Datenschutz outsourcen
Themenfeld
Schulorganisation
Vorschlag
Der bürokratische Aufwand für den Datenschutz an Schulen muss deutlich gesenkt werden. Zentrale Punkte sind:
1. Delegierung von Datenschutzaufgaben an Fachpersonen - damit die Schule nicht mit allen einzelnen Vorgaben und Verträgen umgehen muss.
2. Zentrale Zertifizierung von Verwaltungssoftware - ein einheitlicher Vertrag zwischen Schule, Schulträgern und dem zuständigen Zweckverband würde die Nutzung von Bewerbungsportalen und anderen Systemen vereinfachen und den Bedarf an getrennten Datenschutzregelungen eliminieren.
3. Einheitliche Regelung der Datenweitergabe bei Ausbildungs- und Bildungsprogrammen - so entfällt die Notwendigkeit einzelner lokaler Absprachen und ein einheitlicher Rechtsrahmen ermöglicht einen reibungslosen Informationsaustausch.
4. Zentrale Zertifizierung von unterrichtlich eingesetzter Software, auch KI-gestützten Anwendungen - Schulungen könnten diese Programme ohne zusätzliche Datenschutzprüfungen beschaffen und nutzen, sobald sie zertifiziert sind.
Antwort
Schulen verarbeiten bei der Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben in großem Umfang - zum Teil auch in besonders sensiblen Kategorien - personenbezogene Daten von Lehrkräften sowie des sonstigen (pädagogischen) Personals, von Schülerinnen und Schülern sowie von Eltern. Die maßgebliche europäische Datenschutzgrundverordnung bestimmt daher konsequenterweise diejenigen, die diese Daten verarbeiten, zu den für deren Schutz "verantwortlichen Stellen". Das gilt insbesondere dann, wenn sich Dritter als sog. Auftragsverarbeiter bedient wird. Spezifische Regelungen im nationalen Recht (Schulgesetz und dieses konkretisierende Rechtsverordnungen) legen spezielle Bestimmungen für die Datenverarbeitung im schulischen Bereich fest. Verantwortliche Stelle für den Datenschutz ist die jeweilige Schulleitung.
Selbstverständlich sollen Schulen, und damit insbesondere die Schulleitungen, hierbei Hilfe und Unterstützung erhalten. Daher steht hier eine umfassende Beratungs- und Unterstützungsstruktur zur Verfügung, z. B. durch schulische Datenschutzbeauftragte, die jeweilige Schulaufsicht und die Medienberatung NRW. Aber auch der Schulträger ist im Rahmen seiner Zuständigkeit (mit)verantwortlich dafür, dass den Schulen eine datenschutzgerechte Sachausstattung bereitgestellt wird.
Sofern Datenverarbeitungen einem externen Dritten übertragen werden, ist es europarechtlich zwingend erforderlich, hierfür eine entsprechende vertragliche Regelungen zu treffen (sog. Auftragsverarbeitungsvertrag). Auch die Frage, ob ggf. eine Datenschutzfolgeabschätzung (DSFA) vorzunehmen ist, richtet sich zwingend nach den Voraussetzungen des Art. 35 DSGVO und ist nicht durch Landesrecht abdingbar. Die Notwendigkeit einer DSFA ist jedoch abhängig von den konkret vorgesehenen Verarbeitungen im Einzelfall; auf Ebene einer Einzelschule dürfte sie im Regelfall nicht erforderlich sein.
Zugunsten der Schulen hat das Land mit den bereichsspezifischen Regelungen im Schulgesetz (§§ 120 bis 122) sowie den diese konkretisieren Verordnungen der VO-D I und VO-DV II bereits umfassend von den Gestaltungsmöglichkeiten der europäischen DSGVO Gebrauch gemacht, und für vielfältige originäre schulische Aufgaben die Verarbeitung erforderlicher personenbezogener Daten geregelt, ohne dass es hierbei einer Einwilligung der Betroffenen bedarf. Damit ist sichergestellt, dass die grundlegenden schulischen Aufgaben bei der Erfüllung des staatlichen Bildungs- und Erziehungsauftrages nicht von freiwilligen und jederzeit widerruflichen Einwilligungserklärungen abhängig sind. Das Land wird auch in Zukunft immer prüfen, inwieweit ein Handlungsbedarf besteht, die bestehenden datenschutzrechtlichen Regelungen an neue oder veränderte Aufgaben anzupassen.
