Verarbeitungstätigkeit

Lesezeit: 3 Minuten

Der Begriff Verarbeitungstätigkeit ist im Zusammenhang mit dem sogenannten Verzeichnis von Verarbeitungstätigkeiten1Siehe Art. 30 DS-GVO Satz 1: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ von Bedeutung. Bei dieser Vorgabe belässt es die Datenschutz Grundverordnung (DS-GVO) dann. In Art. 30 ist zwar angegeben, welche Inhalte dieses Verzeichnis haben soll und dass es sowohl in Papierform als auch digital geführt werden kann, was genau eine Verarbeitungstätigkeit definiert, ist dabei jedoch nicht angegeben. In §70 Bundesdatenschutzgesetz (BDSG) spricht man von einem Verzeichnis aller Kategorien von Verarbeitungstätigkeiten. Dieses deutet auf eine mögliche Zusammenfassung von einzelnen Verarbeitungstätigkeiten hin, definiert jedoch ebenfalls nicht näher, was unter einer Verarbeitungstätigkeit selbst zu verstehen ist oder einer Kategorie derselben.

In den Jahren vor der DS-GVO sprach man anstelle von Verarbeitungstätigkeiten von Verfahren2Es war jedoch auch im BDSG der alten Fassung der Begriff des ‚Verfahrens‘ nicht näher definiert.und Verfahrensverzeichnissen. Eine Begriffsbestimmung von Verfahren in Orientierung an Art. 4d des BDSG in der alten Fassung (aF) findet sich bei Richter und Fries3Richter/Fries in Datenschutz in Nordrhein Westfalen, 2. neubearbeitete Auflage, S. 262,

„Als ‚Verfahren‘ ist aber ein Bündel von automatisierten Verarbeitungen personenbezogener Daten zu verstehen, mit dem eine oder mehrere miteinander verbundene Zweckbestimmung(en) realisiert werden soll, zu verstehen.“

Den bzw. die gemeinsamen Zwecke stellen auch andere Autoren in den Vordergrund.4Hartung in Kühling/Buchner Art. 30 RN 14 Ein

„maßgebliches Kriterium zur Zusammenfassung war somit, ob die einzelnen Verarbeitungen zu einem einheitlichen Zweck erfolgten.“

Da die DS-GVO keine Begriffsbestimmung liefert, man beim alten BDSG jedoch sehr gut mit der daraus abgeleiteten Begriffsbestimmung arbeiten konnte, kommt man in der Fachliteratur zu dem Schluss, sich bei der Bestimmung des Begriffs Verfahrenstätigkeit an den Kriterien zu orientieren, die man auch beim Verfahren zugrunde gelegt hat.5„Dennoch sprechen praktische Erwägungen dafür, dem Begriff der Verarbeitungstätigkeit in Art. 30 das gleiche Verständnis zugrunde zu legen wie dem des ‚Verfahrens‘ nach §§ 4g Abs. 2, 4e.“ in Hartung in Kühling/Buchner Art. 30 RN 15

Somit geht es, auch mit dem Ziel der Wahrung der Übersichtlichkeit und Vermeidung überflüssiger Bürokratie beim Verzeichnis der Verarbeitungstätigkeiten um eine übersichtliche Auflistung der Verarbeitungstätigkeiten, in welcher

„einzelne  – kleinschrittige – Verarbeitungen unter dem Oberbegriff einer Verarbeitungstätigkeit zusammengefasst werden.“6Hartung in Kühling/Buchner Art. 30 RN 15

Bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten einer Schule, lassen sich demnach alle einzelnen Verarbeitungen, die einen einheitlichen Zweck verfolgen, zu einer einzelnen Verarbeitungstätigkeit zusammenfassen.

Im Vordergrund stehen deshalb bei der Erstellung eines Verzeichnisses von Verarbeitungsätigkeiten nicht die einzelnen Programme, mit denen man Arbeitet, sondern die Verarbeitungszwecke. Das kann auch bedeuten, dass dabei verschiedene Programme in einer Verarbeitungstätigkeit zum Einsatz kommen. Umgekehrt ist es auch denkbar, die Verarbeitungen, die in sehr umfangreichen Softwarepaketen stattfinden, in mehr als eine Verarbeitungstätigkeit aufzuteilen. Wie eng oder weit man den Begriff der Verarbeitungstätigkeit bzw. das Verfolgen eines einheitlichen Zwecks dabei fasst, hängt dabei sicherlich auch von den Zwecken ab.

Eine gute erste Orientierung für verschiedene Verarbeitungstägigkeiten bieten für Schulen in NRW die VO-DV I Anlage 1 und 2 und VO-DV II Anlage 1 und 2 7Eine sehr knappe Auflistung der Verarbeitungszwecke findet sich auch in §121 Abs. 1 SchulG NRW.. Hier sind Verarbeitungszwecke aufgeführt, denen dann die dafür erforderlichen personenbezogenen Daten zugeordnet sind.

Bei Lehrkräften ist es relativ einfach, anhand der Verarbeitungszwecke Verarbeitungstätigkeiten zu beschreiben.

  • 1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
    • a) Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
    • b) Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  • 2. Erledigung der laufenden schulischen Angelegenheiten
    • a) Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
    • b) Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
    • c) Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
    • d) Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  • 3. Statistische Daten
  • 4. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  • 5. Lehrerfortbildung
  • 6. Erfüllung der Schulleitungsaufgaben (Akten der Schulleitung )

Wenn man jetzt hier für 1. zwei Beschreibungen erstellt, für 2. vier Beschreibungen und dann für 3. – 6. je eine, hätte man maximal 10 Beschreibungen, was die Verarbeitung von personenbezogenen Daten der Lehrkräfte angeht.8Eventuell könnte man 2. a) und b) zusammenfassen. GPC sollte keine eigene Beschreibung benötigen, sondern sich unter Nr. 6 mit erfassen lassen.

