Mein Arbeitsplatz

Auftragsdatenverarbeitung (ADV) für Schulen

Auftragsdatenverarbeitung (ADV) für Schulen

von Jost Baum

Sie wollen den kompletten Text lesen?

Worum es geht

Nach § 28 der Europäischen Datenschutzgrundverordnung (EU-DSGVO) müssen Schulleitungen als Verantwortliche für den Datenschutz mit Dienstleistern einen Vertrag zur Auftrags(daten)verarbeitung schließen, falls diese damit Zugriff auf personenbezogene Daten haben. Anhaltspunkt für ein angemessenes Schutzniveau eines Dienstleisters kann ein Zertifikat (z. B. ISO 27001) oder der Nachweis technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit sein. Die Schulleitung sollte sich vom behördliche Datenschutzbeauftragten hinsichtlich der Seriosität des Auftragnehmers beraten lassen.

1. Rahmenbedingungen zur Bearbeitung personenbezogener Daten nach
Artikel 28 EU-DSGVO

Der weisungsgebundene Einsatz externer Dienstleister durch die Schulleitung zur Verarbeitung personenbezogener Daten ist in Artikel 28 der DSGVO geregelt. Die dazu erforderliche Übermittlung von Daten muss datenschutzrechtlich abgesichert sein. Das kann über eine Einwilligung der betroffenen Personen erfolgen (Prinzip der Freiwilligkeit) oder durch ein Gesetz geregelt sein (Schulgesetze und Verordnungen). In jedem Fall muss mit dem Dienstleister ein Vertrag zur Auftragsdatenverarbeitung (ADV) oder neuer: Auftragsverarbeitung (AV) abgeschlossen werden, denn wenn der Zugriff auf personenbezogene Daten möglich ist, muss die Schulleitung den Service des Dienstleisters als Auftragsverarbeitung behandeln.

Das betrifft ebenso Angebote wie das elektronische Klassenbuch, den Menüservice für die Schulmensa, die Lernplattformen wie Moodle, lo-net2, fronter etc. Hierbei ist besondere Vorsicht geboten. Viele Schulen können das geforderte Schutzniveau, das seriöse Anbieter bieten, selbst gar nicht gewährleisten, weil es an finanziellen Mitteln oder räumlichen Gegebenheiten fehlt. Sie können weder geeignete technische und organisatorische Maßnahmen ergreifen noch die entsprechenden Schulungen des Personals sicherstellen. Hier ist also unbedingt auf die Angebote des jeweiligen Bundeslandes bzw. des kommunalen Schulbetreibers (z. B. kommunale Rechenzentren) zurückzugreifen, bei denen die Administration des Systems in den Händen geschulter Informatiker liegt. Sollte dies nicht der Fall sein, müssen
besondere Bedingungen erfüllt sein. Diese werden im Folgenden beschrieben, damit die Schulleitung weiß, was sie zur Unterschrift vorgelegt bekommt.

2. Auswahl und Aufgaben des Auftragsverarbeiters

Auswahl des Auftragsverarbeiters

Erfolgt eine Verarbeitung im Auftrag einer verantwortlichen Schulleitung, so sollte diese nur mit Auftragsverarbeitern erfolgen, die hinreichend Garantien dafür bieten, dass geeignete technische und orga-nisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit den An-forderungen des Artikel 28 EU-DSGVO geschieht und den Schutz der Rechte der betroffenen Person gewährleistet

Pflichten des Auftragverarbeiters

Der Auftragsverarbeiter (z. B. Internetanbieter, kommunale Rechenzentren, private Anbieter wie I-surf) darf keine/keinen weiteren Auftragsverarbeiter (im Sinne von Subunternehmern) ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen (Schulleitung) in Anspruch nehmen. Im Fall einer allgemeinen schriftlichen Genehmigung, muss der Auftragsverarbeiter die Schulleitung immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren. Dadurch erhält die Schulleitung die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

Zusammenarbeit auf Grundlage eines Vertrages oder anderen Rechtsinstruments

Die Verarbeitung durch einen Auftragsverarbeiter sollte auf der Grundlage eines Vertrages oder eines anderen Rechtsinstruments nach dem Unionsrecht, oder dem Recht der Mitgliedstaaten der EU erfolgen. Solch ein Vertrag (Rechtsinstrument) bindet den Auftragsverarbeiter in Bezug auf den Verantwortlichen. In ihm sind Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter der Schulleitung diese rechtlichen Anforderungen vor der Verarbeitung mit.

b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;