In Zeiten, in welchen Schulen immer mehr Tätigkeiten in digitale Plattformen verlagern, reicht es nicht länger aus, dass ein Mitarbeiter, der die Schule verlässt, am letzten Tag den Schlüsselbund abgibt und sich verabschiedet. Wer in Schule tätig ist und dort digitale Plattformen nutzt, hat dadurch je nach Funktion Zugang zu den durch die Schule verarbeiteten personenbezogenen Daten. Zu welchen Daten Zugang besteht, hängt in der Regel von der Funktion ab, welche die Person ausübt. Verlässt die Person die Schule oder übernimmt innerhalb der Schule eine andere Funktion, ist es erforderlich die Zugangsrechte entsprechend aufzuheben oder anzupassen.
Vor allem die Aufhebung von Zugangsrechten und Löschung obsoleter Nutzerkonten ist wichtig, da sich Risiken ergeben können, wenn dieses nicht erfolgt.
- Ehemalige Mitarbeiter können bei Online Plattformen ohne bestehende Befugnis auf Daten zugreifen. Im harmlosesten Fall schauen sie sich nur an, im schlimmsten Fall verändern, löschen oder entwenden sie sie.
- Verwaiste Konten – Geister Konten – können für Angreifer zusätzliche Angriffsvektoren bieten, da eine Übernahme eines solchen Kontos ohne aktiven Nutzer lange Zeit unentdeckt bleiben kann. Und je nach Art des Kontos, etwa ein E-Mail Konto, kann dieses Zugang zu weiteren schulischen Konten eröffnen.
Was sollte die tun, wenn ein Mitarbeiter sie verlässt?
Die Schule muss tätig werden, um den Schutz der verarbeiteten personenbezogenen Daten gem. Art. 5 Abs. 1 lit. f DS-GVO auch weiterhin gewährleisten zu können.
- Bevor der Mitarbeiter die Schule verlässt, sollte er/ sie wo möglich Konten selbst schließen.
- Hat ein Nutzer Administrationsrechte in einer Plattform, sollte er sie auf andere Personen übertragen.
- Ein schulische Dienstgerät sollte vom Nutzer zurückgesetzt werden, sofern schulische Regelungen kein anderes Verfahren vorsehen.
- Der Nutzer sollte sein E-Mail Postfach sowie persönliche Verzeichnisse in schulischen Plattformen leeren. Informationen, die für andere Personen in der Schule wichtig sind oder einer Aufbewahrungspflicht gem. § 9 VO-DV I & II unterliegten, sollten übertragen werden.
- Verfügt die Person über Fernzugriff auf lokale Systeme in der Schule, sind diese zu löschen.
- Gegebenenfalls sind andere Stellen über das Ausscheiden des Mitarbeiters oder eine Änderung seiner/ ihrer Funktion zu unterrichten, so dass auch dort entsprechende Anpassungen vorgenommen werden.
Die hier gegebenen Hinweise orientieren sich an einem Beitrag der dänischen Aufsichtsbehörde von November 2023.
Stand 10/2024