Was die Schüler angeht, ist die Einteilung etwas schwieriger, da es sehr viel mehr Verarbeitungszwecke gibt. Eine mögliche Einteilung in Verarbeitungstätigkeiten entsprechend den Vorgaben in der VO-DV I Anlage 1 und 2 könnte wie folgt vorgenommen werden.

  • Schüler Individual- und Organisationsdatenverwaltung
  • Schüler Leistungsdatenverwaltung und Zeugniserstellung9Da diese beiden Verarbeitungskategorien sehr eng verwandt sind, könnte man sie auch in eine Beschreibung packen – in SchiLD NRW laufen sie in einer Software.
  • Dokumentation des Unterrichts
  • Dokumentation der Leistungsbewertung
  • Dokumentation aller den Schüler betreffenden Vorgänge und Beratungsunterlagen
  • Übersichten aus bestehenden Sammlungen und über Leistungsdaten

Darüber hinaus gibt es noch diverse Verarbeitungstätigkeiten, die nicht direkt in den Verordnungen erfasst sind oder eventuell separat beschrieben werden könnten:

  • Öffentlichkeitsarbeit, Information (z.B. über Schulhomepage, Schulzeitung)
  • Kommunikation mit Schülern, Eltern und Lehrkräften (und externen Stellen)10Es findet sich in beiden Verordnungen zur Datenverarbeitung etwas zur Kommunikation mit Schülern, Eltern und Lehrkräften. Externe Stellen sind mehr indirekt erfasst. Da Kommunikation ein einheitlicher Verarbeitungszweck ist, bietet es sich an, eine gesonderte Beschreibung für eine Verarbeitungstätigkeit „Kommunikation“ zu erstellen. Diese würde alle Formen der Kommunikation erfassen, E-Mail, Brief wie auch möglicherweise den Austausch über eine Plattform.
  • Unterrichtliche Arbeit mit einem Lernmanagementsystem
  • Organisation kollegialer und fachlicher Teamarbeit (z.B. in einer Cloudlösung wie Logineo NRW oder Office 365 Cloud)
  • Zugangssicherung zum Gebäude (z.B. mittels einer Schließanlage)

In Orientierung an den hier genannten Verarbeitungszwecken finden sich im Downloadbereich unter Service-Downloads > Verzeichnis von Verarbeitungstätigkeiten verschiedene vorbereitete Vorlagen für die Beschreibung von Verarbeitungstätigkeiten, die Schulen nach ihren Bedürfnissen anpassen können.

DS-GVO – Datenschutz – welche Baustellen sind für Schulen aktuell wichtig?

Lesezeit: 6 Minuten

Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO) im Mai diesen Jahres begann für viele Schulen eine Zeit mit großen Unsicherheiten. Kann mir als Schule etwas passieren? Wo muss etwas getan werden? Sind Abmahnungen und Bußgelder in Millionenhöhe eine Gefahr und wie kann ich sie vermeiden? Vor allem die Homepages der Schulen wurden vielfach zum Sorgenkind, da sich hartnäckig Gerüchte über Abmahnungen für fehlende Datenschutzerklärungen und Datenerhebungen ohne Einwilligung hielten. Auch was Fotografien angeht, war und ist die Unsicherheit groß, wie Beispiele mit Fotoverboten bei Entlass- und Einschulungsfeiern und Massenlöschungen von Bildern auf Schulhomepages zeigen.

Mittlerweile hat sich die Aufregung gelegt. Manches wird klarer. Einige Reaktionen an Schulen waren vielleicht etwas übereilt und teilweise auch völlig überzogen, wenngleich verständlich und nachvollziehbar. Bei aller Aufregung um die Datenschutz Grundverordnung sollte jedoch nicht vergessen werden – im schulischen Alltag funktioniert der Datenschutz bisher mehrheitlich gut, und daran hat sich seit Mai diesen Jahres auch nichts geändert.

Nichts wird so heiß gegessen, wie es gekocht wird. Das gilt hier ebenso. Ganz sicher gibt es an fast jeder Schule Optimierungsbedarf beim Datenschutz, doch Schulen haben genug andere, drängendere Probleme zu bewältigen. Die folgende Übersicht soll vermitteln,  wo zeitnah Handlungsbedarf besteht und bei welchen Datenschutzthemen man es ruhiger angehen lassen kann.

Einwilligungen

Sie stellen das vermutlich dringlichste Thema dar, denn eine Schule muss nachweisen können, dass eine Einwilligung vorliegt, wenn personenbezogene Daten verarbeitet werden, die nicht auf gesetzlicher Grundlage (SchulG NRW, DS-GVO I & II) erhoben wurden. Nur so kann sie sich vor rechtlichen Folgen schützen. Alte Einwilligungen können, wenn sie gewisse Vorgaben erfüllen, weiter genutzt werden. Trifft das nicht zu oder es gibt gar keine Einwilligungen, sollte man mit gesundem Menschenverstand abwägen, ob es Sinn macht, die Einwilligung zu erneuern bzw. nachträglich einzuholen. Sind die Betroffenen noch Schüler bzw. Beschäftigte der Schule, sollte man auf jeden Fall aktuelle Einwilligungen dieser Personen haben, wenn es um neue Fotografien und Videos geht. Auch bei Zweckänderungen in der Verarbeitung von bereits erhobenen personenbezogenen Daten sollte man sich entsprechend durch eine Einwilligung absichern. Geht es um Bilder oder Berichte auf der Schulhomepage, die Personen sind nicht mehr an der Schule, haben sich aber nie beschwert, so belässt man die Dinge wie sie sind. Sollte irgendwann doch einmal ein Betroffener eine Löschung wünschen, kommt man dieser nach und das Thema ist damit in der Regel erledigt. Dass sich hieraus ein Rechtsstreit ergibt ist mit der DS-GVO nicht wahrscheinlicher geworden als zuvor.

