DÜSSELDORF. Die Schulleitung ist aus der Verantwortung, wenn der Schulträger sich um den Datenschutz kümmert? Falsch. Und auch der oder die Datenschutzbeauftragte einer Schule garantiert nicht unbedingt den Datenschutz. Diese Mythen rund um den Datenschutz an Schulen hat Gastautor und Datenschutzexperte Ingo Goblirsch bereits im ersten Teil seines Beitrags entzaubert. In diesem Teil geht es weiteren drei falschen Annahmen an den Kragen.
4. Mythos: Eine Software ist datenschutzkonform – oder eben nicht
Die Wahrheit: Häufig treffen Dienstleister Aussagen wie „Unsere Cloud-Lösung ist datenschutzkonform“ oder „Wir sind DSGVO-zertifiziert“. Dabei muss man wissen: Ein System kann nicht per se als datenschutzkonform gelten, erst das Wie ist entscheidend: Wie die Daten verarbeitet werden, das ist datenschutzkonform – oder eben nicht. Es geht um das eigentliche „Doing“, nicht um eine Software.
Bevor echte Daten fließen, prüft man, ob beispielsweise eine Vereinbarung zur Auftragsverarbeitung mit dem Dienstleister vorhanden ist. Und diese Vereinbarung zur Auftragsverarbeitung legt schwarz auf weiß fest, dass der Dienstleister seine Pflichten nach Artikel 28 DSGVO erfüllen muss. Auch die diesen Pflichten entsprechenden technisch-organisatorischen Maßnahmen müssen angemessen in Bezug auf die geplante Datenverarbeitung sein. Es ist nun mal ein Unterschied, ob eine Schule einen substituierenden Digitalunterricht macht zum Präsenzunterricht – oder ob die Schule mit derselben IT-Lösung Gesundheitsdaten verarbeitet innerhalb von sozialpädagogischen oder schulpädagogischen Gutachten und diese an den Schulträger oder andere Dritte weiterleitet. Je nach Verarbeitung gibt es verschiedene technisch-organisatorische Maßnahmen, die in einer unterschiedlichen Ausprägung vorhanden sein müssen.
Wir unterstützen Schulen dabei, Office 365 datenschutzkonform zu nutzen.
In der Corona-Krise haben viele Schulen schnell handeln müssen und dabei nicht immer alle Datenschutz-Vorgaben beachten können. Um perspektivisch mit den so entstandenen Lösungen arbeiten zu können – und nicht absehbar die bisher geleistete Arbeit komplett aufgeben zu müssen–, gibt es das Verwaltungsnetzwerk von AixConcept, das mit Blick auf die Erfordernisse des Datenschutzes konfiguriert ist.
Auch bei den Aufgaben, die sich Schulen darüber hinaus beim Datenschutz stellen – Einverständniserklärungen von Eltern einholen zum Beispiel – hilft AixConcept: etwa mit elektronischen Vorlagen, die automatisch aus einem einmal angelegten Verteiler versendet und digital unterschrieben vom System gesammelt und ausgewertet werden. Und was passiert, wenn Eltern die Zustimmung verweigern? Selbst dafür gibt es dann Lösungen – die Anonymisierung von Schülerinnen- und Schülerdaten etwa.
Erfahren Sie mehr unter https://aixconcept.de/loesungen/ und vereinbaren Sie noch heute einen Beratungstermin! Sie erreichen uns per Mail vertrieb@aixconcept.de oder gerne auch telefonisch +49 (2402) 389 4110
Ein Beispiel: Eine Firma verspricht der Schulleitung auf Basis einer Open-Source-Lösung, unser Server ist einhundert Prozent datenschutzkonform, den kannst du in deinen Keller stellen. Der Dienstleister bedenkt aber nicht, dass die Tür des Kellerraums – in dem der Server dann steht – gar nicht abschließbar ist. Wenn dann nachfolgend Daten physisch gestohlen werden, haftet die Schulleitung. Das Gleiche gilt auch für einen digitalen Einbruch: Wenn ein Hacker in ein nicht ausreichend geschütztes System einer Schule eindringt und personenbezogene Daten stiehlt, kann die Schulleitung zur Rechenschaft gezogen werden. Sie muss immer nachweisen können, dass die Verarbeitung personenbezogener Daten datenschutzkonform gestaltet ist. Die Zusicherung von Dienstleistern und in deren Auftrag tätigen Personen ist nicht ausreichend. Ausreichend wäre es beispielsweise, wenn die Schule einen eigenen Datenschutzbeauftragten hat, und die Abläufe kontrolliert – oder wenn die Schule beziehungsweise ihr Schulträger einen externen Datenschutzbeauftragten beauftragt, dies zu tun. Der Einsatz einer jeden Software muss geprüft werden. Wenn man beispielsweise bei einer Open-Source-Lösung verschiedene Einstellmöglichkeiten hat, die jede für sich ein Datenschutzrisiko bergen und es nicht möglich ist, die Software angemessen zu warten, ist das ein gravierendes Problem.
