Sogar einen Film gibt es zur EU-DSGVO, die ab dem 25. Mai auf Schulen zukommt. Die Umsetzung stellt die Schulen in Baden-Württemberg vor Herausforderungen. Ihr VBE Baden-Württemberg gibt einen Überblick, welche Pflichten auf Sie zukommen und welche Unterstützungsangebote das Kultusministerium für Sie bereit hält. Der VBE fordert angesichts der Aufgaben mehr Unterstützung für Schulleitungen und wird dies auch so gegenüber dem Kultusministerium kommunizieren.
Ab dem 25. Mai 2018 wird sie anwendbar, die EU-Datenschutzgrundverordnung (EU-DSGVO). Auch für Schulen beinhaltet das mitunter als „Bürokratie-Monster“ bezeichnete Gesetz neue Pflichten. Viele Schulleitungen, in deren Aufgabe die Umsetzung vor allem fällt, stehen nun vor einer Herausforderung. Ihr VBE versucht darzulegen, was auf Schulen zukommt und was Sie bei der Umsetzung beachten müssen. Bitte beachten Sie, dass die Hinweise, die Ihnen der VBE gibt, rechtlich nicht verbindlich sind.
Der erste und wichtigste Tipp von Ihrem VBE Baden-Württemberg ist das IT-Portal des Kultusministeriums, das nicht jeder Schulleitung bekannt ist. Deswegen der Hinweis darauf, da Sie hier auch die Handreichung des Kultusministeriums finden: Gehen Sie auf it.kultus-bw.de, dann auf „Datenschutz an Schulen“. Dort finden Sie nicht nur die Rechtsgrundlage, sondern auch Hinweise zur Umsetzung der EU-DSGVO, vorgefertigte Formulare, Informationen zu Fortbildungen und auch ein FAQ-Katalog, der häufige Fragen beantwortet. Es existiert ebenfalls eine Materialsammlung des Lehrerfortbildungsservers Baden-Württemberg, die jedoch nicht in allen Bereichen aktuell ist.
Was muss bei der EU-DSGVO beachtet werden und wo gibt es Unterstützung?
Als oberster Grundsatz für Datenverarbeitung gilt, dass personenbezogene Daten grundsätzlich nicht verarbeitet werden dürfen, es sei denn, dies ist durch eine Rechtsvorschrift erlaubt, oder die betroffene Person hat ihre Erlaubnis dazu erteilt. Während die Verarbeitung von Daten im Rahmen der normalen Schultätigkeiten wie Anmeldung von Schülerinnen und Schülern oder die Benotung rechtlich abgedeckt sind, muss bspw. für die Veröffentlichung von Bildern auf der Schulhomepage eine Einwilligung vorgelegt werden.
Welche Pflichten genau auf Sie zukommen, können Sie der folgenden Übersicht entnehmen. Sie finden dort ebenfalls Angaben, wo Sie weitere Informationen abrufen können. Die folgenden Informationen finden Sie auch in der Übersicht des Kultusministeriums über Pflichten von verantwortlichen Stellen. Online finden Sie ebenfalls eine Liste der Ansprechpartner an Kultusministerium, Regierungspräsidien und Staatlichen Schulämtern.
- Rechenschaftspflicht: Die Schule muss nachweisen, dass sie die datenschutzrechtlichen Grundsätze beachtet und einhält. Die Umsetzung der Grundsätze muss dabei dokumentiert werden. Es muss festgehalten werden, wie diese Grundsätze einzeln umgesetzt wurden. Wo gibt’s Hilfe? Die Hinweise des Kultusministeriums beinhalten die zu beachtenden datenschutzrechtlichen Grundsätze.
- Anhaltung zum Datenschutz: Die Schule muss sicherstellen, dass personenbezogene Daten nur auf Anweisung der Schule verarbeitet werden. Das bedeutet, Lehrkräfte sind datenschutzrechtlich zu sensibilisieren und zu schulen. Die Verwaltungsvorschrift „Datenschutz an öffentlichen Schulen“ ist den Personen, die an der Schule tätig sind, zugängig zu machen. Wo gibt’s Hilfe? Die Verwaltungsvorschrift lässt sich über das Landesrechtsportal abrufen. Fortbildungen zum Thema Datenschutz finden Sie beim Lehrerfortbildungsserver.
- Technische und organisatorische Datenschutzmaßnahmen: Die Schule muss geeignete technische und organisatorische Datenschutzmaßnahmen treffen, um eine datenschutzkonforme Verarbeitung zu gewährleisten. Dies beinhaltet beispielsweise das Erstellen von Back-ups oder die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Wo gibt’s Hilfe? Hinweise des Kultusministeriums zu Datenschutzmaßnahmen finden Sie hier.
- Meldepflicht bei Datenschutzpannen: Sollte eine Datenschutzpanne vorkommen, muss die Schule die datenschutzrechtliche Aufsichtsbehörde, den Landesbeauftragten für Datenschutz und die Betroffenen benachrichtigen. Wo gibt’s Hilfe? Eine Datenpanne lässt sich online melden: https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/. Weitere Hinweise zur Meldepflicht und zur empfohlenen Vorgehensweise hat das Kultusministerium bereitgestellt.
