Datenschutzrechtliche Prüfung - Teil 2 (Vollständige Prüfung)

Ziel:

Mit dem als vollständige Prüfung betitelten Schritt wird endgültig über den Einsatz des vorgeschlagenen digitalen Dienstes entschieden und die Dokumentation, die sich bei erfolgreicher Prüfung anschließt, vorbereitet.

Die Durchführung einer detaillierten datenschutzrechtlichen Prüfung ist nur sinnvoll, wenn die Vorprüfung zu einem positiven Ergebnis gelangt ist. Um die Rechtmäßigkeit der Verarbeitung der Daten abschließend zu beurteilen, werden die Datenschutzerklärung, der AVV und die TOM (technische und organisatorische Maßnahmen) des gewünschten Dienstes noch einmal genauer betrachtet. Bestandteil der vollständigen Prüfung ist zudem auch eine technische Prüfung und eine Analyse des Risikos für die Rechte und Freiheiten der betroffenen Personen (Schülerinnen, Schüler, Lehrkräfte, Eltern).

Datenschutzerklärung

Aus der Datenschutzerklärung muss einfach und transparent hervorgehen, welche personenbezogenen Daten zu welchen Zwecken erhoben werden. Diese Angaben gehören zu den Informationspflichten des Anbieters. Im günstigsten Fall werden ausschließlich Daten erhoben und verarbeitet, die für die Bereitstellung des Dienstes erforderlich sind. Häufig nutzen Dienste erhobene Daten (z.B. Klickverhalten des Nutzenden) für die Verbesserung oder die Erweiterung ihres Angebots. Dies kann durchaus legitim sein. Die Daten müssen in diesen Fällen zuvor anonymisiert werden und die Verwendungszwecke sind genau zu prüfen. Dienste, die Daten auch für bloß eigene Zwecke des Auftragnehmers (z.B. Werbung, Erstellung von Nutzerprofilen, Weitergabe/Verkauf an Dritte/Partner) verwenden, dürfen in Schule nicht zum Einsatz kommen. Fehlende Angaben sind ein Ausschlusskriterium.

Zulässige Daten für unterrichtliche Zwecke sind nur Name, Email-Adresse und Klassen- bzw. Lerngruppenzugehörigkeit (§ 11 Abs. 4 SchulDSVO). Die Verarbeitung von Schulverwaltungsdaten (bspw. Protokolle, Namenslisten, Kontaktdaten, Zensurenübersichten, Anwesenheitslisten) erfordert nach § 11 Abs. 2 SchulDSVO

ein gesondert bereitgestelltes und abgesichertes System. Werden bei der Nutzung des Dienstes besonders schützenswerte Informationen erfasst (z.B. Lernstände oder persönliche Texte der Lernenden), sind aufgrund des höheren Schutzbedarfes auch höhere Anforderungen an den Anbieter bzw. seine TOM (vgl. Risikoanalyse) zu stellen.

Neben den erhobenen Daten und Verarbeitungszwecken, muss der Anbieter eine verantwortliche Person und je nach Unternehmensgröße auch einen Datenschutzbeauftragten benennen. Fehlen diese Angaben, ist das ein Ausschlusskriterium.

Des Weiteren sollte aus der Datenschutzerklärung hervorgehen, ob datenschutzrechtlich fragwürdige Analysetools eingesetzt werden. Viele Analysetools übermitteln Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR). Diese Tools wie z.B. Universal-Analytics (Google Analytics) sollten möglichst nicht zum Einsatz kommen. Je nach Einsatzszenario ist dies allerdings nicht zwangsläufig ein Ausschlusskriterium (siehe hierzu bspw. unterschiedliche Bewertung bei Einsatzszenario 1 und 2 im Abschnitt Vorprüfung).

Auftragsverarbeitungsvertrag (AVV)

Die Verantwortung für die Daten der betroffenen Personen (Schülerinnen und Schüler, Eltern, Lehrkräfte, weitere Personen) verbleibt stets bei der datenverarbeitenden Stelle (Schule). Beauftragt die Schule einen Dritten, z.B. die Anbieterin einer Web-Anwendung, mit der Verarbeitung der Daten, dann muss die Schule als Auftraggeber mit der Anbieterin (Auftragnehmer) schriftlich festlegen, in welchem Umfang die Datenverarbeitung stattfinden soll, um sicherzustellen, dass die datenschutzrechtlichen Vorgaben eingehalten werden, die für den schulischen Einsatz gelten. Dazu dient der AVV. Die Weisungsbefugnis und Kontrolle über die Datenverarbeitung bleibt damit in der Hand der Schulleitung. Die rechtlichen Grundlagen zur Auftragsverarbeitung finden sich in Artikel 28 DSGVO und speziell für Schulen in § 12 SchulDSVO.