Einwilligungen stehen hier an erster Stelle, da Betroffene vor Gericht auf Schadensersatz klagen können, wenn die Schule personenbezogene Daten ohne ihre Einwilligung verarbeitet und diese z.B. auf der Schulhomepage veröffentlicht oder an Dritte übermittelt.

Risiken minimieren

Auch wenn es insgesamt gut bestellt ist um den Datenschutz in der Schule, so beobachtet man doch immer wieder Praktiken, die riskant sind und zu viel Ärger und empfindlichen Strafen führen können, wenn es dann doch einmal schief geht. Gemeint sind folgende Bereiche:

  1. Keine personenbezogenen Daten per E-Mail versenden, wenn das E-Mail nicht verschlüsselt ist. Der Schulträger, die Verkehrsbetriebe oder eine andere Stelle benötigt eine Liste mit Teilnehmern oder das Schulamt fragt an wegen eines Schülers. Tabellen und Word Dokumente werden dann schnell verschickt. Es ist einfach und bequem – aber extrem unsicher! Auch wenn es mehr Arbeit macht, nutzen Sie einen sicheren Weg und wenn es per Brief ist oder Fax – falls Sie nicht in der Lage sind, E-Mails zu verschlüsseln.
  2. Transport von personenbezogenen Daten nur auf gesicherten Datenträgern! Einen USB Stick hat man schnell verloren, eine externe Festplatte bleibt auch einmal wo liegen. Ungesichert kann jeder den Inhalt auslesen. Falls man selbst keinen USB Stick verschlüsseln kann – es gibt solche mit integrierter Verschlüsselung. Sie kosten zwischen 20 und 30 € und sind einfach zu nutzen und sicher.
  3. Keine Aufnahmen von Schülerinnen und Schülern mal eben so! Es gibt viele schöne Projekte im Unterricht, wo es passend scheint, Aufnahmen zu anzufertigen, Bewegungsanalysen im Sportunterricht, ein Sketch im Fremdsprachunterricht und ähnlich. Auch wenn die Schüler nichts dagegen haben, sichert man sich besser durch eine Einwilligung ab. Man kann dieses bei der Anmeldung an der Schule machen oder später anlassbezogen nachholen. Besondere Anlässe benötigen immer eine anlassbezogene Einwilligung!
  4. Vor Veröffentlichung von personenbezogenen Daten – insbesondere Fotos und Videos – vergewissern, dass eine Einwilligung vorliegt! Wenn es an ihrer Schule Schüler oder Lehrkräfte gibt, die eine Einwilligung für die Veröffentlichung von personenbezogenen Daten generell oder bestimmten Formen (z.B. Fotos) nicht gegeben oder diese widerrufen haben, gehen sie vor jeder Veröffenlichung sicher, dass hier kein Fehler gemacht wird, denn dieses kann teuer werden. Wer nicht einwilligt oder eine Einwilligung widerruft, wird mit Sicherheit auf seinem Recht bestehen, auch vor Gericht.
  5. Melden sie ihre Schüler nicht mal einfach so auf irgendeiner Plattform an! Solange eine Plattform ohne Anmeldung mit personenbezogenen Daten genutzt werden kann, gibt es keine Probleme. Wenn sie für ihre Schüler ohne Einwilligung auf einer Plattform unter Verwendung personenbezogener Daten User anlegen, kann das Ärger geben. Bitte beachten sie, nach der DS-GVO sind in Deutschland Schüler selbst erst ab 16 Jahren einwilligungsfähig! Denken sie außerdem daran, dass die Nutzung einer externen Plattform mit personenbezogenen Daten eine Genehmigung durch die Schulleitung braucht und eventuell einen Vertrag zur Auftragsverarbeitung.
  6. Geben Sie keine personenbezogenen Daten ohne die entsprechende Einwilligung weiter! Eine Telefonliste für alle Eltern, die am ersten Elternabend anwesend sind, einschließlich der Telefonnummern der Eltern, die nicht anwesend sind, was ist schon dabei? Das örtliche Geldinstitut möchte gerne eine Teilnehmerliste der Zehner haben, die am Seminar in der Filiale teilnehmen. Kein Problem, oder? Leider doch. Schulen dürfen ohne Einwilligung nur personenbezogene Daten weitergeben, wenn dieses durch entsprechende Rechtsvorschriften abgedeckt ist, sonst nicht. Bevor also die Telefonliste herausgegeben wird an alle Eltern mit allen Nummern, muss erst die Einwilligung der fehlenden Eltern eingeholt werden. Bei den Zehnern braucht es die der Schülerinnen und Schüler, schriftlich, damit sie die Einwilligung nachweisen können.
  7. Vernichten bzw. löschen sie personenbezogene Daten sicher! Wenn personenbezogene Daten aus der Schule im Müll auftauchen oder auf dem Flohmarkt, gespeichert auf einer entsorgten Festplatte, dann kann das schwer ins Auge gehen. Deswegen sollten alle diese Unterlagen, ob in Form von Papier oder digitalen Medien sachgerecht und sicher entsorgt werden. In jedes Schulsekretariat gehört ein guter Schredder zumindest DIN 66399‎. Ausgediente digitale Medien sollte man entweder selbst physikalisch zerstören oder durch einen Profi Entsorger vernichten lassen. Gleiches gilt für gößere Aktenmengen. Schulträger haben die entsprechenden Kontakte. Sicheres Löschen bzw. Vernichten gilt auch für Lehrkräfte. Sollen digitale Medien weiter im Haus genutzt werden, müssen sie durch entsprechende Software sicher gelöscht werden. Gehen sie außer Haus ist eine Zerstörung bzw. professionelle Entsorgung der bessere Weg.
  8. Verzichten sie als Schule auf einen Facebook Auftritt – aktuell sieht es sehr danach aus, dass man als Betreiber einer eigenen Facebook Fanpage, und darunter fällt auch eine schulische Facebook Präsenz, Mitverantwortung für die Datenerhebung und -verarbeitung durch Facebook trägt. Wer der Schule übel will, könnte das ausnutzen, um rechtliche Schritte gegen die Schule einzuleiten.11Sollten sie nicht auf die Facebook Präsenz ihrer Schule verzichten wollen, so würde ich auf jeden Fall dringend von der Veröffentlichung irgendwelcher personenbezogener Daten von Schülern und Lehrkräften abraten, vor allem von Fotos und Videos.

