DSGVO für Schulen, Teil 5: Die Auftragsdatenverarbeitung (AV/ADV)

Diese Pressemitteilung erscheint nur noch bis zum 16.07.2019.

Als Herausgeber(in) können Sie die Laufzeit für nur 99 Cent pro Monat oder sogar alle unter derselben E-Mailadresse in einem Benutzerkonto veröffentlichten Pressemitteilungen für nur 4,99 € pro Monat um ein ganzes Jahr prolongieren (jeweils zzgl. MwSt.).

Auswirkungen der DSGVO auf den schulischen Alltag – Ein Praxisleitfaden

Schulen müssen mit Dienstleistern einen Vertrag zur Auftrags(daten)verarbeitung schließen, falls diese Zugriff auf personenbezogene Daten haben. Die Schule bleibt verantwortlich für die Einhaltung des Datenschutzes. Anhaltspunkt für ein angemessenes Schutz-Niveau eines Dienstleisters kann ein Zertifikat oder der Nachweis technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit sein.

—–

Der weisungsgebundene Einsatz externer Dienstleister zur Verarbeitung personenbezogener Daten ist in Artikel 28 der DSGVO geregelt. Wenn eine Schule etwa eine Cloud-Plattform wie Office 365 von Microsoft nutzt, überträgt sie Daten an den Dienstleister. Diese Übermittlung von Daten muss datenschutzrechtlich abgesichert sein. Das kann über eine Einwilligung der betroffenen Personen erfolgen (Prinzip der Freiwilligkeit) oder eine gesetzliche Erlaubnisform sein. In jedem Fall muss ein Vertrag zur "Auftragsdatenverarbeitung" (ADV) oder neuer: "Auftragsverarbeitung" (AV) mit dem Dienstleister abgeschlossen werden.

Wenn der Zugriff auf personenbezogene Daten möglich ist, muss die Schule den Service als Auftragsverarbeitung behandeln. Das betrifft Software-as-a-Service-Angebote wie das elektronische Klassenbuch und Cloud-Dienste, aber auch die IT-Wartung des Support-Teams über den Remote-Zugriff.

Die Verantwortung für den Datenschutz liegt beim Schulleiter

Der Schulleiter ist dafür verantwortlich, sicherzustellen, dass beim Dienstleister das Schutz-Niveau bei der Verarbeitung personenbezogener Daten genauso hoch ist wie in der Schule. Dazu schließt die Schule mit dem Dienstleister einen Vertrag, den AV-Vertrag. Anbieter wie Microsoft und IT-Dienstleister bieten ihren Kunden vorbereitete AV-Verträge an.

Schul-IT-Berater empfehlen, sich mit dem Artikel 28 der DSGVO intensiv auseinanderzusetzen. Denn der Artikel besagt, dass der Auftraggeber in der Haftung bleibt, also muss er sich seine Dienstleister sorgsam auswählen. Ein Anhaltspunkt kann dabei ein Zertifikat wie ISO 27001 sein: Zertifizierte Dienstleister bieten ein erhöhtes Schutz-Niveau, weil sie bereits alle Arbeitsabläufe dokumentiert haben oder überprüft worden sind.

Stehen die Server im Geltungsbereich der EU DSGVO?

Ein weiterer Anhaltspunkt ist der Nachweis geeigneter technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit. Außerdem sollte man darauf achten, ob die Server zur Datenverarbeitung in Europa (Geltungsbereich der EU-DSGVO) oder in einem Drittland stehen, zum Beispiel in den USA. Der Dienstleister muss alle Unternehmen benennen, die ebenfalls auf die Daten im Rechenzentrum zugreifen können. Die Sub-Unternehmen sollen das gleiche Sicherheitsniveau bieten wie der Hauptauftragnehmer.

"Streng genommen muss der Datenschutz-Verantwortliche die Dienstleister regelmäßig auf ihre datenschutzrechtliche Seriosität hin überprüfen", erklärt Volker Jürgens, Geschäftsführer von AixConcept. "Das ist natürlich schwierig, wenn der Dienstleister gar nicht in Deutschland oder sogar außerhalb von Europa residiert." Große Anbieter informieren ihre Kunden von sich aus regelmäßig und stellen ihnen die erforderlichen Dokumente zur Verfügung.

Exkurs: Viele Schulen können das geforderte Schutz-Niveau, das seriöse Anbieter bieten, selbst gar nicht gewährleisten, weil es an finanziellen Mitteln oder räumlichen Gegebenheiten fehlt: Sie können weder geeignete technische und organisatorische Maßnahmen ergreifen noch die entsprechenden Schulungen des Personals durchführen.

WEITERFÜHRENDE LINKS

++ DSGVO für Bildungseinrichtungen: Info-Veranstaltungen im Juni in NRW

++ Leitfaden "Die DSGVO im Bildungssektor" zum kostenfreien Download

++ Bildungsportal des Landes NRW: "Umsetzung der EU-Datenschutz-Grundverordnung": https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/index.html

* * * * *

Publiziert durch connektar.de.

Veröffentlicht von:

AixConcept

Pascalstraße 71
52076 Aachen
Deutschland
Telefon: +49.2408.709930
Homepage: http://www.aixconcept.de

Ansprechpartner(in):
Volker Jürgens
Herausgeber-Profil öffnen

Firmenprofil:

AixConcept ist Experte für Schul-IT und liefert seit mehr als 14 Jahren schlüsselfertige IT-Lösungen für Bildungs-Einrichtungen. Über 1.700 Schulen und andere pädagogische Institutionen in Deutschland und dem deutschsprachigen Ausland erhalten Beratung, Konzept, Umsetzung und Wartung aus einer Hand. Aus der Firmenzentrale in Aachen und mit Partnern sorgt AixConcept für einen reibungslosen Betrieb der Schul-Netzwerke und ist führender Lieferant für Schul-IT im deutschen Markt. AixConcept ist zertifizierter Microsoft Goldpartner im Bereich Application Development. www.aixconcept.de

Die Pressemitteilung darf - auch in geänderter oder gekürzter Form - mit Quelllink auf die Homepage kostenlos verwendet werden.

Informationen sind erhältlich bei:

faltmann PR - Öffentlichkeitsarbeit für IT-Unternehmen
Frau Sabine Faltmann
Marshallstraße 23
52066 Aachen

fon ..: +49.241.5707 3570
web ..: https://www.faltmann-pr.de
email : aixconcept@faltmann-pr.de
Themenverwandte Pressemitteilungen: