Dokumentation
Es ist sinnvoll, jeden der beschriebenen Prozessschritte zumindest stichwortartig zu dokumentieren, um die Entscheidung für oder gegen einen Dienst später nachvollziehen und kommunizieren zu können. Zudem helfen einige Informationen aus den früheren Schritten auch bei der späteren datenschutzrechtlichen Dokumentation. So kann z.B. die Beschreibung des Nutzungsszenarios für die Nutzungsordnung und Dienstanweisung wiederverwendet werden und der vorab geprüfte Auftragsverarbeitungsvertrag (AVV) kann bei positivem Prüfergebnis direkt ausgefüllt, an den Anbieter übermittelt und zu den Verfahrensakten genommen werden.
Die im Folgenden gelisteten Dokumente sind für jeden genutzten digitalen Dienst, der mit automatisierter Datenverarbeitung einhergeht, zu erstellen. Es kann sinnvoll sein, sich wiederholende Inhalte (z.B. Löschkonzept, Maßnahmen zur Wahrung der Betroffenenrechte) in einem zentralen Dokument niederzuschreiben, das von spezifischen Einzeldokumenten ergänzt wird. Wenn die Schule vor der Aufgabe steht, ein IT-Verfahren vollständig selbst zu dokumentieren, dienen die öffentlich zugänglichen Dokumentenpakete der Landes- und Einzellösungen als mögliche Orientierungshilfen. Hier gibt es neben Nutzungsordnung und Dienstanweisung i.d.R. auch Muster und/oder Vorlagen für die Datenschutzinformationen nach Art. 13 DSGVO und Einträge in das schulische Verzeichnis der Verarbeitungstätigkeiten. Manche Informationen können und müssen mehrfach verwendet werden. Beispielsweise gehören Angaben über Löschvorgaben/Löschfristen sowohl in die Dienstanweisung als auch in die Datenschutzinformation. Ggf. sind Querverweise möglich. So lässt sich z.B. beim Eintrag in das schulische Verzeichnis der Verarbeitungstätigkeiten auf die TOM verweisen, die entweder in einem eigenen Dokument stehen oder im Falle einer Auftragsverarbeitung im Anhang des AVV festgehalten sind.
Die datenschutzrechtliche Dokumentation umfasst die folgenden Elemente:
- Nutzungsordnung und Dienstanweisung
- Datenschutzhinweise und Maßnahmen zur Wahrung der Betroffenenrechte
- Auftragsverarbeitungsvertrag (AVV), Beschreibung der Technik des Verfahrens und technisch-organisatorische Maßnahmen (TOM)
- Eintrag des Verfahrens in das schulische Verzeichnis von Verarbeitungstätigkeiten
- Berechtigungskonzept
- Löschkonzept
- Test- und Freigabeverfahren
[Letzte inhaltliche Änderung am 23.03.2022]