Schulhomepage

Auch wenn es bei der Schulhomepage bezüglich des Datenschutz keine Angriffspunkte gibt, wegen derer eine Schule abgemahnt werden könnte, sollte man vorbeugen und die Verarbeitung von personenbezogenen Daten auf das notwendige Minimum reduzieren. Es empfiehlt sich sehr, auf Website Elemente zu verzichten, die Daten erheben und an Dritte weiterleiten und stattdessen auf datenschutzfreundliche Alternativen zu setzen. Wenn es doch nicht ohne geht, dann muss in der Datenschutzerklärung darüber informiert werden. Aktuell gehen rechtliche Risiken in Bezug auf die Schulhomepage weniger von Seiten des Datenschutz aus als von Verletzungen des Urheberrechts oder des Persönlichkeitsrechts. Viele Schulen waren hier schon aktiv und es sollte kaum noch Handlungsbedarf bestehen.

Vertrag zur Datenverarbeitung im Auftrag

Wenn Schulen personenbezogene Daten durch externe Dienstleister verarbeiten lassen, sei es der Hoster für die Website, der Schulträger für ein Lernmanagementsystem, die Office 365 Cloud, Apple für die Managed Apple IDs, Westermanns Leseplattform Antolin oder ähnlich, so muss dieser dazu beauftragt werden. Hier gibt es eine Vorgabe für Schulen in NRW in der VO-DV I §2 Abs. 312(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.. Das Mittel, um die Beauftragung zu dokumentieren, ist ein Vertrag zur Auftragsverarbeitung, der auch elektronisch abgeschlossen werden kann. Es ist gut, wenn man die entsprechenden Verträge hat. Wer wird es kontrollieren? Vermutlich niemand. Sollte es beim Anbieter zu einem Datenschutzvorfall kommen, ist man mit einem Vertrag aber eindeutig auf der sicheren Seite.

Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO macht die Vorgabe, diese Verzeichnisse zu erstellen. Was genau eine Verarbeitungstätigkeit von einer anderen abgrenzt, bleibt bislang unklar. Wird der Datenschutz besser durch dieses Verzeichnis? Wohl nicht. Anders als noch die alten Verfahrensverzeichnisse, müssen die neuen Verzeichnisse Betroffenen nicht offengelegt werden. Auch die Vorabkontrolle durch die Datenschutzbeauftragten gibt es nicht mehr. Wenn überhaupt, dann könnte die Aufsichtsbehörde sie anfordern. Aber auch damit ist nicht zu rechnen, denn die geringe Zahl der Mitarbeiter lässt der Aufsichtbehörde dafür kaum Zeit. Man muss sich um Betriebe kümmern. Und anders als bei öffentlichen Stellen, zu denen Schulen zählen, können Betriebe mit Bußgeldern belegt werden, wenn die Dokumentation fehlt oder nicht stimmig ist. Das heißt: Schulen können dieses Thema weit hintenanstellen. Wenn Zeit und Ressourcen da sind, lädt man die passenden Vorlagen herunter, füllt das Vorblatt und ergänzt oder streicht, wo erforderlich und gut ist.

Verzeichnis von Verarbeitungstätigkeiten

Lesezeit: 8 Minuten

Nach Art. 30 der Datenschutz Grundverordnung hat jeder Verantwortliche, im Fall einer Schule also jede Schulleitung, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses umfasst Angaben zu sieben Inhaltsbereichen:

