Die „Verarbeitung im Auftrag“: Warum Sie diese datenschutzrechtliche Regelung in der Schule unbedingt benötigen – Wegweiser Digitale Schule

DIE „VERARBEITUNG IM AUFTRAG“: WARUM SIE DIESE DATENSCHUTZRECHTLICHE REGELUNG IN DER SCHULE UNBEDINGT BENÖTIGEN

01.04.2020
Die „Verarbeitung im Auftrag“: Warum Sie diese datenschutzrechtliche Regelung in der Schule unbedingt benötigen © Song about Summer - stock.adobe.com

Datenschutz und der damit verbundene bürokratische Aufwand stoßen bei Schulen aus meiner Erfahrung meist auf wenig Gegenliebe. Das kann ich gut verstehen: Die Materie ist trocken und es entsteht oft der Eindruck, dass damit die Arbeit sowohl in der Verwaltung als auch bei den Lehrkräften nur erschwert wird.

Das schließt auch die „Verarbeitung im Auftrag“ mit ein. Die vertragliche Regelung ist vielen Personen in der Schule aber auch gar nicht bekannt. Trotzdem ist sie besonders wichtig, damit der Schutz personenbezogener Daten gewährleistet wird. Was sich dahinter verbirgt und welche Schritte dabei für Sie als Schulleitung notwendig sind, erfahren Sie in diesem Beitrag.

Zum Begriff

Vielleicht haben Sie diesen Begriff noch nicht gehört, aber ähnliche wie beispielsweise Datenverarbeitung im Auftrag oder Auftragsdatenverarbeitung, auch abgekürzt als ADV.

Die beiden letztgenannten Bezeichnungen sind noch aus der Zeit vor dem Inkrafttreten der DSGVO (Datenschutz-Grundverordnung), die am 25.05.2018 rechtlich wirksam wurde.

Somit ist der Begriff Verarbeitung im Auftrag nun korrekt.

 

Was ist die „Verarbeitung im Auftrag“?

Die Verarbeitung im Auftrag findet sich in Art. 28 DSGVO (www.wweiser.de/dsgvo28) und soll vertraglich die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen regeln.

Um diese Formulierung zu vereinfachen:
Verlassen personenbezogene Daten das Schulhaus an externe Dienstleister? Dann sind Sie als Schulleitung in der Pflicht, mit dieser Firma die korrekte Behandlung der Daten vertraglich zu regeln.

 

3 Beispiele

  1. Sie haben eine Schülerzeitung oder einen Jahresbericht erstellt und geben die Druckdaten an eine Druckerei weiter. Diese „verarbeitet im Auftrag“ die von Ihnen gelieferten Dateien, welche normalerweise auch immer personenbezogene Daten (z. B. die Namen der Schüler und Lehrkräfte) enthalten.
  2. Ihre Schule wird von einer IT-Firma betreut. Im Normalfall haben die EDVSpezialisten beim Support und der Wartung Zugriff auf viele sensible Dateien, sowohl in der Verwaltung als auch im pädagogischen Schulnetz. Dies betrifft auch im Besonderen die Fernwartung.
  3. Sie haben den Internetauftritt Ihrer Schule bei einem Web-Dienstleister gehostet. In der Regel beinhaltet jede schulische Website auch personenbezogene Daten (z. B. Namen des Verwaltungspersonals, der Lehrkräfte und des Elternbeirats).

In allen 3 Fällen ist es somit notwendig, dass Sie mit den Firmen die Verarbeitung im Auftrag vertraglich regeln.

 

Das beinhaltet die „Verarbeitung im Auftrag“

Verträge zur Verarbeitung im Auftrag beinhalten u. a. folgende Regelungen:

  • Personenbezogene Daten dürfen nur auf Ihre dokumentierte Anweisung hin verarbeitet werden.
  • Die Personen, welche die Daten verarbeiten, verpflichten sich zur Vertraulichkeit.
  • Der Verarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein angemessenes Schutzniveau zu gewährleisten (z. B. Verschlüsselung der Daten oder auch Backups gegen Datenverlust).
  • Der Auftragsverarbeiter kann weitere verarbeitende Firmen beauftragen – jedoch müssen Sie darüber informiert werden und dies schriftlich genehmigen.
  • Personenbezogene Daten müssen nach Erbringung der Verarbeitungsleistung wieder gelöscht oder zurückgegeben werden.
  • Sämtliche Informationen zum Nachweis der Einhaltung müssen Ihnen auf Anfrage zur Verfügung gestellt werden, um ein Maximum an Transparenz zu gewährleisten.

 

Wer kümmert sich um die Erstellung der „Verarbeitung im Auftrag“?

In aller Regel sind diese vertraglichen Regelungen den Firmen bekannt und gehören zum „Tagesgeschäft“.

