Ein Datenschutz-Konzept für Schulen gemäß der EU-DSGVO
Der Fachartikel "Ein Datenschutzkonzept für Schulen" informiert Schulleitende und Lehrkräfte über die Erstellung eines Verfahrensverzeichnisses gemäß der EU-Datenschutzgrundverordnung (DSGVO).
Das Recht auf Vergessenwerden
Artikel 17. Abs.1 der EU-DSGVO stellt die Schulleitungen und Verantwortlichen in der Auftragsdatenverarbeitung vor vielfältige Aufgaben, denn personenbezogene Daten sind künftig unverzüglich zu löschen, wenn
- die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dabei müssen die Löschungsfristen für alle Schüler-Lehrer- und Elterndaten eingehalten werden. Das gilt für Klassenarbeiten, Notenhefte, Fotos, Zeugnisse und so weiter.
- die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Sind zum Beispiel irrtümlich Fotos von Personen auf Schulfesten erstellt worden oder gab es Einwilligungen für die Unterschriften auf Klassenlisten, die die betroffene Person zurückziehen möchte, so muss die Schulleitung diesem Ansinnen Folge leisten.
- die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen (siehe oben).
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden (keine Einwilligungserklärung vorlag).
- die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist (Verbot von Direktwerbung und so weiter).
- die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, das heißt Internetangebote wie Webshops oder Online-Spiele, erhoben wurden (ein besonders sensibler Bereich, auf den die Schulleitung zu achten hat).
Voraussetzungen für die Umsetzung des Rechtes auf Vergessenwerden in der Schule
Die Umsetzung des Artikels 17. Abs. 1 kann aber nur erfolgen, wenn die Schulleitung, als für den Datenschutz Verantwortliche, darüber informiert ist, welche Daten von wem zu welchem Zweck erhoben und verarbeitet werden. Weiterhin ist entscheidend, ob von den Betroffenen (Lehrkräfte, Eltern, Schülerinnen und Schüler) Einwilligungen zur Datenverarbeitung eingefordert wurden. Deshalb ist es zwingend erforderlich, dass die Schulen ein internes Verfahrensverzeichnis erarbeiten, aus dem Folgendes ersichtlich ist:
- der Name und die Kontaktdaten aller Verantwortlichen, deren Vertreter sowie eines etwaigen Datenschutzbeauftragten
- der Zweck der Verarbeitung
- die Kategorien betroffener Personen und die Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien für den Datenschutz
- sowie, wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
Dieses Verfahrensverzeichnis dient der Dokumentation aller Verarbeitungstätigkeiten und kann der Schulaufsichtsbehörde zur...