Die Dokumentation der technischen und organisatorischen Maßnahmen ist Bestandteil eines jeden Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DS-GVO. In diesem letzten Teil der Dokumentation einer Verarbeitungstägikeit geht es um eine Beschreibung der Maßnahmen, mit welchen der Verantwortliche den Schutz der verarbeiteten personenbezogenen Daten sicherstellt. Es wird nicht nur für die Kontrolle durch die zuständige Aufsichtsbehörde erstellt, sondern dient auch der Selbstkontrolle des Verantwortlichen durch den Datenschutzbeauftragten. Von daher sollte es ausreichend detailliert sein, um diesem Zweck zu genügen.
Um welche Maßnahmen es geht, beschreibt Art. 32 DS-GVO Sicherheit der Verarbeitung. Der Verantwortliche muss durch geeignete Maßnahmen dafür sorgen, dass die Sicherheit der Verarbeitung gewährleistet ist. Außerdem muss er durch Maßnahmen vorbeugen, dass es zu einer Verarbeitung kommt, die gegen die DS-GVO verstößt. Dabei sollen sich die Maßnahmen am Stand der Technik orientieren und die Art, den Umfang, die Umstände und Zwecke der Verarbeitung berücksichtigen, sowie das Risiko, welches mit einer Verletzung des Datenschutzes für die Rechte und Freiheiten der Betroffenen einhergeht.
Für Schule bedeutet dieses, dass für besonders schützenswerte personenbezogene Daten ein höheres Schutzniveau gelten muss als für allgemeinere Daten. Die Datenschutz Grundverordnung beschreibt diese Art von Daten in Art. 9 als besondere Kategorien von personenbezogenen Daten. In Schule fallen unter diese Datenkategorie Gesundheitsdaten, Daten zur sexuellen Orientierung, zu Religion, zu ethnischem Hintergrund und zum sonderpädagogischen Förderbedarf1Dass es sich bei letzteren um besonders schützenswerte personenbezogene Daten handelt, berücksichtigt auch die VO-DV I, indem sie die automatisierte Verarbeitung auf Ergebnisse und Befunde beschränkt. Siehe dazu auch VO-DV I Anlage 1 Abschnitt C IV.
Wie der Name Technische und Organisatorische Maßnahmen (TOM) sagt, betreffen die Maßnahmen zwei Bereiche, die technische Gestaltung der Schutzmaßnahmen und die organisatorische.
Beispiele für technische Maßnahmen
- abschließbarer Raum (z.B. Sekretariat, Schulleiterbüro, Serverraum)
- verschließbarer Aktenschrank im Sekretariat
- Aufbewahrung von Unterlagen zum sonderpädagogischen Förderbedarf in einem Umschlag innerhalb der Schülerakte
- abgestufte Benutzerrechte in Programmen (z.B. in SchiLD NRW) und im Dateisystem (z.B. im Verwaltungsnetz)
- Alarmanlage, Einbruchssicherungen
- unabhängige Stromversorgung zur Vermeidung von Datenverlust bei Stromausfall
- Steckdosen mit Überspannungsschutz
- Rauchmelder
- BackUp System
- Zugriffschutz per Passwort
- automatische Bildschirmsperre
- automatische Abmeldung am Rechner nach einer Zeit der Inaktivität
- Virenschutz
- Firewall
- Verschlüsselung von Datenträgern
- Pseudonymisierung von Nutzerdaten
- regelmäßige Betriebssystem Updates
- automatische Protokollierung von Verarbeitungsvorgängen
Beispiele für organisatorische Maßnahmen
- Schlüssel mit verschiedenen Berechtigungen
- Vergabe von Zugriffsrechten an Lehrkräfte und Mitarbeiter entsprechend ihrer Funktionen in der Schule
- Schulungen zu Datenschutz und -sicherheit
- Belehrungen
- regelmäßige Kontrolle der Backup Funktion
- regelmäßige Kontrolle und Aktualisierung von Zugriffsrechten
- regelmäßige Änderung von Passwörtern
- Löschen der Zugänge von ausgeschiedenen Mitarbeitern und Lehrkräften, welche die Schule verlassen haben
- Auslagerung von BackUps
- keine personenbezogenen Daten per unverschlüsseltem E-Mail versenden
- keine Weitergabe von personenbezogenen Daten am Telefon, ohne Absicherung, wer der Gegenüber ist
- Markierung von Schülern im Schulverwaltungsprogramm, bei denen gegenüber bestimmten Personen keine Auskunft gegeben werden darf
- Testen der Datenwiederherstellung aus BackUps
- stichprobenartige Kontrollen der Einhaltung von datenschutzrechtlichen Vorgaben durch die Schulleitung
- BackUps vor Aufspielen von größeren Updates in Software und System
- Erteilung von Auskunft entsprechend dem Auskunftsrecht der betroffenen Person erst nach Vergewisserung der Identität der anfragenden Person
- Verarbeitung von personenbezogenen Daten aus der Schule auf Privatgeräten von Lehrkräften erst nach Erteilung einer Genehmigung durch die Schulleitung
- Auslesen sensibler Protokolldaten (z.B. Zugriff von Usern auf Internetseiten) nur im Vier-Augen-Prinzip.
- Erstellung und Implementierung eines schulischen Datenschutzkonzeptes
Vorlagen finden sich im Downloadbereich unter Verzeichnis von Verarbeitungstätigkeiten
Dort finden Sie auch die Vorlage für ein ausführliches Sicherheitskonzept (Schulisches Sicherheitskonzept Datenschutz – Verwaltung.docx).
Eine umfangreiche Checkliste zum Selbst-Check gibt es von der bayrischen Datenschutzaufsicht unter – Selbst-Check: Sicherheit der Verarbeitung nach Art. 32 DS-GVO.pdf
letzte Änderung 2020-10-16