Die heutige Aussage von "Die DSGVO-Gazette" beschäftigt sich mit der Umsetzung der DSGVO an Schulen.
Vorbereitung auf das „Projekt DSGVO“
Benennung des Datenschutzbeauftragten
Legen Sie ein Verzeichnis von Verarbeitungstätigkeiten an
Analyse jeder Verarbeitungstätigkeit (Checkliste)
Umsetzung datenschutzrechtlicher Anforderungen auf den Einzelfall bezogen
Umsetzung über die Projektarbeit hinaus
Vorbereitung auf das „Projekt DSGVO“
Bereiten Sie sich auf die Umsetzung der EU-DSGVO (EU-Datenschutz-Grundverordnung) vor. Planen und dokumentieren sie alle Schritte so, dass sie einer externen Überprüfung der Einhaltung der DSGVO und weiterer datenschutzrechtlicher Vorgaben Stand halten würde. Die Umsetzung der DSGVO ist kein Schulprojekt oder eine AG, sie ist eine eher vergleichbar mit der Implementierung eines neuen Rahmenlehrplans, also einer von außen auf die Schule wirkende Anforderung, wofür die Leitung der Schule verantwortlich ist.
Legen Sie fest (nachdem Sie sich diese Checkliste durchgelesen haben und das Verarbeitungsverzeichnis fertig ist), welche datenschutzrechtlichen Aspekte innerhalb der Schule durch das Projekt implementiert werden sollen – und welche nicht. Argumentieren Sie aus einer risikoorientierten Sicht in Bezug auf die „Rechte und Freiheiten der Betroffenen“, nicht aus einer Kostensicht oder aufgrund von Leistbarkeit (Know-How, Aufwand). Beachten Sie, dass Sie als Schule hauptsächlich die Daten von besonders schützenswerten Betroffenen verarbeiten, nämlich Schülerinnen, Schülern, Mitarbeiterinnen und Mitarbeitern.
Dokumentieren Sie die Mitarbeiterinnen und Mitarbeiter an dem „Projekt DSGVO“ in dem Personalplan. Beschreiben Sie ihre Rollen und Aufgaben innerhalb des Projekts. Wer leitet das Projekt? Wer unterstützt aus rechtlicher Sicht? Wer kommuniziert die Ergebnisse nach Außen/an die Betroffenen/an die Eltern? Wer schult das Kollegium?
Benennung des Datenschutzbeauftragten
Gehen Sie als Schule davon aus, dass Sie gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Schulen mit einem sehr kleinen Kollegium unter 20 Lehrkräften bzw. Angestellten könnten von dieser Pflicht ausgenommen sein – dies müssen Sie zuerst klären.
Falls Sie bereits einen Datenschutzbeauftragten benannt haben, dokumentieren Sie die Benennungsurkunde in den Projektergebnisse. Darin muss festgeschrieben sein, welche Aufgaben der Datenschutzbeauftragten hat. Fordern Sie für das Projekt DSGVO die Mitarbeit des Datenschutzbeauftragten ein – es ist seine gesetzliche Pflicht, Sie zu unterstützen. Auch der Datenschutzbeauftragten wird in dem Personalplan eingetragen.
Legen Sie ein Verzeichnis von Verarbeitungstätigkeiten an
Ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO hilft Ihnen dabei, einen Überblick über alle Verarbeitungstätigkeiten mit personenbezogenen Daten an Ihrer Schule zu erhalten.
Ein solches Verzeichnis lässt sich beliebig für die eigenen Zwecke der Implementierung der DSGVO erweitern. Beispielsweise fordert Art. 30 DSGVO nicht die Dokumentation der „Rechtsgrundlage der Verarbeitung“ gemäß Art. 6 DSGVO. Eine solche Dokumentation ist als Input für die Informationspflichten an die Betroffenen nach Art. 13 DSGVO wichtig. Ob den Informationspflichten bereits nachgekommen ist, kann ebenfalls in Verarbeitungsverzeichnis dokumentiert werden – als Checkliste für diejenigen, welche die DSGVO umsetzen.
Ist das Verzeichnis von Verarbeitungstätigkeiten vollständig, sollte nun risikoorientiert bewertet werden, welche Verarbeitungstätigkeit datenschutzkonform implementiert wird. Präziser: An welcher Stelle werden besondere Kategorien personenbezogener Daten verarbeitet (z.B. Gesundheitsdaten bei einer Klassenfahrt, Religionszugehörigkeit durch Teilnahme an Unterrichtsfächern). Wo werden im großen Umfang personenbezogene Daten verarbeitet oder Daten von schutzwürdigen Betroffenen verarbeitet (Kinder, Arbeitnehmerinnen und Arbeitnehmer). Für die aus dieser Selektion als „kritisch“ bewerteten Verarbeitungstätigkeiten beginnt nun die Umsetzung.
Analyse jeder Verarbeitungstätigkeit (Checkliste)
Analysieren Sie jede Verarbeitungstätigkeit eingehend, indem Sie folgende Fragen stellen und die Antworten dokumentieren:
- Werden (tatsächlich) personenbezogene Daten verarbeitet oder sind es anonyme Daten?