- Schuleigener Internetauftritt: Auch aus dem schuleigenen Internetauftritt ergeben sich Pflichten zur Information. Beispielsweise muss der Datenschutzbeauftragte der Schule erwähnt werden, die Rechte bezüglich personenbezogener Daten müssen dargestellt werden sowie die Erhebung von personenbezogenen Daten und deren Zweck beim Webseitenbesuch. Wo gibt’s Hilfe? Das Kultusministerium hat eine Handreichung mit Mustervorlage für den schuleigenen Internetauftritt erstellt.
- Einwilligung der betroffenen Person: Wie bereits beschrieben, muss eine Person in die Verarbeitung ihrer Daten eingewilligt haben, es sei denn es existiert eine Rechtsvorschrift. Wo gibt’s‘ Hilfe? Unter it.kultus-bw.de hat das Kultusministerium Vorlagen für Einwilligungen von Schülerinnen und Schülern, Lehrkräften und Eltern bereitgestellt.
- Verzeichnis von Verarbeitungstätigkeiten: Die Schule muss für alle Verarbeitungstätigkeiten, die in ihre Zuständigkeit fallen, ein Verzeichnis führen. Dies gilt auch bei einer Auftragsdatenverarbeitung. Wo gibt’s Hilfe? Das Kultusministerium hat Hinweise zum Verzeichnis der Verarbeitungstätigkeiten und was dieses beinhalten muss, bereitgestellt. Es existieren außerdem Vorlagen für vorgegebene bzw. weit verbreitete Verfahren auf VV-Online-BW. Hinweise zur Verwendung finden Sie hier. Eine Vorlage für einen Verarbeitungsvertrag nach der EU-DGSVO existiert ebenfalls.
- Datenschutzbeauftragter: Jede Schule muss einen behördlichen Datenschutzbeauftragten haben. Diese Aufgabe soll durch benannte Personen in der zuständigen Aufsichtsbehörde (Staatliches Schulamt oder Regierungspräsidium) wahrgenommen werden. Dieser muss bei Datenschutzfragen, dazu gehört zum Beispiel auch die Einführung einer neuen Software an der Schule, frühzeitig eingebunden werden.
- Überprüfung, Bewertung, Evaluierung der Wirksamkeit der Maßnahmen: In regelmäßigen Abständen muss die Schule eine Überprüfung, Bewertung und Evaluierung der Maßnahmen vornehmen. Wo gibt’s Hilfe? Das Kultusministerium hat Hinweise mit einer Checkliste zur Verfügung gestellt.
- Gewährleisten von Transparenz: Die Schule muss sicherstellen, dass sie den betroffenen Personen die gesetzlich geforderten Informationen und Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache übermitteln kann. Wo gibt’s Hilfe? Welche Informationen Sie betroffenen Personen wann mitteilen müssen, beschreibt das Kultusministerium im Anhang der allgemeinen Hinweise.
- Datenschutz-Folgeabschätzung: Wenn eine Schule eine Datenverarbeitung durchführt, bei der voraussichtlich ein hohes Risiko für die Rechte von betroffenen Personen besteht, muss vor der Maßnahme eine Abschätzung der Folge der Maßnahme für den Schutz von personenbezogenen Daten durchgeführt werden. Das ist beispielsweise der Fall bei der systematischen Überwachung öffentlich zugänglicher Bereiche mit Videokameras oder bei der Verarbeitung von besonderen personenbezogenen Daten wie religiöse Überzeugungen oder Gesundheitsdaten. Wo gibt’s Hilfe? Das Kultusministerium hat Hinweise zur Datenschutz-Folgeabschätzung bereitgestellt sowie eine Handreichung zur Datenschutzfolgeabschätzung.
VBE fordert mehr Unterstützung für Schulleitungen
Klar ist: Das Kultusministerium hat sich bemüht, Hinweise und Handreichungen zur Verfügung zu stellen. Klar ist ebenfalls, dass die rechtlichen Auswirkungen der EU-DSGVO noch nicht letztgültig absehbar sind und die Gerichte hierzu noch Urteile fällen werden. Dennoch ist der VBE Baden-Württemberg der Ansicht, dass Schulleitungen bei der Umsetzung der EU-DSGVO nicht ausreichend unterstützt werden. Ihr VBE wird sich deswegen mit dem Kultusministerium in Verbindung setzen und auf die Beantwortung drängender Fragen pochen. Wir hoffen dennoch, dass Ihnen diese Liste bei Ihrer Arbeit an der Schule ein Stück weiterhilft.
Dass die EU-DSGVO nicht nur Schulen Probleme macht, hat mittlerweile aber auch die Bundeskanzlerin bemerkt. Laut einer CDU-Pressemeldung will die Bundeskanzlerin die Regelungen der EU-DSGVO nochmals überprüfen lassen. Die CDU-Fraktion schlägt vor, die EU-DSGVO nochmals zu evaluieren und auf Fehlentwicklungen zu überprüfen. Sie ist auch der Ansicht, dass der Blick nach Österreich helfen kann. Dort wurde die Datenschutzgrundverordnung schlank, nachvollziehbar aber trotzdem konform mit EU-Recht ausgestaltet.
Bild: Stockphotosecrets
