Datenschutz für Bildungsträger
Anforderungen an den Datenschutz für Bildungszentren, Bildungseinrichtungen, Schulen, Hochschulen und Kindergärten
Das Bundesdatenschutzgesetz und die Datenschutzgrundverordnung gelten für öffentliche und nicht öffentliche Stellen. Jedoch sind die Anforderungen an die Verarbeitung personenbezogener Daten aufgrund von gesetzlichen Regelungen für Bildungsträger und Bildungseinrichtungen wie Schulen oder Hochschulen, nicht zuletzt auch abhängig von der Struktur der Datenverarbeitung, sehr unterschiedlich. Daher bringen wir unser Know-how rund um das Thema Datenschutz für Bildungsträger in Ihre Branche ein.
Worauf pädagogische Einrichtungen beim Datenschutz achten müssen
Zum Bildungssektor gehören neben Schulen, Hochschulen, Kindergärten und unterschiedlichen Einrichtungen von Erwachsenenbildungen sowie Berufsschulen, Fachschulen, Museen, Bibliotheken und andere, teilweise private, Einrichtungen. Da so viele unterschiedliche Akteure hinzugezählt werden, diese wiederum als Verein, Unternehmen oder staatliche Institutionen auftreten können, ist eine Bewertung des Datenschutzes besonders komplex und nicht allgemein für alle festlegbar.
Jedoch gelten für alle diese Einrichtungen übergeordnet die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz, welche vor allem im schulischen Bereich durch die Landesgesetze meist umfangreich und mit diversen Besonderheiten ergänzt werden.
Verantwortliche in Bildungseinrichtungen
Der Verantwortliche für den Datenschutz für Bildungsträger nach Art. 5 Abs. 7 DSGVO ist dafür zuständig, dass die gesetzlichen Vorgaben im Datenschutz umgesetzt und eingehalten werden. In Schulen wird i.d.R. der Schulleiter als Verantwortlicher gesehen, in nicht öffentlichen Institutionen ist dies in der Regel der Geschäftsführer oder der Vorsitzende, ähnlich wie in Unternehmen oder Vereinen.
Datenschutz für Bildungsträger: Alles sicher?
- Einsatz privater IT von Lehrkräften
- Umgang mit Speichermedien
- Digitales Klassenbuch
- eLearning und Videokonferenzen
- Datenschutzrechtlich korrekte Einwilligungen von Schülern
- Aufbewahrungspflichten
- Einsatz von Social Media
Datenschutzbeauftragter für Bildungsträger
Die Benennungspflicht eines Datenschutzbeauftragten richtet sich im Bildungssektor auch nach der Art der Institution.
Für staatliche Bildungseinrichtungen gelten die Regelungen nach § 5 BDSG, wo eine allgemeine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Für privatwirtschaftliche Einrichtungen gilt § 38 BDSG, wo ein Datenschutzbeauftragter notwendig ist, soweit in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Ist der Datenschutzbeauftragte mit Kontrollfunktionen ausgestattet, sollte er nicht in Situationen kommen, in denen er sich selber kontrollieren muss oder ein Interessenskonflikt besteht.
Beispiel:
Der Leiter der IT-Abteilung ist gleichzeitig der Datenschutzbeauftragte einer Schule. In seiner Position als IT-Leiter ist er verantwortlich für die Implementierung und Überwachung von Sicherheitsmaßnahmen und IT-Prozessen, die den Schutz personenbezogener Daten gewährleisten sollen.
Eines Tages steht die Schule vor der Aufgabe, ein neues System zur Verwaltung von Beschäftigtendaten einzuführen. Als IT-Leiter ist er für die Auswahl und Implementierung des Systems verantwortlich ist. Als das System in Betrieb genommen wird, muss er als Datenschutzbeauftragter eine Datenschutz-Folgenabschätzung durchführen, um sicherzustellen, dass das neue System den Anforderungen der DSGVO entspricht.
