AVV, Technik des Verfahrens und TOM

Ziele

Sicherstellung, dass die Daten der Betroffenen (Schülerinnen, Schüler, Eltern, Lehrkräfte) nur zu den vertraglich festgelegten Zwecken verwendet werden. Herstellung von Transparenz und Nachvollziehbarkeit bzgl. des Verfahrens und Gewährleistung der Datensicherheit.

Auftragsverarbeitungsvertrag (AVV)

Der Abschluss eines AVVs ist immer dann notwendig, wenn Schule personenbezogene Daten der betroffenen Personen im Auftrag durch andere Stellen (Externe) verarbeiten lässt. Externe sind alle Organisationen, die nicht Teil der Schule sind. Hierzu gehört neben klassischen Dienstleistern z.B. auch der Schulträger. Damit die Schulleitung den AVV für den Schulträger nicht vollständig selbst erstellen muss, wird ein Muster-AVV zum Download [DOCX] zur Verfügung gestellt, der entsprechend an die konkrete Situation angepasst werden kann. Der Anhang (TOM und Unterauftragnehmer) muss vom jeweiligen Schulträger erstellt werden.

Welche Aspekte muss der AVV gemäß Artikel 28 DSGVO und § 12 SchulDSVO regeln?

Das MBWFK hat zwei Hilfsdokumente verfasst, um die Prüfung bzw. das Anpassen vorhandener Anbieter-AVVs durch Schule zu unterstützen. Diese sind am Ende des Schuldatenschutz-FAQ-Eintrags "Was ist beim Einsatz von Lernprogrammen, Apps, und Onlinediensten zu beachten, wenn bei der Nutzung personenbezogene Daten verarbeitet werden?" verlinkt. Die Checkliste_Auftragsverarbeitung_I [DOCX] beschreibt, welche Kriterien der Auftragsverarbeiter an sich erfüllen muss und welche Inhalte der abzuschließende AVV haben muss. Die Checkliste_Auftragsverarbeitung_II [DOCX] listet alle Dokumente mit ihren jeweiligen Kerninhalten auf, welche im Falle einer Auftragsverarbeitung vorhanden sein müssen. Hierzu gehören neben dem AVV u.a. auch eine Beschreibung des Verfahrens durch die Auftragnehmerin/den Auftragnehmer und ggf. durch die Schule erstellte Handbücher.

Technik des Verfahrens, technisch-organisatorische Maßnahmen (TOM)

Eine Entscheidung darüber, ob ein Verfahren rechtskonform eingesetzt werden kann, ist nur möglich, wenn die Technik des Verfahrens in ausreichender Detailtiefe bekannt ist. Hierfür müssen die Anbietenden entweder die erfassten Datenarten und eingesetzten Techniken auf ihrer Webseite erläutern oder diese Informationen auf Nachfrage zur Verfügung stellen. Die Schule ist ohne Unterstützung der Anbietenden (dies kann auch der Schulträger sein) nicht in der Lage, die Technik des Verfahrens ausreichend detailliert zu beschreiben. Dasselbe gilt für die Erläuterung der technischen und organisatorischen Maßnahmen gemäß Artikel 25 (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und Artikel 32 (Sicherheit der Verarbeitung) DSGVO. Auch hier ist die Schule auf die Angaben der Anbietenden oder des Schulträgers angewiesen.

Auszug aus Art. 32 DSGVO:

„[…] diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Beispiele zu

b) Transportverschlüsselung (https), Prüfsummenvergleiche, redundante/skalierbare Infrastruktur
c) regelmäßige (automatisierte) Backups und Wiederherstellungstests, Off-Site-Backups
d) Test- und Freigabeverfahren nach § 7 LDSG

Eigenständig durch die Schule umsetzbare Maßnahmen werden insbesondere in den Dateianhängen des Schuldatenschutz-FAQ-Eintrags "Welche Sicherheitsmaßnahmen zur Gewährleistung von Datenschutz und Datensicherheit kann Schule ergreifen?" beschrieben.