Verzeichnis von Verarbeitungstätigkeiten

Lesezeit: 9 Minuten

Nach Art. 30 der Datenschutz Grundverordnung hat jeder Verantwortliche, im Fall einer Schule also jede Schulleitung, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses umfasst Angaben zu sieben Inhaltsbereichen:

  1. der Verantwortliche (Schulleitung), ein Vertreter (z.B. Konrektor) und der Datenschutzbeauftragte (in der Regel der behördlich bestellte schulische Datenschutzbeauftragte)
  2. Zwecke der Verarbeitung (z.B. Schülerdatenverwaltung, Schulpflichüberwachung, Stundenplanerstellung, Kommunikation, Zeugniserstellung, …)
  3. Kategorien betroffener Personen (Schüler, Eltern, Lehrkräfte, Lehramtsanwärter) und Kategorien von Daten (z.B. Grunddaten, Organisations- u. Schullaufbahndaten, Leistungsdaten, nach VO-DV I, Lehrerdaten nach VO-DV II)
  4. Kategorien von Empfängern (interne Empfänger wie Lehrkräfte, Schüler, Verwaltung, externe Empfänger wie Eltern, Gesundheitsämter, Schulamt, Schulen, Schulaufsicht, … Hier wird auch ein Auftragsverarbeiter eingetragen, falls die Verarbeitung nicht auf IT im eigenen Haus erfolgt.1      Was genau versteht man unter Auftragsverarbeitung? Das könnte ein kommunales Rechenzentrum sein, ein IT Dienstleister, ein Cloud Anbieter, ein Online Portal u. Ä. Darunter fallen auch Anbieter wie Microsoft, Apple, Google, Logineo NRW, …)
  5. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation trifft in der Regel nicht zu bei Schulen
  6. Fristen für die Löschung der verschiedenen Datenkategorien entsprechend §9 VO-DV I (Schüler) und §9 VO-DV II (Lehrer)
  7. Beschreibung der technischen und organisatorischen Maßnahmen, die sogenannten TOM (nach Artikel 32 Absatz 1 DS-GVO)2       Für Hinweise zu Punkt 7 siehe auch „https://www.datenschutzzentrum.de/uploads/dsgvo/Hinweise-zum-Verzeichnis-von-Verarbeitungstaetigkeiten.pdf“ und dort dann Ziffer 6.7 und 6.8)3       Siehe dazu auch die Erklärung auf dieser Website unter Technische und organisatorische Maßnahmen.

Nummer 1 braucht man nur einmal erstellen, da es für alle Verarbeitungstätigkeiten identisch ist. Nummer 7 kann man, je nach Situation, auch durch ein Sicherheitskonzept ersetzen. Im Bereich der Verwaltung macht dieses Sinn, da hier die Verarbeitung von personenbezogenen Daten auf eine begrenzte Anzahl von Verarbeitungstätigkeiten und Personen beschränkt ist und die verarbeiteten personenbezogenen Daten bei diesen Verarbeitungstätigkeiten große Überschneidungen aufweisen.

Vielfach stellt sich die Frage, was eigentlich eine Verarbeitungstätigkeit ist und wie man sie abgrenzt. Der Themenbeitrag VERARBEITUNGSTÄTIGKEIT setzt sich damit auseinander und erklärt den Begriff.

Downloads

Bitte beachten Sie, dass je nach Ihrer Schule Unterschiede bestehen können. Diese hängen von der Schulstufe ab wie auch den Erfordernissen im Schulalltag. Diese Vorlagen decken die Nummern 1 – 6 ab. Für Nummer 7, die TOM, gibt es eine Leervorlage, da sich die Maßnahmen je nach Verarbeitungstätigkeit und dem dabei genutzten Verfahren/ Software sehr unterscheiden können.

Man kann sich die Arbeit mit den TOM erleichtern, wenn bei der jeweiligen Beschreibung der Verarbeitungstätigkeit auf das schulische Sicherheitskonzept Datenschutz verwiesen wird. Bei den TOM der einzelnen Verarbeitungstätigkeit brauchen dann nur noch eventuelle Besonderheiten ergänzt zu werden. Den Rest deckt das Sicherheitskonzept ab.

Vorblatt (1)

Das Vorblatt wird einmal ausgefüllt und allen Verarbeitungstätigkeiten vorangestellt.

Verarbeitungstätigkeiten (2-6)

Schulverwaltung

SchiLD NRW

Kategorien von Daten und Empfänger muss man hier je nach Schulstufe eventuell noch anpassen. Die Angaben sollten sich auch auf andere Schulverwaltungsprogramme übertragen lassen.