  1. der Verantwortliche (Schulleitung), ein Vertreter (z.B. Konrektor) und der Datenschutzbeauftragte (in der Regel der behördlich bestellte schulische Datenschutzbeauftragte)
  2. Zwecke der Verarbeitung (z.B. Schülerdatenverwaltung, Schulpflichüberwachung, Stundenplanerstellung, Kommunikation, Zeugniserstellung, …)
  3. Kategorien betroffener Personen (Schüler, Eltern, Lehrkräfte, Lehramtsanwärter) und Kategorien von Daten (z.B. Grunddaten, Organisations- u. Schullaufbahndaten, Leistungsdaten, nach VO-DV I, Lehrerdaten nach VO-DV II)
  4. Kategorien von Empfängern (interne Empfänger wie Lehrkräfte, Schüler, Verwaltung, externe Empfänger wie Eltern, Gesundheitsämter, Schulamt, Schulen, Schulaufsicht, … Hier wird auch ein Auftragsverarbeiter eingetragen, falls die Verarbeitung nicht auf IT im eigenen Haus erfolgt.13      Was genau versteht man unter Auftragsverarbeitung? Das könnte ein kommunales Rechenzentrum sein, ein IT Dienstleister, ein Cloud Anbieter, ein Online Portal u. Ä. Darunter fallen auch Anbieter wie Microsoft, Apple, Google, Logineo NRW, …)
  5. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation trifft in der Regel nicht zu bei Schulen
  6. Fristen für die Löschung der verschiedenen Datenkategorien entsprechend §9 VO-DV I (Schüler) und §9 VO-DV II (Lehrer)
  7. Beschreibung der technischen und organisatorischen Maßnahmen, die sogenannten TOM (nach Artikel 32 Absatz 1 DS-GVO)14       Für Hinweise zu Punkt 7 siehe auch „https://www.datenschutzzentrum.de/uploads/dsgvo/Hinweise-zum-Verzeichnis-von-Verarbeitungstaetigkeiten.pdf“ und dort dann Ziffer 6.7 und 6.8)15       Siehe dazu auch die Erklärung auf dieser Website unter Technische und organisatorische Maßnahmen.

Nummer 1 braucht man nur einmal erstellen, da es für alle Verarbeitungstätigkeiten identisch ist. Nummer 7 kann man, je nach Situation, auch durch ein Sicherheitskonzept ersetzen. Im Bereich der Verwaltung macht dieses Sinn, da hier die Verarbeitung von personenbezogenen Daten auf eine begrenzte Anzahl von Verarbeitungstätigkeiten und Personen beschränkt ist und die verarbeiteten personenbezogenen Daten bei diesen Verarbeitungstätigkeiten große Überschneidungen aufweisen.

Vielfach stellt sich die Frage, was eigentlich eine Verarbeitungstätigkeit ist und wie man sie abgrenzt. Der Themenbeitrag VERARBEITUNGSTÄTIGKEIT setzt sich damit auseinander und erklärt den Begriff.

Downloads

Bitte beachten Sie, dass je nach Ihrer Schule Unterschiede bestehen können. Diese hängen von der Schulstufe ab wie auch den Erfordernissen im Schulalltag. Diese Vorlagen decken die Nummern 1 – 6 ab. Für Nummer 7, die TOM, gibt es eine Leervorlage, da sich die Maßnahmen je nach Verarbeitungstätigkeit und dem dabei genutzten Verfahren/ Software sehr unterscheiden können.

Man kann sich die Arbeit mit den TOM erleichtern, wenn bei der jeweiligen Beschreibung der Verarbeitungstätigkeit auf das schulische Sicherheitskonzept Datenschutz verwiesen wird. Bei den TOM der einzelnen Verarbeitungstätigkeit brauchen dann nur noch eventuelle Besonderheiten ergänzt zu werden. Den Rest deckt das Sicherheitskonzept ab.

Vorblatt (1)

Das Vorblatt wird einmal ausgefüllt und allen Verarbeitungstätigkeiten vorangestellt.

Verarbeitungstätigkeiten (2-6)

Schulverwaltung

SchiLD NRW

Kategorien von Daten und Empfänger muss man hier je nach Schulstufe eventuell noch anpassen. Die Angaben sollten sich auch auf andere Schulverwaltungsprogramme übertragen lassen.

Schülerstammblatt

Zur Schulverwaltung gehören auch die Schülerstammblätter. Diese stellen nach Art. 4 DS-GVO Abs. 617„„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“ eine Verarbeitungstätigkeit dar und müssen über ein Verarbeitungsverzeichnis dokumentiert werden.

Sonstiger Datenbestand

Zusätzlich zum Schülerstammblatt gibt es noch weitere, überwiegend analog geführte Datenbestände, für die ebenfalls eine Dokumentation erforderlich ist. Da die unter Sonstiger Datenbestand zusammengefassten Verarbeitungstätigkeiten sehr verschieden sind, können sie nicht in einer einzigen Verarbeitungstätigkeit zusammengefasst werden.

Klassenbuch/ Kursbuch
Schülerakte
Beratungsunterlagen sonderpädagogischer, medizinischer, psychologischer und sozialer Art
Anmeldung Schüler Online

Weiterführende Schulen in NRW nutzen zur papierlosen Anmeldung von Schülern an das Berufskolleg die Plattform Schüler Online. Schulen pflegen hier personenbezogene Daten der Abgänger ein, die diese dann eigensständig ergänzen. Danach können die Daten an das aufnehmende Berufskolleg übergeben werden. Es handelt sich hier im Bereich des Anmeldeprozesses um eine Auftragsdatenverarbeitung. Ein entsprechender Vertrag wird von der Plattform zur Verfügung gestellt.

Einwilligungen

Auch das Einholen und Verarbeiten von Einwilligungen bezüglich der Verarbeitung von personenbezogenen Daten, deren Verarbeitung nicht durch das Schulgesetz oder anhängige Verordnungen legitimiert ist, stellt einen Verarbeitungsvorgang dar, der für das Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren ist.21Für diese Beschreibung ist es unerheblich, ob die Einwilligungen in Papierform eingeholt (und später digitalisiert und als PDF gespeichert) werden oder als E-Mail oder in elektronischer über eine Plattform. Es sind nur je nach Format der Einwilligung eventuell entsprechende TOM anzugeben.

