Beiträge :: Schlagwort #Verzeichnis von Verarbeitungstätigkeiten (VVT)
Folgende Beiträge wurden gefunden:
Was ist beim Einsatz von Lernprogrammen, Apps, und Onlinediensten zu beachten, wenn bei der Nutzung personenbezogene Daten verarbeitet werden?
Die zunehmende Digitalisierung an den Schulen und die Anforderungen an zeitgemäßen, ansprechenden und wirklichkeitsnahen Unterricht führen zu einem stark steigenden Bedarf nach dem Einsatz unterschiedlichster digitaler Werkzeuge. Die Bandbreite erstreckt sich vom lokalen Einsatz von Office-Anwendungen, einfacher Simulationsprogramme und interaktiven Apps bis hin zur Nutzung kommerzieller, zentral betriebenen Lernplattformen, Videokonferenz- und Lernmanagementsystemen. Für die Nutzung kommen Endgeräte verschiedener Hersteller, Betriebssysteme und Leistungsklassen zum Einsatz, die sowohl im Eigentum und in Verantwortung der Schule betrieben werden, als auch schülereigene Endgeräte in beliebigen Konfigurationsvarianten. Die Nutzung kann ausschließlich in der Schule, aber auch ergänzend im privaten Umfeld stattfinden (Distanzlernen, Hausaufgaben etc.).
Für die Beantwortung der Fragen, ob ein bestimmtes, von Schule nachgefragtes, Produkt oder ein Onlineangebot überhaupt in Schule rechtmäßig eingesetzt werden kann, ist zunächst ein Nutzungskonzept zu entwerfen, in dem Zwecke und Ziele, beteiligte Personengruppen, die Verwendungsorte und die Herkunft der Endgeräte (schulisch/privat) festgelegt wird.
Für die Klärung der Frage, ob die Anwendung vor der Nutzung einer datenschutzrechtlichen Prüfung unterzogen werden muss und welche Dokumentationserfordernisse daraus für die Schule erwachsen, ist entscheidend, ob das geplante Verfahren mit einer Verarbeitung personenbezogener Daten einhergeht. Findet die Verarbeitung darüber hinaus nicht lokal, sondern bei einem Dienstleister (Programmanbieter, Hostingdienstleister) statt, ist zusätzlich ein Auftragsverarbeitungsvertrag (AVV) zwischen Schule und Dienstleister zu schließen.
Schulen können sich bei Fragen und Unsicherheiten auch vom IQSH (Helpdesk) und dem zentralen Datenschutzbeauftragten beraten lassen. Hierfür sind im Vorwege das Nutzungsszenario zu definieren und Unterlagen zur Beschreibung des geplanten Verfahrens (Herstellerunterlagen, AVV etc.) zu beschaffen. Eine Beratung nur unter Nennung des Produktes und der Frage, ob dies an der Schule eingesetzt werden darf, ist nicht möglich.
Lehrkräfte sollten nicht eigenmächtig Apps oder Onlinedienste, die mit der Verarbeitung personenbezogener Daten einher gehen, einführen oder gar Schülerinnen und Schüler zur Installation verpflichten. Hier ist immer eine Absprache/Genehmigung mit/durch die Schulleitung erforderlich, da diese die Gesamtverantwortung für die Einhaltung und Organisation des Datenschutzes trägt (§ 2 SchulDSVO). Aus diesem Grund erteilt auch weder das MBWFK (mit Ausnahme der Landeslösunge) noch der Datenschutzbeauftragte Freigaben oder Nutzungserlaubnisse.
Die diesem Beitrag beigefügten Unterlagen sollen Ihnen erste Informationen zu diesem Themenkomplex und Hilfestellungen bei der Auswahl geben sowie die erforderliche Verarbeitungsdokumentation mit Mustern unterstützen.
Zugehörige Dateien
→ Verarbeitungsdokumentation_Muster [ZIP]
→ Checkliste_Auftragsverarbeitung_I [DOCX]
→ Checkliste_Auftragsverarbeitung_II [DOCX]
→ Checkliste_Dokumentationspflichten [DOCX]
→ Schnellüberblick zum Auswahl-, Prüf- und Einführungsverfahren für digitale Medien [PDF]
Wer ist für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (VVT) verantwortlich und wie ist dieses aufgebaut?
Die EU-Datenschutzgrundverordnung (DSGVO) hat als ein übergeordnetes Ziel die Schaffung maximaler Transparenz hinsichtlich der Ausgestaltung, des Umfangs und der Sicherheit bei der Verarbeitung personenbezogener Daten durch die Verantwortlichen. Im Schulumfeld sind dies Schulen, das Ministerium, Schulämter, Schulträger, Elternvertretungen und andere Institutionen/Unternehmen/Behörden, die Daten von Schülerinnen, Schülern, Eltern und auch Beschäftigten verarbeiten.
Diese Grundsätze der Verarbeitung sind in Artikel 5 Absatz 1 DSGVO beschrieben.
Darüber hinaus stehen den, Personen deren Daten verarbeitet werden, umfangreiche Rechte wie beispielsweise Information vor einer Datenerhebung oder Auskunft zu gespeicherten Daten zu.
Die Betroffenenrechte sind in den Artikeln 12 - 23 der DSGVO beschrieben.
Um die Einhaltung der Grundsätze nachweisen zu können und darüber transparent zu informieren bzw. die Betroffenenrechte zu wahren ist es erforderlich, dass Verarbeitungsprozesse in Schule dokumentiert sind. Diese Rechenschafts- und Dokumentationspflicht wurde ebenfalls als ein Grundpfeiler in Artikel 5 Absatz 2 DSGVO aufgenommen.
Ein zentrales Dokument ist hierbei das Verzeichnis von Verarbeitungstätigkeiten, in dem alle übergeordneten Verarbeitungstätigkeiten einer datenverarbeitenden Stelle beschrieben werden. Der Inhalt des VVT ist durch Artikel 30 DSGVO festgelegt, für die übersichtliche Erfassung existieren Musterdokumente (siehe unten).
Verantwortlich für die Erstellung und die Erfüllung der Dokumenations- und Rechenschaftspflichten im Ganzen ist die Schulleitung (§ 2 SchulDSVO).
Für die Schulen wurde ein Muster-VVT erarbeitet (siehe unten), welches die primär in Schule anfallenden Verarbeitungstätigkeiten abbildet und somit den Schulen einen wesentlichen Teil der Erstellungsarbeit abnimmt.
Die Schule muss hier nur das Vorblatt mit den Schuldaten komplettieren und innerhalb der Verarbeitungstätigkeiten ggf. Fachverantwortliche benennen und die Angaben auf mögliche schulspezifische Angaben hin prüfen und ggf. anpassen.
Nur für nicht im Muster-VVT erfasste Verarbeitungstätigkeiten muss die Schule auf Basis der Mustervorlage eigene Einträge im VVT ergänzen.
Zugehörige Dateien
→ Muster-VVT [ZIP]
→ Hinweise zum VVT [PDF]
→ Kurzinfo VVT [PDF]
→ Muster_VT [DOCX]