Die Dokumentation der technischen und organisatorischen Maßnahmen ist Bestandteil eines jeden Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DS-GVO. In diesem letzten Teil der Dokumentation einer Verarbeitungstätigkeit geht es um eine Beschreibung der Maßnahmen, mit welchen der Verantwortliche den Schutz der verarbeiteten personenbezogenen Daten sicherstellt. Sie wird nicht nur für die Kontrolle durch die zuständige Aufsichtsbehörde erstellt, sondern dient auch der Selbstkontrolle des Verantwortlichen durch den Datenschutzbeauftragten. Von daher sollte sie ausreichend detailliert sein, um diesem Zweck zu genügen.
Rechtliche Grundlage: Art. 32 DS-GVO
Um welche Maßnahmen es geht, beschreibt Art. 32 DS-GVO zur Sicherheit der Verarbeitung. Der Verantwortliche muss durch geeignete Maßnahmen dafür sorgen, dass die Sicherheit der Verarbeitung gewährleistet ist. Außerdem muss er durch Maßnahmen vorbeugen, dass es zu einer Verarbeitung kommt, die gegen die DS-GVO verstößt.
Dabei sollen sich die Maßnahmen am Stand der Technik orientieren und die Art, den Umfang, die Umstände und Zwecke der Verarbeitung sowie das Risiko berücksichtigen, welches mit einer Verletzung des Datenschutzes für die Rechte und Freiheiten der Betroffenen einhergeht.
Besonderheiten im schulischen Bereich
Für Schule bedeutet dieses, dass für besonders schützenswerte personenbezogene Daten ein höheres Schutzniveau gelten muss als für allgemeinere Daten. Die Datenschutz-Grundverordnung beschreibt diese Art von Daten in Art. 9 als besondere Kategorien personenbezogener Daten. In Schule fallen unter diese Datenkategorie Gesundheitsdaten, Daten zur sexuellen Orientierung, zur Religion, zum ethnischen Hintergrund und zum sonderpädagogischen Förderbedarf1Dass es sich bei letzteren um besonders schützenswerte personenbezogene Daten handelt, berücksichtigt auch die VO-DV I, indem sie die automatisierte Verarbeitung auf Ergebnisse und Befunde beschränkt. Siehe dazu auch VO-DV I Anlage 1 Abschnitt C IV..
Wie der Name Technische und organisatorische Maßnahmen (TOM) sagt, betreffen die Maßnahmen zwei Bereiche: die technische Gestaltung der Schutzmaßnahmen und die organisatorische Ausgestaltung der Datenverarbeitung.
Beispiele für technische Maßnahmen
- Abschließbare Räume, z. B. Sekretariat, Schulleiterbüro oder Serverraum
- Verschließbarer Aktenschrank im Sekretariat
- Aufbewahrung von Unterlagen zum sonderpädagogischen Förderbedarf in einem gesonderten Umschlag innerhalb der Schülerakte
- Alarmanlage und Einbruchssicherungen
- Rauchmelder
- Unabhängige Stromversorgung zur Vermeidung von Datenverlust bei Stromausfall
- Steckdosen mit Überspannungsschutz
- Abgestufte Benutzerrechte in Programmen, z. B. in SchiLD NRW, und im Dateisystem, z. B. im Verwaltungsnetz
- Mehrfaktor-Authentifizierung (Zwei-Faktor-Authentifizierung – 2FA) für administrative, schulische und Cloud-Konten
- Getrennte Administrationskonten und Benutzerkonten für den alltäglichen Einsatz
- Zugriffsschutz durch Passwörter
- Automatische Bildschirmsperre
- Automatische Abmeldung nach einer Zeit der Inaktivität
- Firewall
- Virenschutz
- Regelmäßige Betriebssystem- und Sicherheitsupdates
- Regelmäßige Überprüfung, ob Software, Apps und Endgeräte noch mit Sicherheitsupdates versorgt werden
- Verschlüsselung von Datenträgern
- Verschlüsselung mobiler Endgeräte sowie verschlüsselte Übertragung von Daten
- Pseudonymisierung von Nutzerdaten
- Automatische Protokollierung von Verarbeitungsvorgängen
- Protokollierung administrativer Zugriffe
- Backup-System
- Verfahren zum sicheren Löschen oder Zurücksetzen ausgemusterter Geräte
- Überprüfung und Begrenzung von Freigabelinks und externen Zugriffsrechten
Beispiele für organisatorische Maßnahmen
- Schlüsselvergabe mit abgestuften Berechtigungen
- Vergabe von Zugriffsrechten an Lehrkräfte und sonstige Beschäftigte entsprechend ihrer jeweiligen Aufgaben und Funktionen
- Regelmäßige Kontrolle und Aktualisierung von Zugriffsrechten
- Zeitnahe Sperrung oder Löschung von Benutzerkonten bei Schulwechsel, Ausscheiden oder Rollenwechsel
- Kontrolle administrativer Zugriffe
- Auslesen sensibler Protokolldaten, etwa zum Zugriff von Nutzern auf Internetseiten, nur im Vier-Augen-Prinzip
- Regelmäßige Kontrolle der Backup-Funktion
- Regelmäßige Tests der Datenwiederherstellung aus Backups
- Auslagerung von Backups an einen geschützten Ort
- Erstellung von Backups vor dem Aufspielen größerer Updates in Software und Systemen
- Notfallkonzept für Ransomware, den Ausfall zentraler Systeme und den Verlust von Endgeräten
- Verbindliches Verfahren für Sicherheitsvorfälle und Datenschutzverletzungen
- Keine Übermittlung personenbezogener Daten per unverschlüsselter E-Mail
- Keine Weitergabe personenbezogener Daten am Telefon, ohne zuvor die Identität und Berechtigung der anfragenden Person zu prüfen
- Erteilung von Auskünften nach dem Auskunftsrecht der betroffenen Person erst nach ausreichender Vergewisserung über deren Identität
- Markierung von Schülerinnen und Schülern im Schulverwaltungsprogramm, bei denen gegenüber bestimmten Personen keine Auskunft erteilt werden darf
- Erstellung und Implementierung eines schulischen Datenschutzkonzeptes
- Regelungen zum Einsatz von Cloud-Diensten, KI-Systemen und privaten Endgeräten
- Schulungen zu Datenschutz und Datensicherheit
- Regelmäßige Belehrungen der Beschäftigten
- Stichprobenartige Kontrollen der Einhaltung datenschutzrechtlicher Vorgaben durch die SchulleitungVerarbeitung schulischer personenbezogener Daten auf privaten Endgeräten von Lehrkräften nur nach vorheriger Genehmigung durch die Schulleitung
Vorlagen und weiterführende Materialien
- Vorlagen finden sich im
Downloadbereich
unter Verzeichnis von Verarbeitungstätigkeiten. - Dort finden Sie auch die Vorlage
Schulisches Sicherheitskonzept Datenschutz – Verwaltung.docx
. - Eine umfangreiche Checkliste zum Selbst-Check stellt die bayerische Datenschutzaufsicht bereit:
Selbst-Check: Sicherheit der Verarbeitung nach Art. 32 DS-GVO (PDF)
07/2026
