Oftmals erfolgt die Durchführung der Datenverarbeitung an Schulen nicht durch die Schule selbst, sondern sie betraut damit andere Personen oder Stellen. Entschließt sich eine Schule dazu, muss sie verschiedene rechtliche, technische und organisatorische Voraussetzungen erfüllen. § 7 des Landesdatenschutzgesetzes (LDSG) regelt die sogenannte Auftragsdatenverarbeitung (ADV).
Beispiele für die Datenverarbeitung im Auftrag:
- Schulverwaltungsprogramme,
- Elektronische Lernplattformen (z.B. Moodle),
- Stunden- und Vertretungsplanprogramme.
Werden dem Auftragnehmer personenbezogene Daten zu diesem Zweck überlassen, findet datenschutzrechtlich keine Übermittlung statt, da der Auftragnehmer nicht Dritter ist. Die Schule als Auftraggeberin (also die Stelle, um deren Aufgabe es geht) bleibt weiterhin dafür verantwortlich, dass mit ihren personenbezogenen Daten rechtmäßig umgegangen wird.
Dies setzt voraus, dass
- der Auftraggeber, also die Schule, zwingend einen schriftlichen Auftrag erteilen muss (was genau schriftlich geregelt werden muss, legt § 7 Abs. 2 LDSG fest),
- der Auftragnehmer nur im Rahmen der Weisungen seines Auftraggebers tätig werden darf und
- der Auftraggeber die erforderlichen Maßnahmen zur Datensicherheit konkret vorgeben muss.
Die Schule muss den Auftragnehmer sorgfältig auswählen. Dabei ist besonders darauf zu achten, dass er die für eine datenschutzgerechte Datenverarbeitung erforderlichen technischen und organisatorischen Maßnahmen zu treffen in der Lage ist. Die Schule muss sich vor Beginn der Datenverarbeitung und sodann regelmäßig über die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen.
Da die datenschutzrechtliche Verantwortung weiterhin der Schule obliegt, bleibt sie gegenüber den Schülern und deren Erziehungsberechtigten, aber auch gegenüber den Lehrkräften, auskunftspflichtig über die über sie gespeicherten Daten. Auch ist die Schule verantwortlich für die Berichtigung personenbezogener Daten und deren Löschung.
Die Ausgestaltung des mit dem Auftragnehmer abzuschließenden Vertrages gestaltete sich für die Schulen in der Vergangenheit oftmals schwierig. Das Kultusministerium Baden-Württemberg hat deshalb einen Mustervertrag für eine Datenverarbeitung im Auftrag für die Schulen entwickelt. Dieser ist entsprechend der jeweiligen ADV anzupassen und zu ergänzen.
Unabhängig davon bleibt die Pflicht der Schule, ein Verfahrensverzeichnis zu führen und das per Auftragsdatenverarbeitung genutzte Verfahren darin zu dokumentieren, be-stehen.
Auch Wartungsarbeiten und vergleichbare Hilfstätigkeiten, die durch Stellen oder Personen außerhalb der Schule durchgeführt werden, gelten nach § 7 Absatz 5 LDSG als Datenverarbeitung im Auftrag. Wird z.B. der Verwaltungsserver der Schule durch eine externe Firma oder einen Mitarbeiter des Schulträgers gewartet, sind die Vorschriften zur Auftragsdatenverarbeitung gemäß § 7 Abs. 1 bis 4 LDSG zu beachten.
Weitere allgemeine Informationen zur Datenverarbeitung im Auftrag finden Sie hier.