DSGVODie neue EU-Datenschutzgrundverordnung tritt am 25.05.2018 inkraft und löst damit das Bundesdatenschutzgesetz ab. Dies bringt nicht nur für Unternehmen zahlreiche Änderungen mit sich sondern auch für öffentliche Einrichtungen wie Schulen. Im folgenden soll ein Überblick über die wichtigsten Punkte der DSGVO gegeben werden.

Verzeichnispflicht

Laut DSGVO müssen alle Verarbeitungsvorgänge von personenbezogenen Daten, die durchgeführt werden in einem Verarbeitungsverzeichnis dokumentiert werden. Dies betrifft auch Unternehmen, Freiberufler und neu mit der DSGVO auch Auftragsverarbeiter, die aufgrund von vertraglichen Vereinbarungen Daten verarbeiten. Dies gilt sowohl für die manuelle als auch für die automatisierte Datenverarbeitung. Auch wenn Unternehmen mit weniger als 250 Stellen im Normalfall nicht dazu verpflichtet sind ein solches Verarbeitungsverzeichnis zu führen ist zu beachten, dass sobald ein besonders hohes Risiko für die Betroffenen durch die Verarbeitung personenbezogener Daten entsteht, wie zum Beispiel durch regelmäßiges Scoring oder Überwachungsmaßnahmen immer eine Verzeichnisplficht besteht. Zudem ist ein Verarbeitungsverzeichnis verpflichtend sobald Daten nicht nur gelegentlich sondern regelmäßig verarbeitet werden oder bestimmte Kategorien an personenbezogenen Daten wie zum Beispiel Religionsdaten, Gesundheitsdaten oder Daten mit strafrechtlicher Relevanz verarbeiten werden.

Das Verarbeitungsverzeichnis hat immer die Kontaktdaten eines Verantwortlichen Ansprechpartners zu enthalten und umfasst Maßnahmen und Zweck der Verarbeitung, sowie eine Beschreibung der Kategorien der verarbeiteten Daten. Gegenfalls sind Empfänger der verarbeitenden Daten zu nennen. Für Auftragsverarbeiter hat das Verzeichnis sowohl die Kontaktdaten des Auftragsverarbeiters als auch die des Auftraggebers zu enthalten. Neben den Kategorien der Verarbeiteten Daten sowie der Verarbeitungsmaßnahmen hat hier das Verarbeitungsverzeichnis noch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen die für die Verarbeitung durchgeführt werden zu enthalten, falss dies möglich ist.

Datenschutz-Folgenabschätzung

Neben einem Verarbeitungsverzeichnis ist in der DSGVO auch eine Datenschutz-Folgeabschätzung vorgesehen, welche zur Beschreibung, Bewertung und Eindämmung von bestehenden Risiken dient. Diese ist zu erstellen wenn die Form der Verarbeitung aufgrund der Art, des Zwecks, der Umstände und des Umfangs ein hohes Risiko für die betroffenen Personen darstellt. Diese Risiken sind in einer Schwellwertanalyse abzuschätzen. Dieser Vorang dient dazu, zu entscheiden ob und warum eine Datenschutz-Folgenabschätzung durchzuführen ist und ist schriftlich zu dokumentieren. Nötig ist sie zum Beispiel bei einer umfassenden Bewertung persönlicher Aspekte von Personen wie zum Beispiel Profiling, die eine Grundlage für Rechtsentscheidung bilden oder strafrechtliche Relevanz haben. Ebenfalls notwendig ist sie bei einer systematischen Überwachung von öffentlich zugänglichen Bereichen.

DSGVO-Zertifizierung

Die DSGVO sieht neben den Forschriften für Schulen zur Gewährleistung eines angemessenen Datenschutzniveaus auch ein datenschutzspezifisches Zertifizierungsverfahren sowie die Einführung von Datenschutzsiegeln und -prüfzeichen vor, die dazu dienen die Einhaltung des Gesetzes nachzusweisen. Faktoren einer solchen Zertifizierung sind die Erfüllung der Pflichten des Verantwortlichen, Erfüllung der technischen Anforderungen, datenschutzfreundliche Voreinstellungen, Garantien von Auftragsverarbeitern und die Datenschutz-Folgenabschätzung. Die Zertifizierung kann durch akkreditierte Stellen sowie durch die zuständige Aufsichtsbehörde erfolgen. Diese Zertifizierung kann maximal über eine Dauer von 3 Jahren erteilt werden und ist dannach neu zu erteilen.

Auskunfts- und Informationspflicht

Betroffenen Personen ist auf Anfrage eine Auskunft über sämtliche gespeicherte Informationen zu erteilen. Zudem können Betroffene eine Auskunft darüber anfordern, welche Informationen in welcher Art und Weise verarbeitet werden. Diese Auskunft muss dann einen ähnlichen Umfang wie das Verarbeitungsverzeichnis haben. Das Verarbeitungsverzeichnis selbst muss jedoch nicht öffentlich einsehbar sein sondern ist lediglich auf Anforderung der betroffenen Aufsichtsbehörde vorzulegen. Die Auskunft über gepeicherte Informationen und Verarbeitungsvorgänge kann sowohl schriftlich als auch auf Wunsch des betroffenen mündlich erfolgen. Bei einer Auskunftserteilung ist in zudem in jedem Fall sicherzustellen, dass die Daten keinen unbefugten Dritten zur Verfügung gestellt werden. Bei einer sehr großen Menge an gespeicherten Daten kann der Verantwortliche eine Spezifierung der Anfrage verlangen.

