Die Datenschutz-Grundverordnung an Schulen: Was Sie zum aktuellen Stand wissen müssen
Den 25. Mai 2018 erwarteten viele Datenschutzbeauftragte und IT-Verantwortliche mit großer Sorge – auch in den Schulen. Würde das Inkrafttreten der neuen, europaweit gültigen Datenschutz-Grundverordnung (DSGVO) eine Abmahnwelle in Gang setzen? Sind künftig schon bei kleinen formalen Fehlern Beschwerden bei den zuständigen Datenschutzbehörden zu befürchten?
Bisher sind größere Verwerfungen zwar ausgeblieben, aber die Verunsicherung ist nach wie vor groß. Gerade für Schulen ist es mehr denn je eine große Herausforderung, zu wissen, was mit Blick auf den Datenschutz erlaubt ist und was nicht. Dazu kommt, dass noch immer nicht ganz klar ist, wie die Änderungen genau aussehen und welche Folgen sie haben. Wir fassen den aktuellen Stand zusammen.
Bekanntes in neuer Form
Wie bisher muss es an Schulen einen Datenschutzbeauftragten und einen Stellvertreter geben. Im Rahmen der DSGVO ändert sich aber deren Aufgabenfeld: Waren bisher vor allem beratende und unterstützende Tätigkeiten auszuführen, besteht nun eine umfassendere Überwachungspflicht. Die Umsetzung datenschutzrechtlicher Vorgaben obliegt aber weiterhin der Schulleitung.
Auch die Pflicht zum Führen eines Verzeichnisses mit allen Verarbeitungstätigkeiten ist nicht völlig neu. Wenn noch nicht geschehen, sollten die Verantwortlichen zeitnah ein offizielles Dokument erstellen, in dem festgehalten ist, welche Daten wie erhoben und verarbeitet werden und welchem Personenkreisen (z. B. Eltern, Lehrer, Schüler, Dienstleister) die Daten zuzurechnen sind.
Dieses Dokument dient als Nachweis für die Einhaltung datenschutzrechtlicher Grundsätze. Auch die Darstellung nach außen muss entsprechend angepasst werden. Sicher gibt es in den meisten Fällen schon eine Datenschutzerklärung auf der Website, einige Angaben müssen nun neu gefasst oder ergänzt werden.
Was sich ändert
Mit der DSGVO hat sich der bürokratische Aufwand an Schulen deutlich erhöht. Sämtliche Dokumente, mit denen in irgendeiner Form Daten erhoben werden – von der Einwilligung zur Klassenfahrt bis zur Fotoerlaubnis – müssen entsprechend der neuen Richtlinie überarbeitet werden. Zudem sind neue Formulare notwendig, da die Zahl der dokumentationspflichtigen Vorgänge gestiegen ist. Denn alle Personen, deren Daten von der Schule gespeichert werden, haben nun ein umfassendes Auskunftsrecht, wie ihre Daten gespeichert und von wem sie verarbeitet werden.
Grundsätzlich gilt dabei, dass persönliche Daten nur dann verarbeitet werden dürfen, wenn der- oder diejenige seine/ihre Erlaubnis gegeben hat oder es eine Rechtsvorschrift bzw. einen wichtigen Grund gibt. Ein Beispiel: Die Anmeldedaten von Schülern können auch künftig ohne Nachfrage entsprechend der gesetzlichen Vorgaben gespeichert werden, für ein Foto auf der Schulhomepage dagegen ist die Einwilligung des bzw. der Betroffenen notwendig.
Wichtig ist auch die Schulung von Lehrkräften im Hinblick auf den Umgang mit persönlichen Daten. Es ist nicht mehr ohne Weiteres möglich, Dateien mit persönlichen Inhalten auf dem Privatlaptop mit nach Hause zu nehmen. Die datenschutzrechtlich „sauberste“ Variante wäre es, wenn Lehrkräften ein Arbeitsnotebooks für Unterrichts- und Lehrzwecke zur Verfügung stünde. Da das Budget der meisten Schulen das auf absehbare Zeit ohne entsprechende Förderung nicht hergibt, muss die Sicherheit auf anderem Wege gewährleistet werden.
