DSGVO für Schulen, Teil 3: Das Verzeichnis der Verarbeitungstätigkeiten

Schulen müssen ein Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten führen und der Aufsichtsbehörde auf Verlangen vorlegen. Betroffene Personen können Auskunft über ihre gespeicherten Daten verlangen und ihre Löschung beantragen. Auftragsverarbeiter wie Netzwerkbetreiber und Software-Hersteller müssen erfasst und die Einhaltung des Datenschutzes nachgewiesen werden.

—–

Nach Artikel 30 der DSGVO müssen Schulen ein Verzeichnis der Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Das bedeutet, jede Schule muss schriftlich oder elektronisch ein Verzeichnis darüber führen, welche personenbezogenen Daten wann, wo und wie erfasst, gespeichert und verarbeitet werden. Auch wenn die Datenverarbeitung selbst an anderer Stelle stattfindet – etwa, wenn die Schule eine Cloud-Plattform nutzt – liegt Auftragsdatenverarbeitung vor. Die Schulleitung hat die Verantwortung, kann aber die Aufgabe, das Verzeichnis zu führen, delegieren.


Verarbeitungstätigkeiten an der Schule

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Übersicht über die Prozesse der Datenverarbeitung an der Schule und verschafft der zuständigen Aufsichtsbehörde einen Überblick über das Datenschutz-Niveau der Schule. Das Verzeichnis muss der Aufsichtsbehörde auf Verlangen vorgelegt werden.

Grundsätzlich müssen in diesem Verzeichnis alle relevanten Daten zur Verarbeitung personenbezogener Daten erfasst werden. Damit kann die Schule prüfen, ob die Datenverarbeitung überhaupt zulässig ist. Andererseits versetzt es sie in die Lage, ihrer Informationspflicht nachzukommen und die Auskunftsrechte der betroffenen Personen wahren zu können. Verarbeitungstätigkeiten fallen etwa bei der Neuaufnahme von Schülern an.

"Da kommt eine Menge Arbeit auf die völlig unvorbereiteten Schulen zu", weiß Schul-IT-Experte Volker Jürgens. "Die systematische Erstellung der einzelnen Verzeichnisse in der Schule betrifft ja nicht nur die Schülerdaten, sondern zum Beispiel auch die Unterlagen von Lehrern, die sich an der Schule bewerben."

Welche Daten erfasst werden

Artikel 30 DSGVO beschreibt, wie das Verzeichnis aufzubauen ist und welche Angaben zu jeder Verarbeitungstätigkeit zu machen sind. Das sind zum Beispiel der Name und die Kontaktdaten der Schule und des Verantwortlichen in der Schule sowie des Datenschutz-Beauftragten, der Zweck der Verarbeitung der Daten, die Daten-Kategorien (Name, Geburtsdatum, Anschrift) und betroffenen Personenkreise (Schüler, Eltern, Lehrer). Außerdem Angaben darüber, mit wem Daten innerhalb und außerhalb der Schule geteilt werden, wer Zugriff auf die Daten in der Schule (Akten wie digitalisierte Daten) hat, welche Software zur Datenerfassung und -verwaltung eingesetzt wird und wie lange die Daten gespeichert werden: Fristen und Löschfristen sind für Schulen vorgegeben.

Weiterhin werden der Speicherort der Daten, die Liste der externen Dienstleister und technisch-organisatorische Maßnahmen zum Datenschutz wie Datensicherung und Zutrittskontrolle erfasst. Informationen zur Erstellung der Verzeichnisse müssen die Verantwortlichen bei den zuständigen Personen und Unternehmen (zum Beispiel Netzwerkbetreuer) einholen. Die Schulleitung ist für die Erstellung der Verzeichnisse zuständig, da sie die Verantwortung für das Einhalten von datenschutzrechtlichen Vorgaben trägt.

Weiterführende Links:
• Leitfaden „Die DSGVO im Bildungssektor“: Leitfaden „Die DSGVO im Bildungssektor“
• Bildungsportal des Landes NRW: „Umsetzung der EU-Datenschutz-Grundverordnung“

Über die AixConcept GmbH

AixConcept ist Experte für Schul-IT und liefert seit mehr als 14 Jahren schlüsselfertige IT-Lösungen für Bildungs-Einrichtungen. Über 1.700 Schulen und andere pädagogische Institutionen in Deutschland und dem deutschsprachigen Ausland erhalten Beratung, Konzept, Umsetzung und Wartung aus einer Hand. Aus der Firmenzentrale in Aachen und mit Partnern sorgt AixConcept für einen reibungslosen Betrieb der Schul-Netzwerke und ist führender Lieferant für Schul-IT im deutschen Markt. AixConcept ist zertifizierter Microsoft Goldpartner im Bereich Application Development.

www.aixconcept.de

Firmenkontakt und Herausgeber der Meldung:

AixConcept GmbH
Pascalstraße 71
52076 Aachen
Telefon: +49 (2408) 709930
Telefax: +49 (2408) 709935
http://www.aixconcept.de

Ansprechpartner:
Sabine Faltmann
Pressekontakt AixConcept
Telefon: +49 (241) 5707-3570
Fax: +49 (241) 9199-9393
E-Mail: aixconcept@faltmann-pr.de
Volker Jürgens
Geschäftsführer von AixConcept
Telefon: +49 (2408) 709932
E-Mail: vjuergens@aixconcept.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.