Sich ausschließlich auf die Zusage zu verlassen, dass nicht-kommerzielle Lösungen per se datenschutzkompatibel sind, wäre aus meiner Sicht grob fahrlässig, denn die datenschutzkonforme Gestaltung von Verarbeitungsprozessen ist mehr als nur die Frage, welcher Auftragsverarbeiter meine Daten verarbeitet und wer dann noch gleichzeitig zuhören kann. Es fängt an damit zu prüfen, habe ich überhaupt eine Rechtsgrundlage, nach dem ich personenbezogene Daten verarbeite? Das zweite (und nicht das letzte) ist, dass man alle Betroffenen, sprich die Schülerinnen und Schüler wie auch die Lehrerinnen und Lehrer und das angestellte Personal der Schule darüber informieren muss, wie in welchem Umfang, zu welchem Zweck ihre personenbezogenen Daten verarbeitet werden.
5. Mythos: Der Schulbetrieb hat Vorrang – der Datenschutz lässt sich nebenbei erledigen
Die Wahrheit: Die Umsetzung der EU-Datenschutz-Grundverordnung sollte für jede Schule ein Projekt darstellen, das vorbereitet wird, das einen Startpunkt hat, in das verschiedene Leute eingebunden sind, die dann gemeinsam mit dem Schulleiter und dem Datenschutzbeauftragten erstmal festhalten, welche Verarbeitungen es überhaupt an einer Schule gibt. Das Ganze wird dann in einem sogenannten Verzeichnis von Verarbeitungstätigkeit festgehalten. Beispielsweise: Personendatenverwaltung des Kollegiums, Vertretungspläne, Personendatenverwaltung von Schülerinnen und Schülern, Laufbahndokumentation oder Erfüllung des pädagogischen Auftrags, Dokumentationserfüllung des pädagogischen Auftrags, natürlich auch das Lernmanagementsystem, das eingesetzt wird, die Webseite als Verarbeitungstätigkeit, die Ausbildung von Referendarinnen und Referendaren, bis hin zu Klassenausflügen, für die Teilnehmerlisten angelegt werden.
Nachfolgend muss geprüft werden, gibt es eine Rechtsgrundlage der Verarbeitung, zu welchem Zweck verarbeiten wir die Daten, die Daten welcher Personen werden verarbeitet und wie lange verarbeiten wir die Datensätze, haben wir die Informationspflichten umgesetzt, auf Basis welcher technischer oder organisatorischer Maßnahmen werden diese Daten verarbeitet. Die Zeit muss sich eine Schule nehmen. Es gibt für Versäumnisse keinerlei Entschuldigung oder Härtefälle. Auch die Nutzung von Landesportalen nimmt die einzelne Schule nicht aus der Verantwortung.
6. Mythos: Lehrerinnen und Lehrer als schulische Datenschutzbeauftragte können unabhängig und qualifiziert die Schulleitung beraten
Die Wahrheit: Lehrerinnen und Lehrer sind an der Stelle häufig hoffnungslos überfordert. Und diese Überforderung zeigt sich insbesondere dadurch, dass Lehrerinnen und Lehrer, die als Datenschutzbeauftragte tätig sind, jegliche neue Datenverarbeitung, die eingeführt werden soll, per se ablehnen. Dahinter steckt der Gedanke: „Wenn man „Nein“ zu allem sagt, dann ist man auf jeden Fall auf der sicheren Seite.“
Vielmehr hilfreich ist es in jedem Fall, mit einem kompetenten Dienstleister zusammenzuarbeiten. Ein seriöser Anbieter betrachtet das Thema Datenschutz nicht nur bei seinen eigenen Verarbeitungstätigkeiten, sondern auch bei seinen angebotenen Lösungen ganzheitlich und stellt auch den Schulen alle Risiken und Vorteile einer Verarbeitung transparent dar. Jede Verarbeitungstätigkeit, ob auf Basis proprietärer Software oder Open Source ist mit Risiken verbunden. Reine Versprechen, das ist alles sauber und hundert Prozent datenschutzkonform hilft an dieser Stelle nicht weiter und sollte die Schulleitung dazu veranlassen, kritischer auf die Sache zu schauen. Das ist eine sogenannte „Red Flag“. Anbieter, die Risiken klar benennen, die fachlich kompetentes Personal haben und auch schon vor Beginn der Verarbeitung im Rahmen des Ausschreibungsprozesses bei datenschutzrechtlichen Themen unterstützend zur Seite stehen, sind aus meiner Sicht immer die besten Partner, die man sich aussuchen kann. Wenn darüber hinaus noch von dem Anbieter Vorlagen bereitgestellt werden, beispielsweise um Informationspflichten angemessen zu erfüllen oder Einwilligungen einzuholen beziehungsweise ein Muster für eine Datenschutz-Folgenabschätzung bereitstellen, ist hier aus meiner Sicht ein hoher Reifegrad des Dienstleisters erkennbar.
Ingo Goblirsch ist seit über 15 Jahren als Externer Datenschutzbeauftragter und Datenschutzberater für Unternehmen, Selbständige, Städte und Gemeinden tätig. Er arbeitete unter anderem als Projektleiter EU-Datenschutz-Grundverordnung (EU-DSGVO), IT-Revisor und IT-Compliance Officer. Auf seiner Homepage erfahren Sie mehr: www.goblirsch.org