Schülerstammblatt

Zur Schulverwaltung gehören auch die Schülerstammblätter. Diese stellen nach Art. 4 DS-GVO Abs. 65„„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“ eine Verarbeitungstätigkeit dar und müssen über ein Verarbeitungsverzeichnis dokumentiert werden.

Sonstiger Datenbestand

Zusätzlich zum Schülerstammblatt gibt es noch weitere, überwiegend analog geführte Datenbestände, für die ebenfalls eine Dokumentation erforderlich ist. Da die unter Sonstiger Datenbestand zusammengefassten Verarbeitungstätigkeiten sehr verschieden sind, können sie nicht in einer einzigen Verarbeitungstätigkeit zusammengefasst werden.

Klassenbuch/ Kursbuch
Schülerakte
Beratungsunterlagen sonderpädagogischer, medizinischer, psychologischer und sozialer Art
Anmeldung Schüler Online

Weiterführende Schulen in NRW nutzen zur papierlosen Anmeldung von Schülern an das Berufskolleg die Plattform Schüler Online. Schulen pflegen hier personenbezogene Daten der Abgänger ein, die diese dann eigensständig ergänzen. Danach können die Daten an das aufnehmende Berufskolleg übergeben werden. Es handelt sich hier im Bereich des Anmeldeprozesses um eine Auftragsdatenverarbeitung. Ein entsprechender Vertrag wird von der Plattform zur Verfügung gestellt.

Einwilligungen

Auch das Einholen und Verarbeiten von Einwilligungen bezüglich der Verarbeitung von personenbezogenen Daten, deren Verarbeitung nicht durch das Schulgesetz oder anhängige Verordnungen legitimiert ist, stellt einen Verarbeitungsvorgang dar, der für das Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren ist.9Für diese Beschreibung ist es unerheblich, ob die Einwilligungen in Papierform eingeholt (und später digitalisiert und als PDF gespeichert) werden oder als E-Mail oder in elektronischer über eine Plattform. Es sind nur je nach Format der Einwilligung eventuell entsprechende TOM anzugeben.

E-Mail

E-Mail ist an Schule ein unverzichtbares Kommunikationsmittel. Ohne Verfahren der Verschlüsselung können damit jedoch nur allgemeine Informationen übermittelt werden, z.B. Elternbriefe oder Informationsschreiben für Lehrkräfte.

  • Diese sehr allgemein gehaltene Beschreibung der Verarbeitungstätigkeit ist für Schulen gedacht, die nur allgemeine Informationen per E-Mail kommunizieren. Das heißt, es werden über die E-Mail Adresse und den Namen der Kommunikationspartner hinaus keine weiteren personenbezogenen Daten aus dem Datenbestand der Schule nach VO-DV I § 4 kommuniziert. 10Die anonymisierten GPC Daten, die an IT NRW versandt werden, fallen nicht unter die DS-GVO, da es sich dabei nicht um personenbezogene Daten handelt.

Planung und Ermittlung des Unterrichtsbedarfs

Diese Beschreibung erfasst alle die in der VO-DV II Anlage 1 unter Nr. 1a aufgeführten Verarbeitungszwecke11Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung. Hier sind, anders als bei der folgenden Beschreibung auch Schüler betroffen, etwa in Klassen- oder Kurslisten.

Durchführung des Unterrichts

In dieser Beschreibung sind alle unter VO-DV II Anlage 1 Nr. 1b aufgeführten Verarbeitungszwecke 12Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten erfasst.

Schulleitung

Akte der Schulleitung

Bei der Schulleitung gibt es die Akte der Schulleitung, die überwiegend in analoger Form geführt wird. Soweit die personenbezogenen Daten der Lehrkräfte in der Akte der Schulleitung nicht unter § 121 Absatz 2 Satz 3 Schulgesetz NRW fallen oder in der VO-DV II Anlage 2 entsprechend gekennzeichnet sind, können sie auch digital verarbeitet bzw. geführt werden.

ASDPC

Amtliche Schuldaten über PC oder kurz ASDPC ist eine Verarbeitungstätigkeit, bei der es um die Erstellung der jährlichen Schulstatistik geht, welche dann an IT.NRW übermittelt wird. Zur sicheren Übertragung werden die Daten verschlüsselt übertragen. IT.NRW nutzt die Möglichkeit von ASDPC auch zur sicheren Übermittlung von Daten an die Schulen, die diese dann mittels ASDPC und des hinterlegten Schlüssels entschlüsseln können.