Betroffene müssen generell über die Kontaktdaten des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten falls ein solcher vorhanden ist, Zwecke für die personenbezogene Daten verarbeitet werden, ein berechtigtes Interesse an den Daten sowie gegebenenfalls Empfänger von personenbezogenen Daten und Absichten die Daten in ein Drittland zu übermitteln informiert werden. Zusätzlich müssen Betroffenenrechte wie zum Beispiel Auskunfts- und Löschungsrecht, Widerrufsrecht und Beschwerderecht bei einer Aufsichtsbehörde zur Verfügung gestellt werden. Gegebenenfalls muss auch eine vertragliche Verpflichtung personenbezogene Daten an Dritte weiterzugeben sowie bei automatisierten Entscheidungsfindungen die verwendete Logik zur Verfügung gestellt werden.

Recht auf Löschung

Personenbezogene Daten müssen auf Verlangen des Betroffenen vom Verantwortlichen gelöscht werden. Sofern sic dies nicht als unmöglich erweist oder mit einem unverhältnismäßig großem Aufwand verbunden ist, ist zudem allen Empfängern personenbezogener Daten der Lösungsauftrag mitzuteilen. Zudem sind personenbezogene Daten auch ohne Auftrag zu löschen wenn die Notwendigkeit der Datenverarbeitung zur Zweckerreichung entfallen ist, der Betrofenne eine entsprechende Einwilligung widerrufen hat oder der Betroffene Widerspruch gegen die Verarbeitung einliegt und keine berechtigten Gründe für eine Verarbeitung vorliegen.

Meldepflicht

Der Verantworliche hat der Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten zu melden. Zudem müssen Verstöße gegen die DSGVO an die Aufsichtsbehörde gemeldet werden.

Datenschutzbeauftragter

Eine Verpflichtung einen Datenschutzbeauftragten zu ernennen kann sich sowohl aus nationalem Recht, als auch aus der DSGVO ergeben. Ein Datenschutzbeauftragter ist in jedem Fall für Behörden oder öffentliche Einrichtungen zu ernennen, das heißt die Ernennung eines Datenschutzbeauftragten ist für Schulen unumgänglich. Zudem ergibt siche eine Verpflichtung einen Datenschutzbeauftratgten zu ernennen bei einer Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Perosnen oder aus umfangreicher Verarbeitung besonders sensibler Daten. Der Datenschutzbeauftragte kann sowohl als interner Datenschutzbeauftragter bei dem Unternehmen oder der Institution selbst beschäftigt sein, als auch als externer Datenschutzbeauftragter im Rahmen eines Dienstleistungsvertrages seine Position als Datenschutzbeauftragter ausüben. Verantwortlicher und Aufgtragsverarbeiter müssen die Weisungsfreiheit des Datenschutzbeauftragten sicherstellen. Zudem ergibt sich aus der Tätigkeit als Datenschutzbeauftragter ein besonderer Abberufungs- und Kündigungsschutz.

Der Datenschutzbeauftragte ist frühzeitig in alle datenschutzspezifischen Fragen einzubinden und hat die Aufgabe der Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten. Zu seinen Aufgaben zähtl neben der beratenden Funktion die Überwachung der Einhaltung der Datenschutzvorschriften und die Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter. Er berät außerdem im Zusammenhang mit der Datenschutz-Folgenabschätzung und überwacht deren Durchführung. Zudem arbeitet er mit der Aufsichtsbehörde zusammen und dient als deren Anlaufstelle.

Website

Um die Schulhomepage entsprechend der DSGVO abzusichern sind folgende Fragen zu beachten:

  • Gibt es ein Kontaktformular => SSL Zertifikate nötig (generell sehr zu empfehlen)
  • Wird der Datenschutzbeauftragte benannt und eine Kontaktmöglichkeit aufgezeigt?
  • Sind Datenschutzerklärung und Impressum auf dem neuesten Stand?
  • Werden Opt-Outs für Drittanbieterdienste wie bspw. Google Analytics angeboten?
  • Werden Cookies gesetzt und wird der Nutzer über die gesetzen Cookies ordnungsgemäß informiert?

Wir führen einen unverbindlichen Check Ihrer Website auf DSGVO Konformität durch und freuen uns wenn wir Ihnen hier Tips zur rechtssicheren Gestaltung geben können. 

 

Die DSGVO klingt zunächst auch für Schulen bedrohlich. Hier sei aber gesagt dass Abmahnschreiben für staatliche Organisationen eher selten auftauchen. Weiterhin kann durch Anpassung der internen Prozesse sowie durch kleine Anpassungen an öffentlichen Auftritten ( Website etc. ) relativ schnell ein rechtssicherer Status hergestellt werden.

Nehmen Sie gerne Kontakt mit uns auf. Wir beraten Sie unkompliziert und direkt zum Thema DSGVO, egal ob für Ihre Website oder für ihre internen Prozesse!