Wo es am ehesten Probleme gibt
Wegen des großen Aufwandes gelten vor allem Datenschutzfolgeabschätzungen in der Praxis als eine Herausforderung: Vor jeder Investition in Soft- oder Hardware bis hin zum USB-Stick müssen sich die Verantwortlichen in den Schulen Gedanken über die mit der jeweiligen Technik verbundenen datenschutzrechtlichen Risiken machen – und diese Überlegungen schriftlich fixieren. Welche Daten werden erhoben? Sind die diese Daten ausreichend vor dem Zugriff Unbefugter geschützt? Wie wirken sich die Maßnahmen auf die Persönlichkeitsrechte der Betroffenen aus?
Auch in anderer Hinsicht spiel die Technik eine entscheidende Rolle. Die Verwaltung von Daten, die Kommunikation zwischen Lehrern, Schulleitung und Eltern, aber auch die Datenweitergabe sind sicherheitsrelevante Prozesse, für die es eine datenschutzkonforme IT-Landschaft braucht. Damit Lehrer die Daten ihrer Schützlinge nicht allein in der Schule, sondern auf dem heimischen Laptop bearbeiten können, sind in der Regel zusätzliche technische Lösungen notwendig.
In beiden Fällen gilt: Grundsätzlich lassen sich die Vorgaben der DSGVO auch ohne Spezialkenntnisse umsetzen – es braucht aber entsprechende Ressourcen dafür. Da jede Schulleitung selbst für die Umsetzung verantwortlich ist, kann es durchaus eine Weile dauern, bis die einzelnen Punkte erfüllt sind.
Was jetzt zu tun ist
Mit einem Kritikpunkt haben die Gegner der DGSVO zweifellos Recht: Einige Regelungen hätten vom Gesetzgeber klarer und verständlicher formuliert werden können. Zudem müssen sie sich erst in der Praxis bewähren. Im Großen und Ganzen aber ist es zu begrüßen, dass sensible Daten im digitalen Zeitalter besser geschützt werden und dass nur die Daten erfassst werden, die unbedingt benötigt werden. Deswegen steht auch bei FuxMedia das Thema Sicherheit ganz oben auf der Agenda.
Schulleitungen sollten in jedem Fall die Unterstützungsangebote der jeweiligen Kultusministerien annehmen. Dort gibt es hilfreiche Handreichungen zum Thema. Zudem ist jetzt ein guter Zeitpunkt, um in Schulsoftware zur datenschutzkonformen Verwaltung und Weitergabe von Daten zu investieren. Solche Lösungen können Zeit und Nerven sparen. Unser Support-Team ist jederzeit da, um Sie zu Datenschutzfragen im Zusammenhang mit unserer Schulsoftware zu beraten.
Fragen Sie die Spezialisten
Seit mehr als 15 Jahren gilt die Aufmerksamkeit des FuxMedia-Entwicklerteams ausschließlich der Entwicklung und Perfektionierung von anwenderfreundlicher Schulverwaltungssoftware. Gern teilen wir unser Wissen mit Ihnen und nehmen uns Zeit für eine intensive Beratung.
Bei FuxNoten sind Ihre Daten sicher!
SSL-verschlüsselte Übertragung
Alle Daten sind durch drei verschiedene Verschlüsselungscodes vor dem Zugriff durch Unbefugte geschützt. Auch darüber hinaus gibt es zahlreiche Datenschutzmechanismen.
Hosting in Deutschland
Sie können zwischen drei zuverlässigen deutschen Anbietern wählen, von denen zwei nach ISO-27001-zertifizierte, redundant ausgelegte Rechenzentren sind. Wir beraten Sie gern.
Tägliche Backups
Nie wieder Angst vor verlorenen Daten. Täglich um Mitternacht werden alle Datenbestände gesichert und sind bei Bedarf wieder herstellbar.
Ein eigenes Portal für Ihre Schule
Jede Schule wird als separates Portal verwaltet, das komplett von anderen Einheiten abgegrenzt ist. Das sorgt für ein Plus an Sicherheit