DSGVO für Schulen, Teil 5: Die Auftragsdatenverarbeitung (AV/ADV)
Auswirkungen der DSGVO auf den schulischen Alltag - Ein Praxisleitfaden
(PresseBox) - Schulen müssen mit Dienstleistern einen Vertrag zur Auftrags(daten)verarbeitung schließen, falls diese Zugriff auf personenbezogene Daten haben. Die Schule bleibt verantwortlich für die Einhaltung des Datenschutzes. Anhaltspunkt für ein angemessenes Schutz-Niveau eines Dienstleisters kann ein Zertifikat oder der Nachweis technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit sein.
-----
Der weisungsgebundene Einsatz externer Dienstleister zur Verarbeitung personenbezogener Daten ist in Artikel 28 der DSGVO geregelt. Wenn eine Schule etwa eine Cloud-Plattform wie Office 365 von Microsoft nutzt, überträgt sie Daten an den Dienstleister. Diese Übermittlung von Daten muss datenschutzrechtlich abgesichert sein. Das kann über eine Einwilligung der betroffenen Personen erfolgen (Prinzip der Freiwilligkeit) oder eine gesetzliche Erlaubnisform sein. In jedem Fall muss ein Vertrag zur "Auftragsdatenverarbeitung" (ADV) oder neuer: "Auftragsverarbeitung" (AV) mit dem Dienstleister abgeschlossen werden.
Wenn der Zugriff auf personenbezogene Daten möglich ist, muss die Schule den Service als Auftragsverarbeitung behandeln. Das betrifft Software-as-a-Service-Angebote wie das elektronische Klassenbuch und Cloud-Dienste, aber auch die IT-Wartung des Support-Teams über den Remote-Zugriff.
Die Verantwortung für den Datenschutz liegt beim Schulleiter
Der Schulleiter ist dafür verantwortlich, sicherzustellen, dass beim Dienstleister das Schutz-Niveau bei der Verarbeitung personenbezogener Daten genauso hoch ist wie in der Schule. Dazu schließt die Schule mit dem Dienstleister einen Vertrag, den AV-Vertrag. Anbieter wie Microsoft und IT-Dienstleister bieten ihren Kunden vorbereitete AV-Verträge an.
Schul-IT-Berater empfehlen, sich mit dem Artikel 28 der DSGVO intensiv auseinanderzusetzen. Denn der Artikel besagt, dass der Auftraggeber in der Haftung bleibt, also muss er sich seine Dienstleister sorgsam auswählen. Ein Anhaltspunkt kann dabei ein Zertifikat wie ISO 27001 sein: Zertifizierte Dienstleister bieten ein erhöhtes Schutz-Niveau, weil sie bereits alle Arbeitsabläufe dokumentiert haben oder überprüft worden sind.
Stehen die Server im Geltungsbereich der EU DSGVO?
Ein weiterer Anhaltspunkt ist der Nachweis geeigneter technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit. Außerdem sollte man darauf achten, ob die Server zur Datenverarbeitung in Europa (Geltungsbereich der EU-DSGVO) oder in einem Drittland stehen, zum Beispiel in den USA. Der Dienstleister muss alle Unternehmen benennen, die ebenfalls auf die Daten im Rechenzentrum zugreifen können. Die Sub-Unternehmen sollen das gleiche Sicherheitsniveau bieten wie der Hauptauftragnehmer.
"Streng genommen muss der Datenschutz-Verantwortliche die Dienstleister regelmäßig auf ihre datenschutzrechtliche Seriosität hin überprüfen", erklärt Volker Jürgens, Geschäftsführer von AixConcept. "Das ist natürlich schwierig, wenn der Dienstleister gar nicht in Deutschland oder sogar außerhalb von Europa residiert." Große Anbieter informieren ihre Kunden von sich aus regelmäßig und stellen ihnen die erforderlichen Dokumente zur Verfügung.
Exkurs: Viele Schulen können das geforderte Schutz-Niveau, das seriöse Anbieter bieten, selbst gar nicht gewährleisten, weil es an finanziellen Mitteln oder räumlichen Gegebenheiten fehlt: Sie können weder geeignete technische und organisatorische Maßnahmen ergreifen noch die entsprechenden Schulungen des Personals durchführen.
WEITERFÜHRENDE LINKS
DSGVO für Bildungseinrichtungen: Info-Veranstaltungen im Juni in NRW
Leitfaden "Die DSGVO im Bildungssektor"
Bildungsportal des Landes NRW: "Umsetzung der EU-Datenschutz-Grundverordnung"
AixConcept ist Experte für Schul-IT und liefert seit mehr als 14 Jahren schlüsselfertige IT-Lösungen für Bildungs-Einrichtungen. Über 1.700 Schulen und andere pädagogische Institutionen in Deutschland und dem deutschsprachigen Ausland erhalten Beratung, Konzept, Umsetzung und Wartung aus einer Hand. Aus der Firmenzentrale in Aachen und mit Partnern sorgt AixConcept für einen reibungslosen Betrieb der Schul-Netzwerke und ist führender Lieferant für Schul-IT im deutschen Markt. AixConcept ist zertifizierter Microsoft Goldpartner im Bereich Application Development.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
AixConcept ist Experte für Schul-IT und liefert seit mehr als 14 Jahren schlüsselfertige IT-Lösungen für Bildungs-Einrichtungen. Über 1.700 Schulen und andere pädagogische Institutionen in Deutschland und dem deutschsprachigen Ausland erhalten Beratung, Konzept, Umsetzung und Wartung aus einer Hand. Aus der Firmenzentrale in Aachen und mit Partnern sorgt AixConcept für einen reibungslosen Betrieb der Schul-Netzwerke und ist führender Lieferant für Schul-IT im deutschen Markt. AixConcept ist zertifizierter Microsoft Goldpartner im Bereich Application Development.
Datum: 06.06.2018 - 09:00 Uhr
Sprache: Deutsch
News-ID 1617684
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner:
Stadt:
Aachen
Telefon:
Kategorie:
Dienstleistung
Anmerkungen:
Dieser Fachartikel wurde bisher 93 mal aufgerufen.
Der Fachartikel mit dem Titel:
"DSGVO für Schulen, Teil 5: Die Auftragsdatenverarbeitung (AV/ADV)
"
steht unter der journalistisch-redaktionellen Verantwortung von
AixConcept GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).