E-Mail

E-Mail ist an Schule ein unverzichtbares Kommunikationsmittel. Ohne Verfahren der Verschlüsselung können damit jedoch nur allgemeine Informationen übermittelt werden, z.B. Elternbriefe oder Informationsschreiben für Lehrkräfte.

  • Diese sehr allgemein gehaltene Beschreibung der Verarbeitungstätigkeit ist für Schulen gedacht, die nur allgemeine Informationen per E-Mail kommunizieren. Das heißt, es werden über die E-Mail Adresse und den Namen der Kommunikationspartner hinaus keine weiteren personenbezogenen Daten aus dem Datenbestand der Schule nach VO-DV I § 4 kommuniziert. 22Die anonymisierten GPC Daten, die an IT NRW versandt werden, fallen nicht unter die DS-GVO, da es sich dabei nicht um personenbezogene Daten handelt.

Planung und Ermittlung des Unterrichtsbedarfs

Diese Beschreibung erfasst alle die in der VO-DV II Anlage 1 unter Nr. 1a aufgeführten Verarbeitungszwecke23Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung. Hier sind, anders als bei der folgenden Beschreibung auch Schüler betroffen, etwa in Klassen- oder Kurslisten.

Durchführung des Unterrichts

In dieser Beschreibung sind alle unter VO-DV II Anlage 1 Nr. 1b aufgeführten Verarbeitungszwecke 24Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten erfasst.

Schulleitung

Akte der Schulleitung

Bei der Schulleitung gibt es die Akte der Schulleitung, die überwiegend in analoger Form geführt wird. Soweit die personenbezogenen Daten der Lehrkräfte in der Akte der Schulleitung nicht unter § 121 Absatz 2 Satz 3 Schulgesetz NRW fallen oder in der VO-DV II Anlage 2 entsprechend gekennzeichnet sind, können sie auch digital verarbeitet bzw. geführt werden.

ASDPC

Amtliche Schuldaten über PC oder kurz ASDPC ist eine Verarbeitungstätigkeit, bei der es um die Erstellung der jährlichen Schulstatistik geht, welche dann an IT.NRW übermittelt wird. Zur sicheren Übertragung werden die Daten verschlüsselt übertragen. IT.NRW nutzt die Möglichkeit von ASDPC auch zur sicheren Übermittlung von Daten an die Schulen, die diese dann mittels ASDPC und des hinterlegten Schlüssels entschlüsseln können.

GPC

Dieses NRW spezifische Programm wird in der Regel nur von der Schulleitung selbst genutzt, um Krankheitstage der Lehrkräfte zu erfassen, BEM Verfahren einzuleiten und Am Jahresende einen summierten Datensatz an das MSB zu liefern.25Auf der GPC Seite für Schulverwaltungssoftware in NRW gibt es ein „Verfahrensverzeichnis“ in alter Form, welches vorerst weiter genutzt werden könnte. Die Verfahrensbeschreibung unten stellt die dort eingetragenen Informationen in vereinfachter Form dar, so wie es jetzt sein sollte.

Lehrkräfte

Wenn Lehrkräfte einer Schule mit Genehmigung durch die Schulleitung personenbezogene Daten aus der Schule auf privaten Endgeräten (PC, Laptop, Tablet, Smartphone) verarbeiten, dann muss auch dieses im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Die Beschreibung orientiert sich weitestgehend an der Genehmigung, da auch diese eine Beschreibung der Verarbeitungstätigkeit enthält26 Diese ist allerdings noch orientiert am alten DSG NRW und BDSG..

Unterricht

Auch im Unterricht gibt es Verarbeitungstätigkeiten von personenbezogenen Daten. Das ist beispielsweise der Fall, wenn Schüler sich im pädagogischen Netz anmelden und dafür individuelle, zuordenbare Nutzernamen haben.

Pädagogisches Netz

Für einfache „klassische“ pädagogische Netze, ohne Nutzung von externen Anbietern27Darunter würden nicht nur Apple, Microsoft mit Office 365 Cloud oder Google fallen, sondern auch diverse LMS, die nicht auf einem Server in der Schule liegen. Das würde auch ein Moodle betreffen, welches beim Schulträger oder einem beauftragten Dienstleister gehostet ist. sollte die folgende Vorlage ausreichen. Eine Anpassung auf die aktuellen schulischen Gegebenheiten ist eventuell erforderlich.

Unterrichtsdurchführung und Teamarbeit mit Office 365

Nutzt eine Schule Microsoft Office 36528Diese Beschreibung ist nicht für das Angebot mit der Microsoft Cloud Deutschland gedacht, die Anfang 2019 ausläuft, sondern meint das „normale“ Angebot, bei welchem die Daten überwiegend auf europäischen Servern liegen. zur Durchführung von Unterricht, zur Teamarbeit der Lehrkräfte und zur Kommunikation29Es geht hier nicht um eine Nutzung in der Verwaltung! Während die offline Versionen von Microsoft Office für Verwaltung und die Verarbeitung von personenbezogenen Daten genutzt werden kann, ist dieses bei der Office 365 Version aktuell aus datenschutzrechtlicher Sicht nicht möglich., deckt diese Beschreibung die damit einhergehenden Verarbeitungstätigkeiten zusammenfassend ab.

