Nach Art. 32 Abs. 1 lit. d) DS-GVO muss die Schule durch ein geregeltes Verfahren überprüfen, bewerten und evaluieren, ob die von ihr getroffenen technischen und organisatorischen Datenschutzmaßnahmen für eine sichere Datenverarbeitung (noch) wirksam sind. Dies muss regelmäßig erfolgen.
Die Überprüfung, Bewertung und Evaluation ist allein schon deshalb erforderlich, weil bei Software-Produkten immer wieder Angriffsstellen (sog. „Lecks“) oder Fehler bekannt werden, die zu einem Datenschutz-Risiko führen können.
Ferner ist dies auch aufgrund der technologischen Weiterentwicklung notwendig: So sollte wegen der ständig steigenden Computerleistung die Verschlüsslung laufend angepasst werden, um eine mögliche Entschlüsselung zu verhindern.
Vorqehensweise:
Die Schule muss in regelmäßigen Zeitabständen die Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen kontrollieren; dies muss auch bei bereits eingesetzten Verfahren geschehen.
Hierzu sollte sich die Schule für jedes einzelne Verfahren mit den folgenden Leitfragen befassen:
- Befindet sich die Software (Betriebssystem, Anwendungssoftware, evtl. Datenbank usw.) auf einem aktuellen Stand?
- Ist sichergestellt, dass die aktuellen, verfügbaren Patches eingespielt werden?
- Werden Firewall, Virenschutz und andere sicherheitsrelevante Software regelmäßig aktualisiert?
- Gab es in der Vergangenheit Sicherheitsvorfälle, Störungen, unbefugte Datenzugriffe oder wurde das System gehackt? Welche Maßnahmen wurden als Folge davon getroffen? Reichen diese Maßnahmen aus?
- Entsprechen die getroffenen technischen und organisatorischen Maßnahmen noch dem aktuellen Stand der Technik? Hinweise hierzu finden Sie auf der Homepage des Bundesamtes für die Sicherheit in der Informationstechnik (BSI).
- Ist die eingesetzte Verschlüsselungstechnologie ausreichend? Entspricht diese dem aktuellen Stand?
- Ist durch das realisierte Authentifizierungsverfahren bei einer Nutzeranmeldung sichergestellt, dass unbefugter Zugriff abgewehrt wird?
- Genügen die Anforderungen an das Passwort (in Bezug auf Komplexität, Passwortlänge, Sperrung nach einer Anzahl von Fehlversuchen, usw.)?
- Genügt eine Authentifizierung per User und Passwort oder ist eine zwei Faktoren-Authentifizierung erforderlich?
- Sind die Protokollierungen ausreichend?
- Kann nachvollzogen werden, welche Daten zu welcher Zeit und von welcher Person in das Datenverarbeitungssystem eingegeben wurden?
- Werden die Protokollierungen regelmäßig überprüft?
- Reichen die umgesetzten Datensicherungen (Backups) aus, um das System wiederherzustellen?
- Werden die mit der Datenverarbeitung betrauten Personen regelmäßig sensibilisiert bzw. fortgebildet
Hinweis für den Fall einer Auftragsdatenverarbeitung:
Die oben erläuterte Pflicht hat die Schule auch für den Fall, dass die Datenverarbeitung durch einen Dienstleister erfolgt, wenn also eine sogenannte Auftragsdatenverarbeitung stattfindet.
Der Auftragsverarbeiter (Auftragnehmer) hat entsprechende Dokumentations- und Nachweispflichten gegenüber der verantwortlichen Stelle, also der Schule (Auftraggeberin). Die Rechte und Pflichten sind in einem Vertrag über eine Auftragsverarbeitung gem. Art. 28 DS-GVO festzulegen.
Stand: 05.08.2018