Muss ich für jeden digitalen Dienst eine umfangreiche Dokumentation erstellen?
Muss ich für jeden digitalen Dienst eine umfangreiche Dokumentation erstellen?
Entsprechend § 2 SchulDSVO trägt die Schulleitung die Verantwortung für die Organisation und Einhaltung des Datenschutzes in der Schule. Dazu gehört auch das Anfertigen bzw. Inkraftsetzen der datenschutzrechtlichen Dokumentation. Die digitalen Dienste, die in der Schule genutzt werden, lassen sich aus Datenschutzperspektive in drei Kategorien unterteilen.
Kategorie 1 - kein Personenbezug
Ein digitaler Dienst muss nur datenschutzrechtlich dokumentiert werden, wenn das Datenschutzrecht anzuwenden ist, d.h. wenn personenbezogene Daten verarbeitet werden. Der Begriff Verarbeitung umfasst u.a. das Erfassen, Übertragen, Speichern und Löschen von Daten. Personenbezogene bzw. personenbeziehbare Daten sind bspw. Name, Kontaktdaten, IP-Adressen und Leistungsdaten.
Kategorie 2 - geringes Schadensrisiko
Das mit der Verarbeitung personenbezogener Daten einhergehende Risiko für die Rechte und Feiheiten der betroffenen Personen, kann durch das Ergreifen geeigneter technischer und/oder organisatorischer Maßnahmen (TOM) reduziert werden. Erfordert beispielsweise eine Lernanwendung nur sehr wenige personenbezogene Daten (z. B. ein Pseudonym und die IP-Adresse), dann kann der Personenbezug gegenüber dem Anbieter verschleiert werden, indem die ausschließliche Nutzung der Anwendung über das Schul-WLAN, auf schuleigenen, nicht-personalisierten Geräten vorgeschrieben wird. Digitale Dienste, die aufgrund eines solchen konkreten Nutzungsszenarios nur ein geringes datenschutzrechtliches Risiko bergen, bezeichnen wir als „Anwendungen mit geringem Datenschutzrisiko“. Für diese Dienste steht ein Dokumentenpaket zur Verfügung, welches mit wenigen Basis-Dokumenten eine Liste von Anwendungen abdeckt. Die Schulleitung kann mit Hilfe der im Dokumentenpaket beigefügten Orientierungshilfe prüfen und entscheiden, ob ein digitaler Dienst unter die Anwendungen mit geringem Datenschutzrisiko fällt. Dabei ist es ausreichend, wenn entsprechende Dienste in die schulinterne Liste übernommen und die Dokumentation an wenigen Stellen angepasst wird. Somit entfällt der Aufwand für jeden Dienst eine eigene Dokumentation anzufertigen.
Kategorie 3 - erhöhtes Schadensrisiko
Wird ein digitaler Dienst, der personenbezogene Daten verarbeitet, in nicht unerheblichem Umfang in der Schule verwendet, so muss für diesen eine spezifische datenschutzrechtliche Dokumentation angefertigt bzw. in Kraft gesetzt werden. Dies ist beispielsweise der Fall, wenn der Einsatz mit einer Auftragsverarbeitung einher geht. Für die Landeslösungen und für einige häufig angefragte Dienste stehen fertige Musterdokumentenpakete zur Verfügung. Für die Neuerstellung noch nicht dokumentierter Dienste können diese als Vorlagen genutzt werden. Allgemeine Hinweise zum Erstellen der datenschutzrechtlichen Dokumentation gibt es in diesem FAQ-Eintrag.