Handelt es sich bei dem zu prüfenden Dienst, um eine lokal installierbare Software, bei der keine (personenbezogenen) Daten das schuleigene oder private Gerät verlassen, muss kein AVV abgeschlossen werden. Lässt eine Schule hingegen Daten durch Dritte verarbeiten, d.h. werden bei der Nutzung personenbezogene Daten übertragen oder findet die Nutzung auf einem Server statt, ist ein AVV zwingend erforderlich. Vertrauenswürdige Anbieter stellen einen AVV über ihre Webseite oder auf Anfrage zur Unterzeichnung zur Verfügung. Die Schule muss prüfen, ob der angebotene AVV den rechtlichen Anforderungen entspricht. Mehr Details sowie ein Muster-AVV befinden sich auf der entsprechenden Unterseite zu den Prüfdokumenten.

Technisch-Organisatorische Maßnahmen (TOM)

Alle Datenverarbeiter (auch die Schule selbst) haben durch geeignete TOM dafür Sorge zu tragen, dass die Datensicherheit während der Verarbeitung gewährleistet ist. Durch welche Maßnahmen sie dies tun, ist schriftlich darzulegen.

Oft sind Angaben zu den TOM seitens des Anbieters als Betreiber des Verfahrens (Dienstes) nur auf Nachfrage erhältlich oder im Anhang des AVV gelistet. Hilfreich sind zudem ggf. vorhandene Zertifizierungen des Anbieters (bspw. ISO 27001, ISO 27017 und 27018, C5 für Infrastruktur). Werden auch auf Nachfrage keine Angaben gemacht, ist das negativ zu bewerten und möglicherweise ein Ausschlusskriterium.

In Schule sind beispielsweise das Einsetzen eines zweiten Faktors, die Inkraftsetzung einer Nutzungsordnung und Dienstanweisung sowie eines strikten Rechte-Rollen-Konzept als mögliche TOM zu nennen.

Technische Prüfung

Theoretisch sollten alle Datenflüsse eines Dienstes durch die Datenschutzerklärung bzw. den AVV transparent sein. In der Praxis ist dies leider nicht immer der Fall. Daher reicht es nicht, sich auf die Aussagen dieser Dokumenten zu verlassen. Die Schulleitung trägt die Verantwortung dafür, dass die Aussagen aus der Datenschutzerklärung zumindest stichprobenartig überprüft werden. Bei dieser technischen Prüfung muss zwischen Web-Anwendungen und lokal installierbarer Software unterschieden werden.

Web-Anwendungen

Die Überprüfung der Aussagen bzgl. der Verwendung von Trackern und Analysetools in Web-Anwendungen lässt sich mit Hilfe verschiedener Browser-Add-Ons wie z.B. Ghostery durchführen. Hierfür muss ein Browser mit dem installierten und aktivierten Add-On im privaten Modus geöffnet werden. Als Startseite ist eine leere Seite konfiguriert. Dann wird der Link zum zu testenden Online-Dienst in die Adresszeile des Browsers kopiert, um die Seite direkt aufzurufen. Das Add-On zeichnet nun die Hintergrundverbindungen der Seite auf und zeigt die Anzahl der gefunden Tracker über dem Button des Add-Ons an. Beim Klick auf den Button werden mehr Informationen zu den Hintergrundverbindungen eingeblendet. In der ausführlichen Ansicht werden die Tracker nach Kategorie sortiert namentlich gelistet. Durch das Klicken einzelner Namen werden weitere Informationen angezeigt.

Ein weiteres Angebot zur Überprüfung von Web-Anwendungen ist Webbkoll. Hierbei handelt es sich selbst um eine Web-Anwendung, die den Besuch eines „typischen Nutzers“ auf der zu prüfenden Webseite simuliert. Außerdem sind in den Webbkoll FAQ viele datenschutzrelevante Begriffe erläutert.

Installierbare Software

Die technische Prüfung lokal installierter Software ist etwas aufwendiger. Hier muss einerseits geprüft werden, ob unerwünschte Datenübertragungen stattfinden. Andererseits muss geprüft werden, ob lokal gespeicherte Daten durch andere Personen mit Zugriff auf das Gerät einsehbar sind (Beispiel: Tablet-Koffer). Für eher oberflächliche Schnelltests lässt sich unter iOS der App-Datenschutzbericht aktivieren. Dieser ist unter "Einstellungen" -> "Datenschutz" -> "App-Datenschutzbericht" zu finden. Ist dieser aktiviert, werden alle Datenverbindungen aktuell aktiver Apps angezeigt. Allerdings ist aus dieser Auflistung nicht ersichtlich, welche Daten konkret übertragen werden, nur wohin eine Verbindung existiert.