Unterrichtsdurchführung und Teamarbeit mit G Suite for Education

Diese Beschreibung umfasst die Nutzung von G Suite for Education im Unterricht30Eine Nutzung für Verwaltungsaufgaben ist nur zulässig, solange es um allgemeine Informationen geht. Personenbezogene Daten aus der Schulverwaltung dürfen unter den aktuellen Voraussetzungen nicht in G Suite for Education verarbeitet werden! und für Teamarbeit und beeinhaltet auch die dafür erforderliche Nutzerverwaltung31Ob man die Nutzerverwaltung als eigene Verarbeitungstätigkeit definieren möchte, ist Ansichtssache, jedoch nicht vorgeschrieben.

Nutzung eines LMS

Schulen nutzen zunehmend Lern Management Systeme, wie etwa Moodle, für den Unterricht. Dabei werden personenbezogene Daten verarbeitet, für die Nutzerverwaltung, die Durchführung von Unterricht und die technischen Abläufe. Diese Beschreibung lässt sich leicht für Moodle und ähnliche Plattformen anpassen, da die Grundfunktionalitäten weitestgehend übereinstimmen.32Auch eine Anpassung für Office365 (mit oder ohne Cloud), G Suite for Education und Apple iCloud ist möglich.

Standardisierte Testverfahren

Diagnostische Tests kommen an Schulen vor allem in den unteren Klassen zum Einsatz. Viele werden noch analog durchgeführt, teilweise jedoch digital ausgewertet und einige Tests beinhalten eine Übermittlung von Daten an Dritte. Die Beschreibung der Verarbeitungstätigkeit erfasst alle möglichen Formen.33Weiterführende Schulen löschen unter Verarbeitungszwecke den Zweck Feststellung der Schulfähigkeit oder des Sprachstandes und die Rechtsgrundlage dazu.

Leseplattform Antolin

Die Nutzung der Leseplattform Antolin des Westermann Verlags erfolgt über eine Auftragsverarbeitung.34Der Vertrag zu Auftragsverarbeitung findet sich unter https://grundschuldiagnose.westermann.de/docs/Auftragsverarbeitung_GS.pdf In ihm finden sich auch Angaben zu TOM des Verlages. Auch die Schule muss eine Beschreibung der Verarbeitungstätigkeit im Verzeichnis vorweisen können. Dieses ist auch leicht anpassbar für andere Angebote des Verlages wie Zahlenzorro.

Bewerbungsverfahren

Für Bewerbungen reichen Bewerber Unterlagen direkt bei der Schule ein, oft mit Inhalten, die über die geforderten hinausgehen35siehe z.B. Checkliste für Lehramtsinhaberinnen und Lehramtsinhaber und Checkliste für den Seiteneinstieg für Bewerberinnen und Bewerber ohne Lehramt

Öffentlichkeitsarbeit und Information

Schulhomepage

Da auf der Schulhomepage personenbezogene Daten verarbeitet werden, ist auch hier eine Beschreibung der Verarbeitungstätigkeit erforderlich.

Diese Beschreibung ist recht allgemein gehalten und berücksichtigt sowohl die personenbezogenen Daten von Schülern und Lehrkräften im Rahmen von Berichten auf der Webseite, sondern auch die Veröffentlichung von Informationen über Lehrkräfte im Rahmen des IFG NRW und die personenbezogenen Daten von Besuchern der Webseite allgemein. Aufgeführt sind auch Informationen für Newsletter, Kontaktformular und Kommentarfunktion, falls benötigt. Hier sind entsprechend Anpassungen vorzunehmen. Zusätzliche externe, in die Website eingebundene Dienste wie Google Maps, Youtube, Besucheranalysefunktionen, LearningApps und ähnlich, sollten über eigene Beschreibungen von Verarbeitungstätigkeiten für das Verzeichnis dokumentiert werden.

Pressearbeit

Viele Schulen schreiben auch eigene Berichte für die lokale Presse und lokale News Portale, um über das Schulleben, Neuigkeiten und Erfolge zu berichten. Dabei sind häufig personenbezogene Daten im Spiel, meistens Namen, oft auch Fotografien.

Digitales Schwarzes Brett

Im Schulalltag ist es wichtig, auf dem Laufenden zu bleiben. Digitale Schwarze Bretter ersetzen zunehmend den Schaukasten, die Pinnwand und das Schwarze Brett im Lehrerzimmer. Inhalt von digitalen Schwarzen Brettern sind oft Vertretungspläne und teilweise auch Berichte über das Schulleben. Zu berücksichtigen sind bei der Beschreibung der Verarbeitungstätigkeit, ob das digitale Schwarze Brett lokal betrieben wird oder über den Webserver eines Dienstleisters und ob dann eine Zugriffsmöglichkeit über Browser oder App für Lehrkräfte und eventuell auch Schüler besteht.

Variante ohne Online Zugriff über Browser oder App

In dieser Variante geht es um ein digitales Schwarzes Brett, welches nur in der Schule einzusehen ist und im Lehrerzimmer umfangreichere Informationen anzeigt als in dem Bereich, wo Schüler es einsehen können. Es ist anzupassen, ob es über einen Server im Haus läuft oder über den Webserver eines externen Anbieters.

Diverse Verarbeitungstätigkeiten

Schulbuchausleihe – Schülerbibliothek

Die Ausleihe in der Schüler- oder Schulbibliothek stellt eine Verarbeitung von personenbezogenen Daten dar, wenn die Ausleihe personenbezogen erfolgt. Dabei ist es egal, ob mit Karteikarten gearbeitet wird oder digital.36In Grundschulen erfolgt die Ausleihe teilweise klassenbezogen ohne Erfassung der Schüler. Dieses braucht keine Beschreibung als Verarbeitungstätigkeit, da personenbezogene Daten fehlen. Einige Schulen steuern auch die Ausgabe von Schulbüchern personenbezogenen Daten, in der Regel digital, um nachhalten zu können, wer welches Buch entliehen und zurückgegeben hat. Schulen, die nur eine Schülerbibliothek betreiben und keine personalisierte Schulbuchausleihe, können die die Schulbuchausleihe betreffenden Angaben streichen.