GPC

Dieses NRW spezifische Programm wird in der Regel nur von der Schulleitung selbst genutzt, um Krankheitstage der Lehrkräfte zu erfassen, BEM Verfahren einzuleiten und Am Jahresende einen summierten Datensatz an das MSB zu liefern.13Auf der GPC Seite für Schulverwaltungssoftware in NRW gibt es ein „Verfahrensverzeichnis“ in alter Form, welches vorerst weiter genutzt werden könnte. Die Verfahrensbeschreibung unten stellt die dort eingetragenen Informationen in vereinfachter Form dar, so wie es jetzt sein sollte.

Lehrkräfte

Wenn Lehrkräfte einer Schule mit Genehmigung durch die Schulleitung personenbezogene Daten aus der Schule auf privaten Endgeräten (PC, Laptop, Tablet, Smartphone) verarbeiten, dann muss auch dieses im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Die Beschreibung orientiert sich weitestgehend an der Genehmigung, da auch diese eine Beschreibung der Verarbeitungstätigkeit enthält14 Diese ist allerdings noch orientiert am alten DSG NRW und BDSG..

Unterricht

Auch im Unterricht gibt es Verarbeitungstätigkeiten von personenbezogenen Daten. Das ist beispielsweise der Fall, wenn Schüler sich im pädagogischen Netz anmelden und dafür individuelle, zuordenbare Nutzernamen haben.

Pädagogisches Netz

Für einfache „klassische“ pädagogische Netze, ohne Nutzung von externen Anbietern15Darunter würden nicht nur Apple, Microsoft mit Office 365 Cloud oder Google fallen, sondern auch diverse LMS, die nicht auf einem Server in der Schule liegen. Das würde auch ein Moodle betreffen, welches beim Schulträger oder einem beauftragten Dienstleister gehostet ist. sollte die folgende Vorlage ausreichen. Eine Anpassung auf die aktuellen schulischen Gegebenheiten ist eventuell erforderlich.

Unterrichtsdurchführung und Teamarbeit mit Office 365

Nutzt eine Schule Microsoft Office 36516Diese Beschreibung ist nicht für das Angebot mit der Microsoft Cloud Deutschland gedacht, die Anfang 2019 ausläuft, sondern meint das „normale“ Angebot, bei welchem die Daten überwiegend auf europäischen Servern liegen. zur Durchführung von Unterricht, zur Teamarbeit der Lehrkräfte und zur Kommunikation17Es geht hier nicht um eine Nutzung in der Verwaltung! Während die offline Versionen von Microsoft Office für Verwaltung und die Verarbeitung von personenbezogenen Daten genutzt werden kann, ist dieses bei der Office 365 Version aktuell aus datenschutzrechtlicher Sicht nicht möglich., deckt diese Beschreibung die damit einhergehenden Verarbeitungstätigkeiten zusammenfassend ab.

Unterrichtsdurchführung und Teamarbeit mit G Suite for Education

Diese Beschreibung umfasst die Nutzung von G Suite for Education im Unterricht18Eine Nutzung für Verwaltungsaufgaben ist nur zulässig, solange es um allgemeine Informationen geht. Personenbezogene Daten aus der Schulverwaltung dürfen unter den aktuellen Voraussetzungen nicht in G Suite for Education verarbeitet werden! und für Teamarbeit und beeinhaltet auch die dafür erforderliche Nutzerverwaltung19Ob man die Nutzerverwaltung als eigene Verarbeitungstätigkeit definieren möchte, ist Ansichtssache, jedoch nicht vorgeschrieben.

Nutzung eines LMS

Schulen nutzen zunehmend Lern Management Systeme, wie etwa Moodle, für den Unterricht. Dabei werden personenbezogene Daten verarbeitet, für die Nutzerverwaltung, die Durchführung von Unterricht und die technischen Abläufe. Diese Beschreibung lässt sich leicht für Moodle und ähnliche Plattformen anpassen, da die Grundfunktionalitäten weitestgehend übereinstimmen.20Auch eine Anpassung für Office365 (mit oder ohne Cloud), G Suite for Education und Apple iCloud ist möglich.

Standardisierte Testverfahren

Diagnostische Tests kommen an Schulen vor allem in den unteren Klassen zum Einsatz. Viele werden noch analog durchgeführt, teilweise jedoch digital ausgewertet und einige Tests beinhalten eine Übermittlung von Daten an Dritte. Die Beschreibung der Verarbeitungstätigkeit erfasst alle möglichen Formen.21Weiterführende Schulen löschen unter Verarbeitungszwecke den Zweck Feststellung der Schulfähigkeit oder des Sprachstandes und die Rechtsgrundlage dazu.