Hier entsteht ein Interessenskonflikt: Als Datenschutzbeauftragter müsste er die Einhaltung der Datenschutzrichtlinien überprüfen und gegebenenfalls Maßnahmen zur Korrektur einleiten. Gleichzeitig würde er seine eigene Arbeit und Entscheidungen als Leiter der IT-Abteilung kontrollieren. Dieser Konflikt könnte seine Objektivität und Unabhängigkeit gefährden, da er möglicherweise dazu neigt, Probleme herunterzuspielen oder zu ignorieren, um seine eigene Abteilung nicht in einem schlechten Licht darzustellen.
Um diesen Interessenskonflikt zu vermeiden, sollte die Schule den IT-Leiter von einer der beiden Aufgaben entbinden. Eine Möglichkeit wäre, einen externen Datenschutzbeauftragten zu ernennen. Alternativ könnte die IT-Leitung an eine andere Person übertragen werden, um die Unabhängigkeit des Datenschutzbeauftragten sicherzustellen.
Typische Aufgaben eines Datenschutzbeauftragten für eine Schule sind:
- Analyse des Ist-Zustandes der Einhaltung datenschutzrechtlicher Verpflichtungen
- Schulung der Geschäftsführung, der Mitarbeiter der Schulverwaltung und der Buchhaltung zu den relevanten Themen des europäischen und nationalen Datenschutzrechts.
- Schulung der Lehrer und pädagogischen Beschäftigten zum Thema Datenschutz & DSGVO
- Unterstützung bei der Einführung eines Datenschutzmanagement-Systems.
- Fortlaufende Kommunikation mit der Schule
Welche Art von Daten werden vom Datenschutzbeauftragten überwacht?
- Schüler- und Studierendendaten:
- Identifikationsdaten: Name, Geburtsdatum, Adresse, Telefonnummer.
- Bildungsdaten: Noten, Leistungsbewertungen, Zeugnisse, Prüfungsresultate.
- Einschreibedaten: Anmeldedaten, Einschreibedaten, Studienrichtung, Wahlfächer.
- Eltern- und Erziehungsberechtigterdaten:
- Identifikationsdaten: Name, Adresse, Telefonnummer, E-Mail-Adresse.
- Kontaktinformationen: Notfallkontakte, Informationen zur Erreichbarkeit.
- Beschäftigten- und Lehrerdaten:
- Identifikationsdaten: Name, Adresse, Geburtsdatum, Telefonnummer.
- Berufliche Daten: Arbeitsverhältnis, Stellenbezeichnung, Arbeitszeiten, Gehaltsinformationen.
- Qualifikationen: Abschlüsse, Zertifikate, berufliche Fortbildungen.
- Gesundheitsdaten:
- Medizinische Notfälle: Allergien, chronische Erkrankungen, besondere medizinische Bedürfnisse.
- Immunisierungsdaten: Impfungen, Gesundheitsbescheinigungen (bei Bedarf).
- Verhaltensdaten:
- Teilnahme an Aktivitäten: Daten zu Extracurricularen Aktivitäten, Ausflügen, Clubmitgliedschaften.
- Disziplinarmaßnahmen: Vermerke zu Verstößen gegen die Regeln, Disziplinarmaßnahmen.
- Kommunikationsdaten:
- E-Mail-Korrespondenz: E-Mails zwischen der Bildungseinrichtung und den Schülern, Eltern oder Mitarbeitern.
- Lernplattformen: Nachrichten und Interaktionen auf E-Learning-Plattformen.
- Vertragsdaten:
- Verträge und Vereinbarungen: Einschreibeverträge, Mietverträge für Wohnheime, Studienverträge.
- Zugriffs- und Anmeldeprotokolle:
- Nutzung von IT-Ressourcen: Anmeldezeiten, Zugriffsprotokolle auf Netzwerke und Lernplattformen.
Sicher beraten!
Kontaktieren Sie uns und nutzen Sie das PRODATIS Datenschutz Know-how verschiedener Branchen
+ 49 (0)351 266 23 30