Startseite Impressum / Kontakt Datenschutz (Disclaimer) Haftungsausschluss
Auto & Verkehr Bildung, Karriere & Schulungen Elektro & Elektronik Essen & Trinken Familie, Kinder & Zuhause Freizeit, Buntes & Vermischtes Garten, Bauen & Wohnen Handel & Dienstleistungen Immobilien Internet & Ecommerce IT, NewMedia & Software Kunst & Kultur Logistik & Transport Maschinenbau Medien & Kommunikation Medizin, Gesundheit & Wellness Mode, Trends & Lifestyle PC, Information & Telekommunikation Politik, Recht & Gesellschaft Sport & Events Tourismus & Reisen Umwelt & Energie Unternehmen, Wirtschaft & Finanzen Vereine & Verbände Werbung, Marketing & Marktforschung Wissenschaft, Forschung & Technik
  Pressemitteilungen heute: 3
  Pressemitteilungen gesamt: 302.780
  Pressemitteilungen gelesen: 39.169.093x
07.06.2018 | Bildung, Karriere & Schulungen | geschrieben von Frau Sabine Faltmann¹ | Pressemitteilung löschen

DSGVO für Schulen, Teil 5: Die Auftragsdatenverarbeitung (AV/ADV)

Schulen müssen mit Dienstleistern einen Vertrag zur Auftrags(daten)verarbeitung schließen, falls diese Zugriff auf personenbezogene Daten haben. Die Schule bleibt verantwortlich für die Einhaltung des Datenschutzes. Anhaltspunkt für ein angemessenes Schutz-Niveau eines Dienstleisters kann ein Zertifikat oder der Nachweis technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit sein.



-----



Der weisungsgebundene Einsatz externer Dienstleister zur Verarbeitung personenbezogener Daten ist in Artikel 28 der DSGVO geregelt. Wenn eine Schule etwa eine Cloud-Plattform wie Office 365 von Microsoft nutzt, überträgt sie Daten an den Dienstleister. Diese Übermittlung von Daten muss datenschutzrechtlich abgesichert sein. Das kann über eine Einwilligung der betroffenen Personen erfolgen (Prinzip der Freiwilligkeit) oder eine gesetzliche Erlaubnisform sein. In jedem Fall muss ein Vertrag zur "Auftragsdatenverarbeitung" (ADV) oder neuer: "Auftragsverarbeitung" (AV) mit dem Dienstleister abgeschlossen werden.



Wenn der Zugriff auf personenbezogene Daten möglich ist, muss die Schule den Service als Auftragsverarbeitung behandeln. Das betrifft Software-as-a-Service-Angebote wie das elektronische Klassenbuch und Cloud-Dienste, aber auch die IT-Wartung des Support-Teams über den Remote-Zugriff.



Die Verantwortung für den Datenschutz liegt beim Schulleiter



Der Schulleiter ist dafür verantwortlich, sicherzustellen, dass beim Dienstleister das Schutz-Niveau bei der Verarbeitung personenbezogener Daten genauso hoch ist wie in der Schule. Dazu schließt die Schule mit dem Dienstleister einen Vertrag, den AV-Vertrag. Anbieter wie Microsoft und IT-Dienstleister bieten ihren Kunden vorbereitete AV-Verträge an.



Schul-IT-Berater empfehlen, sich mit dem Artikel 28 der DSGVO intensiv auseinanderzusetzen. Denn der Artikel besagt, dass der Auftraggeber in der Haftung bleibt, also muss er sich seine Dienstleister sorgsam auswählen. Ein Anhaltspunkt kann dabei ein Zertifikat wie ISO 27001 sein: Zertifizierte Dienstleister bieten ein erhöhtes Schutz-Niveau, weil sie bereits alle Arbeitsabläufe dokumentiert haben oder überprüft worden sind.



Stehen die Server im Geltungsbereich der EU DSGVO?



Ein weiterer Anhaltspunkt ist der Nachweis geeigneter technischer und organisatorischer Maßnahmen (TOM) zur Datensicherheit. Außerdem sollte man darauf achten, ob die Server zur Datenverarbeitung in Europa (Geltungsbereich der EU-DSGVO) oder in einem Drittland stehen, zum Beispiel in den USA. Der Dienstleister muss alle Unternehmen benennen, die ebenfalls auf die Daten im Rechenzentrum zugreifen können. Die Sub-Unternehmen sollen das gleiche Sicherheitsniveau bieten wie der Hauptauftragnehmer.



"Streng genommen muss der Datenschutz-Verantwortliche die Dienstleister regelmäßig auf ihre datenschutzrechtliche Seriosität hin überprüfen", erklärt Volker Jürgens, Geschäftsführer von AixConcept. "Das ist natürlich schwierig, wenn der Dienstleister gar nicht in Deutschland oder sogar außerhalb von Europa residiert." Große Anbieter informieren ihre Kunden von sich aus regelmäßig und stellen ihnen die erforderlichen Dokumente zur Verfügung.



Exkurs: Viele Schulen können das geforderte Schutz-Niveau, das seriöse Anbieter bieten, selbst gar nicht gewährleisten, weil es an finanziellen Mitteln oder räumlichen Gegebenheiten fehlt: Sie können weder geeignete technische und organisatorische Maßnahmen ergreifen noch die entsprechenden Schulungen des Personals durchführen.







WEITERFÜHRENDE LINKS



++ DSGVO für Bildungseinrichtungen: Info-Veranstaltungen im Juni in NRW



++ Leitfaden "Die DSGVO im Bildungssektor" zum kostenfreien Download



++ Bildungsportal des Landes NRW: "Umsetzung der EU-Datenschutz-Grundverordnung": https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/index.html


Diese Pressemitteilung wurde über Connektar publiziert.

¹ Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich.
AixConcept
Herr Volker Jürgens
Pascalstraße 71
52076 Aachen
Deutschland

fon ..: +49.2408.709930
web ..: http://www.aixconcept.de
email : vjuergens@aixconcept.de

Pressekontakt
faltmann PR - Öffentlichkeitsarbeit für IT-Unternehmen
Frau Sabine Faltmann
Marshallstraße 23
52066 Aachen

fon ..: +49.241.5707 3570
web ..: https://www.faltmann-pr.de
email : aixconcept@faltmann-pr.de

Weitere Meldungen in der Kategorie "Bildung, Karriere & Schulungen"

| © devAS.de