Bewerbungsverfahren

Für Bewerbungen reichen Bewerber Unterlagen direkt bei der Schule ein, oft mit Inhalten, die über die geforderten hinausgehen22siehe z.B. Checkliste für Lehramtsinhaberinnen und Lehramtsinhaber und Checkliste für den Seiteneinstieg für Bewerberinnen und Bewerber ohne Lehramt

Öffentlichkeitsarbeit und Information

Schulhomepage

Da auf der Schulhomepage personenbezogene Daten verarbeitet werden, ist auch hier eine Beschreibung der Verarbeitungstätigkeit erforderlich.

Diese Beschreibung ist recht allgemein gehalten und berücksichtigt sowohl die personenbezogenen Daten von Schülern und Lehrkräften im Rahmen von Berichten auf der Webseite, sondern auch die Veröffentlichung von Informationen über Lehrkräfte im Rahmen des IFG NRW und die personenbezogenen Daten von Besuchern der Webseite allgemein. Aufgeführt sind auch Informationen für Newsletter, Kontaktformular und Kommentarfunktion, falls benötigt. Hier sind entsprechend Anpassungen vorzunehmen. Zusätzliche externe, in die Website eingebundene Dienste wie Google Maps, Youtube, Besucheranalysefunktionen, LearningApps und ähnlich, sollten über eigene Beschreibungen von Verarbeitungstätigkeiten für das Verzeichnis dokumentiert werden.

Pressearbeit

Viele Schulen schreiben auch eigene Berichte für die lokale Presse und lokale News Portale, um über das Schulleben, Neuigkeiten und Erfolge zu berichten. Dabei sind häufig personenbezogene Daten im Spiel, meistens Namen, oft auch Fotografien.

Digitales Schwarzes Brett

Im Schulalltag ist es wichtig, auf dem Laufenden zu bleiben. Digitale Schwarze Bretter ersetzen zunehmend den Schaukasten, die Pinnwand und das Schwarze Brett im Lehrerzimmer. Inhalt von digitalen Schwarzen Brettern sind oft Vertretungspläne und teilweise auch Berichte über das Schulleben. Zu berücksichtigen sind bei der Beschreibung der Verarbeitungstätigkeit, ob das digitale Schwarze Brett lokal betrieben wird oder über den Webserver eines Dienstleisters und ob dann eine Zugriffsmöglichkeit über Browser oder App für Lehrkräfte und eventuell auch Schüler besteht.

Variante ohne Online Zugriff über Browser oder App

In dieser Variante geht es um ein digitales Schwarzes Brett, welches nur in der Schule einzusehen ist und im Lehrerzimmer umfangreichere Informationen anzeigt als in dem Bereich, wo Schüler es einsehen können. Es ist anzupassen, ob es über einen Server im Haus läuft oder über den Webserver eines externen Anbieters.

Diverse Verarbeitungstätigkeiten

Schulbuchausleihe – Schülerbibliothek

Die Ausleihe in der Schüler- oder Schulbibliothek stellt eine Verarbeitung von personenbezogenen Daten dar, wenn die Ausleihe personenbezogen erfolgt. Dabei ist es egal, ob mit Karteikarten gearbeitet wird oder digital.23In Grundschulen erfolgt die Ausleihe teilweise klassenbezogen ohne Erfassung der Schüler. Dieses braucht keine Beschreibung als Verarbeitungstätigkeit, da personenbezogene Daten fehlen. Einige Schulen steuern auch die Ausgabe von Schulbüchern personenbezogenen Daten, in der Regel digital, um nachhalten zu können, wer welches Buch entliehen und zurückgegeben hat. Schulen, die nur eine Schülerbibliothek betreiben und keine personalisierte Schulbuchausleihe, können die die Schulbuchausleihe betreffenden Angaben streichen.

Organisation und Durchführung von Sportwettkämpfen und Turnieren

Ob es sich um Bundesjugendspiele handelt, Laufabzeichentage, Hallenfußballturniere oder ähnlich, die Organisation und Durchführung von Sportwettkämpfen ist immer auch mit der Verarbeitung von personenbezogenen Daten verbunden, egal ob dieses mit handgeschriebenen Listen, digitalen Zeitnahmesystemen, Apps auf Mobilgeräten, Computerprogrammen oder einer Kombination mehrer Systeme erfolgt.

Erstellung von Schülerausweisen

Schüler haben einen Anspruch auf Ausstellung eines Schülerausweises. Entweder die Schule druckt diesen selbst und nimmt dafür Fotos der Schüler an, oder man fertigt die Fotos in der Schule an. Einige Schulen beauftragen einen externen Dienstleister mit der Anfertigung der Ausweise. Dazu kann auch die Anfertigung der Fotos durch einen Fotografen des Dienstleisters gehören.