Aus diesem Grund verfügen die Dienstleister normalerweise über vorgefertigte Verträge, die Sie als Schulleitung nur noch unterschreiben müssen.

Sollten Sie in seltenen Fällen auf einen Dienstleister treffen, der dies nicht leisten kann oder will, so liegt die Erstellung an Ihnen: Ohne eine vertraglich geregelte „Verarbeitung im Auftrag“ dürfen personenbezogene Daten das Schulhaus nicht verlassen.

Ich kann Sie aber beruhigen: In den meisten Bundesländern gibt es Vorlagen für diese Verträge. Fragen Sie deshalb den für Ihre Schule zuständigen Datenschutzbeauftragten danach, oder wenden Sie sich an die für Ihr Bundesland zuständige Datenschutzbehörde.

 

Was geschieht mit der „Verarbeitung im Auftrag“?

Als Schulleitung sind Sie verpflichtet dafür zu sorgen, dass Verträge zur Verarbeitung im Auftrag zwischen der Schule und den verarbeitenden Dienstleistern geschlossen werden.

Sie sind ebenso zur Dokumentation und Transparenz verpflichtet. Konkret bedeutet das, dass Sie diese Verträge in einem Verzeichnis von Verarbeitungstätigkeiten archivieren müssen. Dieser Aktenordner muss allen betroffenen Personen (Schülern, Eltern, Lehrkräften) zur jederzeitigen Einsichtnahme zur Verfügung gestellt werden.

 

Fazit: Die vertragliche Regelung zum Datenschutz ist sehr wichtig!

In Schulen entstehen viele personenbezogene Daten, die häufig auch – analog wie digital – das Schulgebäude verlassen. Um die Sicherheit dieser meist sensiblen Daten zu gewährleisten, ist deshalb die „Verarbeitung im Auftrag“ als vertragliche Regelung besonders wichtig. Mit den hier aufgeführten Ratschlägen können Sie die Einhaltung des Datenschutzes jedoch ohne großen Aufwand befolgen.

Ein Muster für eine „Verarbeitung im Auftrag“ im Word-Format finden Sie bei bitkom unter: www.wweiser.de/advmuster

Jetzt Registrieren
Registrieren Sie sich jetzt, um WEGWEISER Digitale Schule in vollem Umfang nutzen zu können!

Jetzt registrieren

Schlagworte für diesen Beitrag
Diese Artikel könnten Sie auch interessieren
Private mobile Endgeräte und der Datenschutz: Warum ein niedersächsischer Erlass als problematisch einzustufen ist
- In Niedersachsen sorgte ein im Januar dieses Jahres veröffentlichter Erlass für erhebliches Stirnrunzeln – nicht nur bei mir. Darin wird klar komm ...
Rollen Sie an Ihrer Schule Adobe-Spark-Lizenzen effizient und datenschutzkonform aus
- Beim Kompetenzbereich „Produzieren und Präsentieren“ eignen sich die Spark-Produkte von Adobe hervorragend für den Einsatz im Unterricht. Mit Pa ...
Zusammen rechnen: Mit EtherCalc arbeiten Sie gemeinsam in einer Tabellenkalkulation
- Ob im Mathematik- oder Informatikunterricht oder auch nur, um Informationen zusammenzutragen: Tabellenkalkulationen werden auch in der Schule benötig ...
Muss jede App von den Eltern genehmigt werden?
- Frage Wir setzen an unserer Schule Tablets ein. Neulich meinte ein Kollege, dass immer dann, wenn wir neue Apps auf den Geräten installieren, die Elt ...
Themen aus der selben Kategorie
Was versteht man unter der Lizenz CC BY-SA?
Frage Ihre Übersicht über die Creative-Commons-Lizenzmodelle haben mir sehr weitergeholfen. Trotzdem ist mir die Anwendung von CC BY-SA noch nicht k ...
Private mobile Endgeräte und der Datenschutz: Warum ein niedersächsischer Erlass als problematisch einzustufen ist
In Niedersachsen sorgte ein im Januar dieses Jahres veröffentlichter Erlass für erhebliches Stirnrunzeln – nicht nur bei mir. Darin wird klar komm ...
Rollen Sie an Ihrer Schule Adobe-Spark-Lizenzen effizient und datenschutzkonform aus
Beim Kompetenzbereich „Produzieren und Präsentieren“ eignen sich die Spark-Produkte von Adobe hervorragend für den Einsatz im Unterricht. Mit Pa ...
Muss jede App von den Eltern genehmigt werden?
Frage Wir setzen an unserer Schule Tablets ein. Neulich meinte ein Kollege, dass immer dann, wenn wir neue Apps auf den Geräten installieren, die Elt ...