Auftragsverarbeitung

Lesezeit: 2 Minuten

Der Begriff Auftragsverarbeitung ist in Artikel 4 DS-GVO nicht direkt bestimmt. Dort findet sich jedoch der Begriff Auftragsverarbeiter. Darin stecken zwei Begrifflichkeiten Verarbeitung1siehe dazu Verarbeitung und Auftrag. Die Definition der DS-GVO zu Auftragsverarbeiter lautet:

“„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;”

Für Schule ist Auftragsverarbeitung ein wichtiges Thema, denn sie trifft auf fast jede Schule zu.

Was ist keine Auftragsverarbeitung?

Jegliche Verarbeitung von personenbezogenen Daten, die innerhalb der Schule stattfindet und bei der auch nur IT (Rechner und Server) genutzt werden, die in der Schule stehen, fällt nicht unter den Begriff. Nimmt die Schulleitung ein Notebook mit nach Hause, ist das so wenig Auftragsverarbeitung wie wenn Lehrer mit Genehmigung personenbezogenen Daten aus der Schule auf ihren Privatgeräten verarbeiten.

Wann spricht man von Auftragsverarbeitung?

Immer dann, wenn personenbezogene Daten außer Hauses von Dritten verarbeitet werden, dann ist das Auftragsverarbeitung. Wie die Definition von Verarbeitung zeigt, ist dieser Begriff sehr weit gefasst.

Beispiele

  • Die Schulhomepage liegt auf einem Server außerhalb der Schule, etwa beim Schulträger, einem Rechenzentrum oder einem Webhoster (z.B. 1&1, Strato, T-online, …)
  • SchiLD Zentral – läuft über eine Server, der beim Schulträger oder einem beauftragten IT Dienstleister steht.
  • SchiLD NRW – die Daten liegen auf einem Netzlaufwerk außerhalb der Schule, so dass man auch vom zweiten Standort aus zugreifen kann.
  • Schulverwaltung über eine Citrix Instanz – einige Schulen haben in der Verwaltung nur ein Terminal stehen oder eine Rechner mit Terminal Funktion. Alle Software läuft auf einem Rechner außer Haus. In der Verwaltung ruft man nur den virtuellen Desktop auf.
  • Office365 mit Cloud – der Datenspeicher und Funktionen der Zusammenarbeit laufen über Server außer Hauses2Gilt nur, wenn es um personenbezogenen Daten geht..
  • Schüler Online – das Portal zur online Anmeldung von Schülern am Berufskolleg.
  • Web Untis – die Server stehen nicht in der Schule, der Stundenplan läuft über eine Cloud.
  • Moodle auf Server beim Rechenzentrum – selbsterklärend
  • Logineo NRW – die personenbezogenen Daten, und wenn es nur Klarnamen als Benutzernamen sind, liegen auf Servern des KRZN
  • Logineo NRW LMS – die personenbezogenen Daten, werden auf Servern verarbeitet, die der Anbieter bereitstellt
  • Logineo NRW Messenger – die für Verarbeitung von personenbezogenen Daten zur Übermittlung von Nachrichten und Durchführung von Videokonferenzen erfolgt auf Servern des Anbieters.
  • Apple iCloud – Server stehen nicht in der Schule, sondern in von Apple genutzten Rechenzentren
  • JamfSchool (ehem. ZuluDesk) – das MDM läuft komplett über die Cloud. Die Server stehen in Deutschland. Es werden Server von Amazon (AWS) genutzt.
  • Sdui – zum Betrieb der Dienste hinter der Schul App betreibt der Anbieter eigene Server.
  • Jamf – das US MDM läuft, wenn es nicht auf dem Server im Schulkeller installiert ist, über die Cloud des Anbieters oder ist beim Schulträger oder einem Dienstleister installiert.
  • LearningApps – läuft über die Cloud und braucht einen AVV, wenn Schülerkonten mit zuordenbaren Namen angelegt werden.

Rechtliche Stellung Verantwortlicher – Auftragsverarbeiter

Wie die Definition des Begriffs Auftragsverarbeiter deutlich macht, verarbeitet der Auftragsverarbeiter personenbezogenen Daten aus der Zuständigkeit des Verantworlichen in dessen Auftrag. Das bedeutet, die Verantwortung liegt weiterhin beim Verantwortlichen. Der Auftragsverarbeiter ist an die Weisungen des Verantwortlichen gebunden und dieses muss durch einen entsprechenden Vertrag zur Auftragsverarbeitung (auch Auftragsverarbeitungsvertrag = AVV) rechtlich dokumentiert werden.

Gerade in Schule ist das nicht immer ein leichtes Thema, da Schulträger sich oft als die Zuständigen sehen und Entscheidungen treffen, ohne die Schulleitung miteinzubeziehen. Zwar ist der Schulträger sächlich zuständig, in Bezug auf den Datenschutz trägt jedoch die Schulleitung die alleinige Verantwortung und muss von daher auch entscheiden können, wer als Auftragsverarbeiter genutzt wird.

Bei Anbietern von außerhalb der EU oder des EWR, wie z.B. Microsoft, Apple und Google spricht man in der Regel nicht mehr von Verträgen zur Auftragsverarbeitung. Hier sind andere Vertragsformen möglich. Mehr dazu unter Auftragsverarbeitung und die Form des Vertragsschlusses.