Ein aktueller Beitrag in der FAZ beleuchtet recht gut, was sich durch die Datenschutz Grundverordnung (DS-GVO) für Schulen verändert hat. Schulen mussten wie jede öffentliche Stelle, welche personenbezogene Daten verarbeitet, schon immer entsprechend der Datenschutzgesetzgebung dokumentieren, welche Daten verarbeitet werden, zu welchem Zweck, auf welcher rechtlichen Grundlage, wie lange sie aufbewahrt werden, was zur Sicherheit der Daten getan wird und so weiter. Auch wenn Verfahrensverzeichnisse heute Verzeichnisse von Verarbeitungstätigkeiten heißen und auch Datenverarbeitung im Auftrag mit Auftragsverarbeitung einen neuen Namen erhalten hat, so sind diese Formen der Dokumentation Schulen nicht gänzlich fremd. Trotzdem war die Dokumentation bei vielen Schulen bisher eher lückenhaft. Das war weitestgehend unproblematisch, denn passieren konnte Schulen deswegen nichts. Und wenn sich tatsächlich ein Betroffener meldete und wegen einer Datenschutzverletzung beschwerte, lag die Beweislast bei dieser Person. Sie musste erst einmal nachweisen, dass es zu einem Verstoß gegen datenschutzrechtliche Vorgaben gekommen war. Mit der Umsetzung der DS-GVO hat sich das deutlich geändert.
Schul-IT-Experte Jürgens weist aber auf einen wichtigen Unterschied hin: Durch die DSGVO hat sich die Beweislast umgekehrt. Bislang musste einer Schule erst einmal nachgewiesen werden, dass sie unsauber mit Daten arbeitet. Durch die neuen Regeln müssen sie nun lückenlos aufzeigen können, wie sie geltendes Recht in der Praxis einhalten.
Bedeutet konkret: Alles muss niet- und nagelfest dokumentiert und gesichert sein. Wer hat Zugriff auf personenbezogene Daten? Wo sind sie gespeichert? Sind sie ausreichend geschützt? Koordiniert werden muss all das ab sofort von einem designierten Datenschutzbeauftragten, etwa einem computeraffinen Lehrer. Schließlich verlangt die DSGVO ein Verzeichnis der Verarbeitungstätigkeiten, in das sämtliche Vorgänge und Prozesse, bei denen in der Schule personenbezogene Daten verarbeitet werden, einzutragen sind.
Kommt es nun zu einer Beschwerde durch Betroffene, müssen Schulen, durch ihre Dokumentation nachweisen können, dass sie die datenschutzrechtlichen Vorgaben eingehalten haben. Ohne Dokumentation stehen sie, sollte es zu einem gerichtlichen Verfahren um Schadensersatz kommen, äußerst schlecht da. Die Chancen, dass sie im Verfahren unterliegen, sind ohne ausreichende datenschutzrechtliche Dokumentation groß, selbst wenn sie sonst alles richtig gemacht haben. Es reicht nicht aus, sich an alle datenschutzrechtlichen Vorgaben gehalten zu haben, wenn man es nicht belegen kann.
Diese Webseite möchte aus genau diesem Grund, Schulen und Datenschutzbeauftragte dabei unterstützen, eine korrekte und vollständige Dokumentation zu erstellen und zu pflegen, mit Einwilligungen, Datenschutzerklärungen, Informationsschreiben, Datenschutzordnungen, Verfahrensverzeichnissen, Anleitungen und mehr.
Quelle: Neue Datenschutzregeln: Hat die DSGVO Schulen ins Chaos gestürzt? FAZ; 26.06.2018