- Auf Basis welcher Rechtsgrundlage nach Art. 6 DSGVO werden die personenbezogenen Daten verarbeitet?
- Falls eine Einwilligung erforderlich ist:
- Ist sie richtig nach Art. 7 DSGVO formuliert
- Wurde sie im Einzelfall durch den Betroffenen oder dessen Vertreter erteilt?
- Ist die Erteilung der Einwilligung nachweisbar?
- Falls eine Einwilligung erforderlich ist:
- Werden Widersprüche von Einwilligungen angemessen verarbeitet und beachtet?
- Falls ein berechtigtes Interesse als Rechtsgrundlage genannt wird:
- Fand eine Interessenabwägung statt?
- Wurde die Interessensabwägung dokumentiert?
- Kommen die Verantwortlichen Ihren Informationspflichten nach Art. 12 ff. DSGVO gegenüber den Betroffenen nach?
- Sind Auftragsverarbeiter an der Verarbeitung beteiligt?
- Wurden Vereinbarungen zur Verarbeitung im Auftrag nach Art. 28 Abs. 3 DSGVO und § 62 Abs. 5 BDSG abgeschlossen?
- Haben sich die Auftragnehmer darin zu technisch-organisatorischen Maßnahmen verpflichtet, welche für den Zweck der Verarbeitung (schutzwürdige Betroffene) angemessen sind.
- Für die Fälle, bei der es zu einer Übermittlung personenbezogener Daten in Drittländer kommt, werden die Anforderungen des V. Kapitels der DSGVO erfüllt, d. h. der Empfänger verwendet "geeignete Garantien" (z. B. Standarddatenschutzklauseln, Binding Corporate Rules)?
- Wird die Zuverlässigkeit und Eignung des Auftragnehmers regelmäßig durch den Verantwortlichen überprüft?
- Wurden angemessene technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO für die Verarbeitungstätigkeit beschrieben und umgesetzt?
- Nutzen Sie IT für die Verarbeitung personenbezogener Daten? Werden durch die IT die Grundsätze „Datenschutz durch Technikgestaltung“ und „datenschutzfreundliche Voreinstellungen“ eingehalten?
- Ist für diese Verarbeitungstätigkeit das Verzeichnis von Verarbeitungstätigkeiten aktuell oder sollte das Verzeichnis ergänzt werden?
Umsetzung datenschutzrechtlicher Anforderungen auf den Einzelfall bezogen
Jede negativ beantwortete Frage kann darauf hinweisen, dass es offene Punkte bei der Umsetzung datenschutzrechtlicher Anforderungen innerhalb der Schule gibt. Diese sind nach einem Soll-Ist-Abgleich in Bezug auf die jeweilige Verarbeitungstätigkeit im Folgenden zu beheben.
Achten Sie dabei auf eine ausgewogene Mischung zwischen juristischen Erfordernissen, betrieblichen Prozessen und IT-technischer Unterstützung. Denn beispielsweise nutzt eine juristisch richtig formulierte Einwilligungserklärung nichts, wenn sie nicht effizient beim Betroffenen angefragt wird, die Verarbeitungen diesen Willen des Betroffenen nicht respektieren würden und der Nachweis dieser Einwilligung nicht belegt werden kann. Müsste jede Lehrkraft bei jeder Schülerin und jedem Schüler eine Einwilligung einholen, würde dies von Beginn an zum Scheitern verurteilt sein.
Ziel ist es, alle Verarbeitungstätigkeiten nach dieser initialen Phase der Implementierung entsprechend der Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO zu verarbeiten.
Umsetzung über die Projektarbeit hinaus
Jedoch ist die Umsetzung datenschutzrechtlicher Anforderungen kein Projekt – es ist ein Prozess, welcher die Schule laufend ausüben muss.
Dies gilt insbesondere für den Fall, dass neue Verarbeitungstätigkeiten eingeführt werden sollen (Stichwort: Datenschutz-Folgenabschätzung, vorherige Konsultation, Prüfung des berechtigten Interesses oder anderer Rechtsgrundlagen). Auch wenn Anfragen von Betroffenen die Schule erreichen (Auskunftsanfrage, Löschanfrage, etc.) oder die Aufsichtsbehörde sich mit einer Frage an den Verantwortlichen für die Datenverarbeitung wendet, ist das Datenschutz-Managementsystem gefordert.
In allen Punkten unterstützt Sie Ihre benannte Datenschutzbeauftragte oder Ihr benannter Datenschutzbeauftragter.
Diese/dieser hilft dabei, Datenschutz innerhalb der Schule nicht nur umzusetzen, sondern auch deren Einhaltung nachweisen zu können (Rechenschaftspflicht / Accountability). Denn durch die Umkehr der Beweislast nach Art. 5 Abs. 2 DSGVO ist dies die wohl weitreichendste Änderung innerhalb des Bundesgebiets gegenüber den alten Regelungen des BDSG. Abgesehen von der Erhöhung des Bußgeldes.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen