Umsetzung der DSGVO durch Schulen und Studienseminare
1. Bestellung und Meldung einer/eines Datenschutzbeauftragten (Art. 37 DSGVO)
Art. 37 DSGVO sieht für Behörden und andere öffentliche Stellen ausnahmslos eine Verpflichtung zur Bestellung einer oder eines Datenschutzbeauftragten vor. Daher haben alle öffentlichen Schulen und die Studienseminare eine/n Datenschutzbeauftragte/n zu bestellen und dies der Landesbeauftragten für den Datenschutz zu melden.
Ausnahmen für kleine Schulen mit nur wenigen Lehrkräften sind nach der Datenschutzgrundverordnung leider nicht vorgesehen.
Hier finden Sie weitere Informationen und Formulare.
2. Erstellung eines Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Zukünftig muss jede Schule bzw. jedes Studienseminar ein Verzeichnis von Verarbeitungstätigkeiten führen, da die DSGVO vorsieht, dass die Grundlagen der Verarbeitung personenbezogener Daten (z.B. der Zweck) schriftlich zu dokumentieren sind. In das Verzeichnis sind Vorgänge und Prozesse, bei denen in der Schule bzw. im Studienseminar personenbezogene Daten verarbeitet werden, einzutragen. Umfasst ist somit nicht nur die Verarbeitung mittels automatisierter Verfahren, sondern auch die Verarbeitung personenbezogener Daten in Papierakten. Nicht umfasst sind dagegen Daten, die in einem Dateisystem weder gespeichert sind noch gespeichert werden sollen (z.B. handschriftliche Aufzeichnungen einer Lehrkraft zur Dokumentation der mündlichen Leistungen).
3. Umsetzung der Informationspflichten (Art. 13 ff. DSGVO)
Die Art.13 ff. DSGVO sehen Informationspflichten gegenüber der oder dem Betroffenen vor, wenn Daten bei der betroffenen Person oder einem Dritten erhoben werden sollen, z. B. bei der Aufnahme einer Schülerin oder eines Schülers in die Schule.
Hier finden Sie weitere Informationen, Formulare und Muster.
4. Anpassung bestehender Verträge über die Datenverarbeitung im Auftrag
Beauftragt die Schule bzw. das Studienseminar eine andere Stelle mit der Verarbeitung personenbezogener Daten und wird diese sodann weisungsgebunden tätig (z.B. Wartungsarbeiten, externes Rechenzentrum, Cloud-Dienst, Schulfotograf), liegt eine Datenverarbeitung im Auftrag vor.
Mit dem Beauftragten ist ein Vertrag zu schließen, der den in Art. 28 Abs.3 DSGVO genannten Mindestinhalt aufweisen muss.
Bestehende Verträge sind an die Vorgaben des Art. 28 DSGVO anzupassen.
Hier finden Sie weitere Informationen und Musterverträge.
5. Meldung von Datenschutzverletzungen:
Die Datenschutzgrundverordnung sieht die Pflicht vor, dass Datenschutzverletzungen (z.B. Verlust, unbefugte Offenlegung/ Weitergabe von Daten) möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde zu melden.
Die Aufsichtsbehörde ist die Landesbeauftragte für den Datenschutz Hannover.
Hier finden Sie weitere Informationen.
Artikelaktionen