Der Wunsch nach vom Land bereitgestellten zertifizierten digitalen Produkten für Schulen ist nachvollziehbar. Dies wäre angesichts des vielfältigen, sich ständig verändernden Angebotes jedoch nicht möglich. Die Schulen bestimmen ihren Bedarf grundsätzlich selbst und entscheiden über den Einsatz, in Abstimmung mit dem Schulträger, eigenverantwortlich.
Auf Bundesebene wird derzeit das Forschungsprojekt DIRECTIONS gefördert, das die Zertifizierung von Datenverarbeitungsvorgängen und schulischen Anwendungen ermöglichen soll und von der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI) NRW begleitet wird. Eine Liste datenschutzrechtlich unbedenklicher Anwendungen wäre auch aus Sicht des MSB sehr hilfreich für die Praxis. Hier bleibt die weitere Entwicklung des Projekts abzuwarten.
Das Ministerium für Schule und Bildung wird die Thematik in Gesprächen mit den Kommunalen Spitzenverbänden zur Sprache bringen.
Selbstverständlich sollen Schulen, und damit insbesondere die Schulleitungen, hierbei Hilfe und Unterstützung erhalten. Daher steht hier eine umfassende Beratungs- und Unterstützungsstruktur zur Verfügung, z. B. durch schulische Datenschutzbeauftragte, die jeweilige Schulaufsicht und die Medienberatung NRW. Aber auch der Schulträger ist im Rahmen seiner Zuständigkeit (mit)verantwortlich dafür, dass den Schulen eine datenschutzgerechte Sachausstattung bereitgestellt wird.
Sofern Datenverarbeitungen einem externen Dritten übertragen werden, ist es europarechtlich zwingend erforderlich, hierfür eine entsprechende vertragliche Regelungen zu treffen (sog. Auftragsverarbeitungsvertrag). Auch die Frage, ob ggf. eine Datenschutzfolgeabschätzung (DSFA) vorzunehmen ist, richtet sich zwingend nach den Voraussetzungen des Art. 35 DSGVO und ist nicht durch Landesrecht abdingbar. Die Notwendigkeit einer DSFA ist jedoch abhängig von den konkret vorgesehenen Verarbeitungen im Einzelfall; auf Ebene einer Einzelschule dürfte sie im Regelfall nicht erforderlich sein.
Zugunsten der Schulen hat das Land mit den bereichsspezifischen Regelungen im Schulgesetz (§§ 120 bis 122) sowie den diese konkretisieren Verordnungen der VO-D I und VO-DV II bereits umfassend von den Gestaltungsmöglichkeiten der europäischen DSGVO Gebrauch gemacht, und für vielfältige originäre schulische Aufgaben die Verarbeitung erforderlicher personenbezogener Daten geregelt, ohne dass es hierbei einer Einwilligung der Betroffenen bedarf. Damit ist sichergestellt, dass die grundlegenden schulischen Aufgaben bei der Erfüllung des staatlichen Bildungs- und Erziehungsauftrages nicht von freiwilligen und jederzeit widerruflichen Einwilligungserklärungen abhängig sind. Das Land wird auch in Zukunft immer prüfen, inwieweit ein Handlungsbedarf besteht, die bestehenden datenschutzrechtlichen Regelungen an neue oder veränderte Aufgaben anzupassen.
Der Wunsch nach vom Land bereitgestellten zertifizierten digitalen Produkten für Schulen ist nachvollziehbar. Dies wäre angesichts des vielfältigen, sich ständig verändernden Angebotes jedoch nicht möglich. Die Schulen bestimmen ihren Bedarf grundsätzlich selbst und entscheiden über den Einsatz, in Abstimmung mit dem Schulträger, eigenverantwortlich.
Auf Bundesebene wird derzeit das Forschungsprojekt DIRECTIONS gefördert, das die Zertifizierung von Datenverarbeitungsvorgängen und schulischen Anwendungen ermöglichen soll und von der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI) NRW begleitet wird. Eine Liste datenschutzrechtlich unbedenklicher Anwendungen wäre auch aus Sicht des MSB sehr hilfreich für die Praxis. Hier bleibt die weitere Entwicklung des Projekts abzuwarten.
Das Ministerium für Schule und Bildung wird die Thematik in Gesprächen mit den Kommunalen Spitzenverbänden zur Sprache bringen.