Verarbeitungstätigkeiten aus dem Bereich Schultechnik

Elektronische Schließanlage

Schulträger setzen zunehmend auf elektronische Schließanlagen zur Sicherung des Zutritts zum Gebäude. Das Thema ist datenschutzrechtlich in NRW nicht ganz unumstritten und es ist deshalb anders als in anderen Bundesländern schwierig, eine elektronische Schließanlage datenschutzkonform zu betreiben.24Siehe dazu auch den Beitrag Elektronische Schließanlagen in Schulen – ein Problem – zwei Sichten, in dem die Problematik erklärt wird. In NRW ist die Schulleitung für die Datenverarbeitung verantwortlich. Das betrifft somit auch elektronische Schließanlagen.25Bitte beachten Sie, dass in NRW für den Betrieb einer elektronischen Schließanlage ein Vertrag zur Auftragsdatenverarbeitung zwischen Schule als Auftraggeber und Schulträger als Auftragnehmer erforderlich ist.

Kopierer mit Benutzer- und Kopierkontingentverwaltung

Fast jede Schule nutzt Kopierer, die es erlauben, einzelnen Lehrkräften, ein Kontingent an Kopien zuzuweisen. Das stellt eine Verarbeitungstätigkeit dar und muss dokumentiert werden. Verschiedene Modelle von Kopierern kommen mit höchst unterschiedlichen Möglichkeiten zur Verwaltung der Nutzer. Die Vorlage berücksichtigt dieses mit ergänzenden Hinweisen zur Anpassung.

Technische und Organisatorische Maßnahmen (7)

TOM – Leervorlage

Zu jeder Beschreibung einer Verarbeitungstätigkeit gehört der Bereich Technische und Organisatorische Maßnahmen, mit welchen die Sicherheit der Verarbeitung und der Schutz der personenbezogenen Daten gewährleitet werden soll. Diese Leervorlage hilft, diesen Teil eigenständig zu erstellen. Welche möglichen Inhalte in Frage kommen, kann man einfach im folgenden Sicherheitskonzept nachschauen. Man füllt dabei jedoch nur noch die für die jeweilige Verarbeitungstätigkeit besonderen technischen und organisatorischen Maßnahmen ein26Ein Beispiel hierfür wäre bei SchiLD NRW die Nutzung der verschlüsselten Version der Datenbank, was man unter Verschlüsselung einträgt. Bei Vertraulichkeit könnte man ergänzen, dass man mit einem Rollenkonzept arbeitet und bei Verfügbarkeit, dass vor jeder größeren Veränderung eine Sicherung angelegt wird. . Für den Rest, der über alle Verarbeitungstätigkeiten gleichen Maßnahmen verweist man einfach auf das Schulische Sicherheitskonzept Datenschutz, welches man seiner Dokumentation hinzufügt.

Schulisches Sicherheitskonzept Datenschutz (TOM)

Ein Sicherheitskonzept mit technischen und organisatorischen Maßnahmen für den Bereich der Verwaltung, einschließlich der Verarbeitung von personenbezogenen Daten durch Lehrkräfte auf deren privaten Endgeräten. Eine Anpassung auf die jeweilige schulische Situation ist an einigen Stellen erforderlich. Manche beschriebene Maßnahme könnte vielleicht auch eine Anregung zu einer Verbesserung der von Ihnen getroffenen Maßnahmen sein.

Schulisches Löschkonzept

Auch wenn in den Verordnungen zur Datenverarbeitung, VO-DV I & II, klar geregelt ist, welche Daten wie lange aufzubewahren und wann zu löschen sind, ist die Umsetzung dieser Vorgaben im schulischen Alltag nicht einfach. Das Löschkonzept soll helfen, den Überblick zu behalten. Es regelt, wer für welche Daten zuständig ist, wann und wie welche Daten zu löschen sind. Auch an die Übergabe von Unterlagen an das Archiv ist dabei gedacht. Das Konzept ist sehr umfangreich und erfordert eine intensive Auseinandersetzung mit dem komplexen Thema. Eine Anpassung an eigene Gegebenheiten ist erforderlich.27Bei Absprachen mit dem zuständigen Archiv wird man vermutlich zusätzliche Unterlagen erstellen, etwa Tabellen, in welchen zu übergebende Materialien erfasst werden mit Namen und weiteren für Archivzwecke erforderlichen Angaben.