Organisation und Durchführung von Sportwettkämpfen und Turnieren

Ob es sich um Bundesjugendspiele handelt, Laufabzeichentage, Hallenfußballturniere oder ähnlich, die Organisation und Durchführung von Sportwettkämpfen ist immer auch mit der Verarbeitung von personenbezogenen Daten verbunden, egal ob dieses mit handgeschriebenen Listen, digitalen Zeitnahmesystemen, Apps auf Mobilgeräten, Computerprogrammen oder einer Kombination mehrer Systeme erfolgt.

Erstellung von Schülerausweisen

Schüler haben einen Anspruch auf Ausstellung eines Schülerausweises. Entweder die Schule druckt diesen selbst und nimmt dafür Fotos der Schüler an, oder man fertigt die Fotos in der Schule an. Einige Schulen beauftragen einen externen Dienstleister mit der Anfertigung der Ausweise. Dazu kann auch die Anfertigung der Fotos durch einen Fotografen des Dienstleisters gehören.

Verarbeitungstätigkeiten aus dem Bereich Schultechnik

Elektronische Schließanlage

Schulträger setzen zunehmend auf elektronische Schließanlagen zur Sicherung des Zutritts zum Gebäude. Das Thema ist datenschutzrechtlich in NRW nicht ganz unumstritten und es ist deshalb anders als in anderen Bundesländern schwierig, eine elektronische Schließanlage datenschutzkonform zu betreiben.37Siehe dazu auch den Beitrag Elektronische Schließanlagen in Schulen – ein Problem – zwei Sichten, in dem die Problematik erklärt wird. In NRW ist die Schulleitung für die Datenverarbeitung verantwortlich. Das betrifft somit auch elektronische Schließanlagen.38Bitte beachten Sie, dass in NRW für den Betrieb einer elektronischen Schließanlage ein Vertrag zur Auftragsdatenverarbeitung zwischen Schule als Auftraggeber und Schulträger als Auftragnehmer erforderlich ist.

Kopierer mit Benutzer- und Kopierkontingentverwaltung

Fast jede Schule nutzt Kopierer, die es erlauben, einzelnen Lehrkräften, ein Kontingent an Kopien zuzuweisen. Das stellt eine Verarbeitungstätigkeit dar und muss dokumentiert werden. Verschiedene Modelle von Kopierern kommen mit höchst unterschiedlichen Möglichkeiten zur Verwaltung der Nutzer. Die Vorlage berücksichtigt dieses mit ergänzenden Hinweisen zur Anpassung.

Technische und Organisatorische Maßnahmen (7)

TOM – Leervorlage

Zu jeder Beschreibung einer Verarbeitungstätigkeit gehört der Bereich Technische und Organisatorische Maßnahmen, mit welchen die Sicherheit der Verarbeitung und der Schutz der personenbezogenen Daten gewährleitet werden soll. Diese Leervorlage hilft, diesen Teil eigenständig zu erstellen. Welche möglichen Inhalte in Frage kommen, kann man einfach im folgenden Sicherheitskonzept nachschauen. Man füllt dabei jedoch nur noch die für die jeweilige Verarbeitungstätigkeit besonderen technischen und organisatorischen Maßnahmen ein39Ein Beispiel hierfür wäre bei SchiLD NRW die Nutzung der verschlüsselten Version der Datenbank, was man unter Verschlüsselung einträgt. Bei Vertraulichkeit könnte man ergänzen, dass man mit einem Rollenkonzept arbeitet und bei Verfügbarkeit, dass vor jeder größeren Veränderung eine Sicherung angelegt wird. . Für den Rest, der über alle Verarbeitungstätigkeiten gleichen Maßnahmen verweist man einfach auf das Schulische Sicherheitskonzept Datenschutz, welches man seiner Dokumentation hinzufügt.

Schulisches Sicherheitskonzept Datenschutz (TOM)

Ein Sicherheitskonzept mit technischen und organisatorischen Maßnahmen für den Bereich der Verwaltung, einschließlich der Verarbeitung von personenbezogenen Daten durch Lehrkräfte auf deren privaten Endgeräten. Eine Anpassung auf die jeweilige schulische Situation ist an einigen Stellen erforderlich. Manche beschriebene Maßnahme könnte vielleicht auch eine Anregung zu einer Verbesserung der von Ihnen getroffenen Maßnahmen sein.

Schulisches Löschkonzept

Auch wenn in den Verordnungen zur Datenverarbeitung, VO-DV I & II, klar geregelt ist, welche Daten wie lange aufzubewahren und wann zu löschen sind, ist die Umsetzung dieser Vorgaben im schulischen Alltag nicht einfach. Das Löschkonzept soll helfen, den Überblick zu behalten. Es regelt, wer für welche Daten zuständig ist, wann und wie welche Daten zu löschen sind. Auch an die Übergabe von Unterlagen an das Archiv ist dabei gedacht. Das Konzept ist sehr umfangreich und erfordert eine intensive Auseinandersetzung mit dem komplexen Thema. Eine Anpassung an eigene Gegebenheiten ist erforderlich.40Bei Absprachen mit dem zuständigen Archiv wird man vermutlich zusätzliche Unterlagen erstellen, etwa Tabellen, in welchen zu übergebende Materialien erfasst werden mit Namen und weiteren für Archivzwecke erforderlichen Angaben.