Realistisch betrachtet ist eine ausführliche technische Prüfung durch die Schule nicht leistbar. Es gibt jedoch z.b. die öffentliche geförderte Appcheck-Plattform von Mobilsicher welche eine Vielzahl von Apps eines Schnelltests bzgl. Werbung, In-App-Käufen und Trackern unterzogen hat. Für technisch versierte Personen, liefert der Kuketz-Blog Kurzanleitungen für die Analyse des Datenverkehrs von Android und iOS Apps.

Risikoanalyse

Vor der Einführung eines neuen Verfahrens, welches mit der Verarbeitung personenbezogener Daten einhergeht, muss die verantwortliche Stelle (Schule; in Person der Schulleitung im Sinne des § 2 SchulDSVO) eine Risikoanalyse aus Sicht der betroffenen Personen (Schülerinnen, Schüler, Eltern, Lehrkräfte) vornehmen. Bei der Analyse wird einerseits die Eintrittswahrscheinlichkeit eines Ereignisses sowie dessen Schwere bewertet.

Bei der Bewertung der Schwere des Risikos sind folgende Einflussfaktoren zu beachten

  • Gesundheitliche Auswirkungen: Das sind z.B. leichte und zeitlich begrenzte physische oder psychische Belastungen bis hin zu dauerhaften oder schweren physischen oder psychischen Einschränkungen und Schäden, Depressionen aufgrund der Preisgabe von Daten aus der Intimsphäre des Betroffenen.
  • Finanzielle Auswirkungen: Das sind z.B. geringe materielle Schäden bis hin zum Missbrauch von Geldern, irreversible Schäden auf Basis von Identitätsdiebstahl/-betrug.
  • Soziale Auswirkungen: Das sind z.B. Ausgrenzung, Diskriminierung, (Cyber-)Mobbing.
  • Auswirkungen auf informationelles Selbstbestimmungsrecht: Das sind z.B. Belästigung durch Verwendung von Daten zu (unzulässigen) Werbezwecken, unzulässige Profilbildung, Verlust der Kontrolle über eigene Daten.

Die Wahrscheinlichkeit für den Eintritt eines Schadens ergibt sich wiederum aus

  • dem Interesse Unbefugter, Daten zu missbrauchen (löschen, manipulieren, unbefugt nutzen),
  • dem Aufwand, der notwendig ist, um einen Schaden herbeizuführen,
  • der Höhe des Risikos für einen Verursacher, dass ein Missbrauch entdeckt bzw. aufgedeckt werden kann, und
  • der Verarbeitungshäufigkeit (Häufigkeit der Vorgänge, bei denen ein Missbrauch oder eine sonstige Beeinträchtigung möglich ist).

Die hier gelisteten Bewertungskriterien für die Schwere und Eintrittswahrscheinlichkeit eines Ereignisses wurden der Anleitung Risikobeurteilung nach DSGVO in der Praxis entnommen.

Abwägungshilfe für die Bewertung des Risikos für die Rechte und Freiheiten der betroffenen Personen im schulischen Kontext

  • Szenario: Aufgrund eines IT-Sicherheitsvorfalls beim Dienste-Anbieter sind alle von Schülerinnen und Schülern in der Anwendung verfassten Texte unverschlüsselt über das Internet einsehbar. Die Wahrscheinlichkeit, dass das passiert mag gering sein, je nach Inhalt der Texte kann dies allerdings schwere Folgen haben.
  • Die Verarbeitung von Gesundheitsdaten (z.B. diagnostizierte Lese-Rechtschreib-Schwäche) birgt ein höheres Risiko als die Verarbeitung des Vornamens.
  • Die Verarbeitung von Zeugniszensuren ist risikoreicher, als die Verarbeitung von Bewertungen eines einzelnen Arbeitsergebnisses. Und so weiter.

Ergibt die Risikoanalyse ein hohes Risiko, muss entweder eine Datenschutzfolgenabschätzung (DSFA, Art. 35 DSGVO) durchgeführt oder das Nutzungsszenario angepasst werden (z.B. pseudonymisierte Nutzung, Verschlüsselung lokal gespeicherter Daten, Verschlüsselung des Datenträgers). Realistisch betrachtet ist die Durchführung einer DSFA für Schulen sehr aufwendig und somit für einzelne Schulen kaum umsetzbar.

[Letzte inhaltliche Änderung am 23.03.2022]