitung,
- unterschiedliche Eintrittswahrscheinlichkeiten und
- Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen.
Damit wird eine datenschutzkonforme Verarbeitung sichergestellt.
Zu den technischen und organisatorischen Maßnahmen gehören insbesondere:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten, sofern dies im Rahmen der Datenverarbeitung erforderlich ist,
- dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung,
- zeitnahe Wiederherstellung der Daten-Verfügbarkeit nach Eintritt eines physischen oder technischen Zwischenfalls,
- Einsatz geeigneter Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung.
Weiterhin hat die Schule diese Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
4. Information und Benachrichtigung bei Datenpannen (Art. 33 und 34 DS-GVO)
Im Fall einer Datenschutzpanne besteht für die Schule ggf. die Verpflichtung, die Aufsichtsbehörde, also den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), zu informieren. Weiterhin hat die Schule in bestimmten Fällen auch die Betroffenen zu benachrichtigen.
Nähere Erläuterungen hierzu können dem Artikel „ Meldepflicht bei DatenpannenÖffnet sich in einem neuen Fenster“ entnommen werden.
5. Einwilligung der betroffenen Person gem. Art. 7 Abs. 1 DS-GVO
Sofern eine Schule personenbezogene Daten verarbeiten möchte, es hierfür jedoch keine Rechtsgrundlage gibt (wie etwa bei der Veröffentlichung von Bildern von Personen auf der Schulhomepage), muss dies über eine Einwilligung der betroffenen Person erfolgen.
Muster für derartige Einwilligungserklärungen finden Sie weiter unten.
6. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO)
Die Schule ist verpflichtet, für alle in ihrer Zuständigkeit liegenden Verarbeitungsvorgänge ein „ Verzeichnis der VerarbeitungstätigkeitenÖffnet sich in einem neuen Fenster“ zu führen. Dabei unterscheidet die DS-GVO nicht, ob es sich um automatisierte oder papiergebundene Datenverarbeitungsprozesse handelt.
Gleiches gilt auch für den Fall der Auftragsdatenverarbeitung. Die Verpflichtung besteht auch dann, wenn die Datenverarbeitung im Auftrag erfolgt oder der Schulträger die Systeme stellt.
7. Datenschutz-Folgenabschätzung – „DSFA“ (Art. 35 und 36 DS-GVO)
Führt die Schule eine Datenverarbeitung durch, bei der aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Personen besteht, muss die Schule vorab eine Abschätzung der Folgen der geplanten Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen (DSFA).
Derartige Risiken bestehen insbesondere bei der Verwendung neuer Technologien (z.B. bei Einführung einer Lernplattform).
Eine DSFA muss insbesondere durchgeführt werden bei
- systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (Systeme zu Leistungsbeurteilung von Schülern, Zeugniserstellung usw.),
- umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten (insbesondere personenbezogene Daten, aus denen z.B. religiöse oder weltanschauliche Überzeugungen hervorgehen oder Gesundheitsdaten),
- systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche, also auch beim Einsatz von Videobeobachtung oder Videoaufzeichnung.
Auch wenn eine Verarbeitung hier oder auf der PositivlisteÖffnet sich in einem neuen Fenster nicht aufgeführt ist, muss eine Prüfung erfolgen, ob die DSFA geboten ist oder entfallen kann. Das Ergebnis ist zu dokumentieren.
8. Benennung eines schulischen Datenschutzbeauftragten (Art. 37 DS-GVO)
Für jede öffentliche Schule muss ein schulischer Datenschutzbeauftragter (schDSB) sowie ein Vertreter benannt werden. Dies sieht auch § 11 der Verordnung zur Verarbeitung personenbezogener Daten an Schulen bzw. § 5 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) vor. Mehrere Schulen, z.B. kleinere Grundschulen, können aber auch einen gemeinsamen Datenschutzbeauftragten benennen.
9. Frühzeitige Einbindung des schulischen DSB (Art. 38 DS-GVO)
Die Schule muss ihren Datenschutzbeauftragten in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen frühzeitig und umfassend einbinden. Insbesondere bei der Einführung neuer Software oder deren Ablösung durch eine andere Software muss der Datenschutzbeauftragte frühzeitig eingebunden sein.
10. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 lit d) DS-GVO)
Die Schule als datenschutzrechtlich verantwortliche Stelle muss technische und organisatorische Datenschutzmaßnahmen treffen.
Sie ist zudem verpflichtet, in regelmäßigen Abständen eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Datenschutzmaßnahmen durchzuführen.
Weitere Informationen zu diesem Thema finden Sie hierÖffnet sich in einem neuen Fenster.
11. Gewährleistung von Transparenz bei der Verarbeitung personenbezogener Daten (Art. 12 DS-GVO)
Die Schule muss sicherstellen, dass sie den betroffenen Personen (in der Regel Schülerinnen oder Schülern, Eltern, Lehrkräften) die Informationen gem. Art. 13 DS-GVO (Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person) und Art. 14 DS-GVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung stellt. Dies gilt insbesondere für Informationen, die sich an Kinder richten.
12. Informationspflichten nach Art. 13 und 14 DS-GVO
Die Informationspflichten gegenüber den Betroffenen sind nicht nur für Schulen nach der DS-GVO umfassend. Insoweit ist es jedoch gerade für Schulen essentiell, über ihre Datenverarbeitungsprozesse abschließend und präzise informieren zu können.
Die Schule muss ihre Prozesse kennen, um hierüber auch informieren zu können. Über den Umfang der Informationspflichten und wie weitreichend diese im Einzelfall sein müssen, herrscht noch keine endgültige Klarheit.
Die Schule ist jedoch gefordert, eine Bestandsaufnahme ihrer Datenverarbeitungsprozesse durchzuführen (vgl. Ziffer 6), um daraus folgend ihren Informationsplichten in ausreichendem Umfang nachkommen zu können.
13. Auskunftsrecht des Betroffenen nach Art 15 DS-GVO
Die Schüler, Eltern und Lehrkräfte haben das Recht, Auskunft von der Schule zu verlangen, ob und welche personenbezogene Daten über sie verarbeitet werden.
So müssen von der Schule u.a. die Zwecke der Verarbeitung, die Kategorien personenbezogener Daten, die verarbeitet werden, die Empfänger von Daten und einiges mehr benannt werden. Eine vollständige und richtige Auskunft gegenüber dem Betroffenen ist unerlässlich, um mögliche Schadenersatzansprüche auszuschließen.
14. Sanktionsmöglichkeiten (Art. 58 DS-GVO)
Die Sanktionsmöglichkeiten der Datenschutzaufsichtsbehörden, also in Hessen der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), haben sich gegenüber öffentlichen Stellen erweitert. Neben der (schon bislang bestehenden) Möglichkeit, eine „förmliche Beanstandung“ auszusprechen, sieht die DS-GVO darüber hinaus u.a. vor: Warnung, Verwarnung, Anordnungs- und Untersagungsbefugnisse, nicht jedoch die Verhängung von Geldbußen.
Stand: 08.08.2018