© AixConcept | bastiaan auf Pixabay
Datenschutz an Schulen: Teil 2

Die Pflicht vor der Kür: Das Verzeichnis von Verarbeitungstätigkeiten

Der erste Schritt zu einer DSGVO-konformen Schule ist das Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten. Es betrifft alle Daten in Papier- und in digitaler Form, die an einer Schule erfasst werden.

Der erste Blog-Artikel der Serie "Datenschutz an Schulen" handelte vom datenschutzkonformen Betrieb der Webseiten. Damit habe ich zu Beginn ein greifbares Thema aufgeworfen.

Wir fangen mit der Theorie an, um in die Blogserie einen roten Faden hineinzubringen: Mit dem Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis). Denn die Umsetzung und Sicherstellung datenschutzrechtlicher Anforderungen an Ihrer Schule beginnen Sie am besten mit einer Auflistung aller Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden.

Der Gesetzgeber verpflichtet Sie als Schulleiter mit dem Artikel 30 EU-Datenschutz-Grundverordnung (DSGVO) zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Dabei ist das Verarbeitungsverzeichnis eher alter Wein in neuen Schläuchen, denn im BDSG gab es das schon unter dem Namen Verfahrensverzeichnis. Der einzige Unterschied zwischen beiden Dokumentationsanforderungen ist das zusätzliche Feld "Übermittlung in Drittstaaten“ (Art. 30 Abs. 1 Satz 1 lit. e DSGVO).

Das Verarbeitungsverzeichnis: Was steht drin?

Ein Verarbeitungsverzeichnis muss folgende Informationen (nach Art. 30 Abs. 1 DSGVO) beinhalten:

  1. Name und Kontaktdaten des Verantwortlichen
  2. Name und Kontaktdaten des Datenschutzbeauftragten

Verantwortlicher für die Datenverarbeitung an einer Schule ist immer der Schulleiter oder die Schulleiterin, denn er oder sie entscheidet "über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“. An allen Schulsorten ist es die Schulleitung: an privaten und staatlichen Schulen (Art. 4 Nr. 7 DSGVO), an katholischen (§ 4 Nr. 9 KDG) und evangelischen Schulen (§ 31 DSG-EKD). Die Punkte 1. & 2. sind für alle Verarbeitungstätigkeiten im Verzeichnis gleich, deswegen können diese vor die Klammer gestellt und dokumentiert werden.

Für jede Verarbeitungstätigkeit einzeln müssen Sie folgende Angaben eintragen:

  1. Bezeichnung der Verarbeitungstätigkeit
  2. Zwecke der Verarbeitung
  3. Kategorien betroffener Personen
  4. Kategorien von personenbezogenen Daten
  5. Kategorien von Empfängern
  6. Transfer in Drittländer und Garantien
  7. Löschfristen
  8. Technische und organisatorische Maßnahmen (Verweis auf das Informationssicherheitskonzept)

Teilweise werden sich die Eintragungen wiederholen, z. B. die technisch-organisatorischen Maßnahmen. Denn wenn mehrere Verarbeitungen mit Hilfe eines einheitlichen IT-Systems (zum Beispiel Office 365) durchgeführt werden, reicht der Verweis auf das bestehende Informationssicherheitskonzept.

Personenbezogene Daten in jeder Form

In jeder Schule gibt es eine Vielzahl von Verarbeitungstätigkeiten, die Sie dokumentieren sollten. Dazu gehören nicht nur Verarbeitungen auf elektronischem Wege, sondern auch die Verarbeitung von papiergebundenen, personenbezogenen Daten, etwa dem Klassenbuch (falls Sie es nicht schon digital umgesetzt haben) und der Schülerakte im Zimmer des Rektors gehören dazu.

Folgende Verarbeitungstätigkeiten könnten an Ihrer Schule vorhanden sein, die im Verarbeitungsverzeichnis dokumentiert sein müssen:

  1. Management von Schülerinnen und Schülern
  2. Management von Beschäftigten
  3. Management von Leistungen von Schülerinnen und Schülern (Zeugniserstellung etc.)
  4. Anbieten einer Lern- und Kollaborationsplattform für Schülerinnen und Schüler
  5. Betrieb der Schulbücherei
  6. Betrieb der Außenauftritte (Webseite, Facebook, Instagram)
  7. Feststellung von sonderpädagogischem Unterstützungsbedarf

Ein solches Verzeichnis von Verarbeitungstätigkeiten müssen Sie nicht nur erstellen und pflegen. Nach Art. 5 Abs. 2 müssen Sie auch die Rechtmäßigkeit der personenbezogenen Datenverarbeitung anhand dieses Verarbeitungsverzeichnisses regelmäßig überprüfen. Dazu gibt es Checklisten, aber wenn Sie ganz sichergehen wollen, nehmen Sie für diesen Schritt die Unterstützung Ihres Datenschutzbeauftragten oder eines externen Beraters an. Dabei wird gleichzeitig Ihr selbst dokumentiertes Verarbeitungsverzeichnis überprüft und gegebenenfalls angepasst.

Das Verarbeitungsverzeichnis können Sie elektronisch oder schriftlich führen. Nutzen Sie idealerweise eine elektronische Ablage. Versionieren Sie dabei das Verzeichnis und die einzelnen Dateien, damit Änderungen am Verarbeitungsverzeichnis nachvollziehbar sind (Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht). Moderne Ablagesysteme (SharePoint, OneDrive, Nextcloud) verfügen bereits über eine solche Funktionalität. Übrigens: Wenn durch das Änderungsprotokoll dabei personenbezogene Daten verarbeitet werden (Änderungsdatum, Autor, Änderung) ist auch das Führen dieses Verzeichnisses eine eintragungspflichtige Angabe.

Vorlagen und Checklisten für Verarbeitungsverzeichnisse

Ich stelle an dieser Stelle keine Vorlage für ein Verarbeitungsverzeichnis zur Verfügung, denn selbst eine reine Strukturvorlage kann kaum allen (individuellen) Anforderungen gerecht werden. Beherzigen Sie bitte nur den folgenden Tipp: Nutzen Sie ein Tabellenformat mit Spalten. Die Dokumentation von Verarbeitungstätigkeiten in einzelnen (Word-)Dokumenten ist unübersichtlich und zeitaufwändig.

Lassen Sie sich von den im Internet verfügbaren Vorlagen (siehe auch unten) inspirieren und stellen Sie sich Ihre eigene Struktur zusammen. Fangen Sie mit den Feldern an, die gesetzlich vorgeschrieben sind. Erweitern Sie dann die Vorlage um Felder, die sinnvoll erscheinen, z. B. die Rechtsgrundlage. Diese Angabe benötigen Sie später für die Umsetzung der Informationspflichten (nach Art. 12 ff DSGVO). Abschließend markieren Sie die Felder, die nur optional von Ihnen ausgefüllt werden.

Schieben Sie die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten nicht auf die lange Bank: Denn auf Anfrage der zuständigen Datenschutz-Aufsichtsbehörde müssen Sie Ihr Verarbeitungsverzeichnis zur Verfügung stellen.

Weitere nützliche Informationen zum Verzeichnis von Verarbeitungstätigkeiten an Schulen finden Sie bei der Landesschutzbehörde Niedersachsen, dem Schulministerium NRW und der Datenschutzkonferenz des Bundes und der Länder.

 

© Ingo Goblirsch

Die Sicherstellung datenschutzrechtlicher Anforderungen an Ihrer Schule beginnen Sie am besten mit einer Auflistung aller Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden.

Ingo Goblirsch, Externer Datenschutzbeauftragter