Verzeichnis von Verarbeitungstätigkeiten (VVT)
Ziel
Das VVT unterstützt die Schulleitung einerseits dabei den Überblick über die in der Schule verwendeten IT-Verfahren zu behalten. Andererseits kommt die Schulleitung als Verantwortliche durch das Anlegen und die Pflege des VVT ihrer gesetzlichen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nach.
Das schulische VVT
Die Inhalte eines allgemeinen VVT werden in Art. 30 DSGVO geregelt. Für die Schulen wurde durch das MBWK ein Muster-VVT erarbeitet, welches bereits die primär in Schule anfallenden Verarbeitungstätigkeiten beinhaltet. Die Schulleitung muss hier nur das Vorblatt mit den Schuldaten komplettieren und innerhalb der Verarbeitungstätigkeiten ggf. Fachverantwortliche benennen. Außerdem muss geprüft werden, ob die vorhandenen Einträge auf mögliche schulspezifische Gegebenheiten anzupassen sind. Nur für nicht im Muster-VVT erfasste Verarbeitungstätigkeiten muss die Schule auf Basis der Mustervorlage eigene Einträge im VVT ergänzen. Die Muster-Dokumente sind am Ende des Artikels zum VVT im Schuldatenschutz FAQ des Landes verlinkt. Des Weiteren können auch die VVT-Einträge aus den Dokumentenpaketen für SchulCommSy, itslearning und die Online Pinnwand SH als Vorlagen für das Erstellen weiterer Einträge in das schuleigene VVT verwendet werden.
Ein wichtiges Element bei jedem VVT-Eintrag ist die Rechtsgrundlage, denn die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es gibt eine Rechtsgrundlage. Die allgemeinen Rechtsgrundlagen stehen in Artikel 6 Abs. 1 DSGVO. Für Schule sind lediglich die Rechtsgrundlagen aus Art. 6 Abs. 1 a), c) und e) DSGVO anwendbar, da die letzte Rechtsgrundlage (f - berechtigtes Interesse) nicht für Behörden (Schulen) gilt. Die meisten Verarbeitungen personenbezogener Daten im Schulkontext lassen sich mit Hilfe von Art. 6 Abs. 1 c) DSGVO begründen: "die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt". Für diese Rechtsgrundlage muss immer eine Norm im jeweiligen nationalen Recht existieren, damit sie angewendet werden kann. Im Schulkontext sind diese Normen in der Regel die Schuldatenschutzverordnung (SchulDSVO), das Schulgesetz (SchulG) und das Landesdatenschutzgesetz (LDSG).
Verarbeitungen, die sich nicht (vollständig) auf eine der Rechtsgrundlagen Art. 6 Abs. 1 c) und e) DSGVO stützen lassen, können ggf. durch eine Einwilligung legitimiert werden. Dazu ist der folgende Absatz unbedingt zu beachten.
Exkurs Einwilligung
Aufgrund des Machtgefälles zwischen Schule (Behörde) und Schülerinnen/Schülern (Schulpflicht, sozialer Druck) bzw. Eltern ist es schwierig eine gültige Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO für einen digitalen Dienst zu erhalten. Denn Einwilligungen sind nur rechtmäßig, wenn sie freiwillig erfolgen. Erwägungsgrund 43 DSGVO besagt, dass die Freiwilligkeit in Frage zu stellen ist, wenn es ein klares Ungleichgewicht (o.g. Machtgefälle) zwischen dem Verantwortlichen und Betroffenen besteht, "insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt". Daher sollten Datenverarbeitungen möglichst auf andere Rechtsgrundlagen als die Einwilligung gestützt werden. Außerdem ist zu bedenken, dass freiwillige Einwilligungen jederzeit widerrufen werden können und Schülerinnen/Schülern durch das Nichterteilen einer Einwilligung keine Nachteile entstehen dürfen (z.B. Einwilligung für die Teilnahme an Videokonferenzen aus dem häuslichen Umfeld in Einzelfällen, d.h. außer in Fällen des § 4a SchulG und "Hybrides Klassenzimmer").
Werden auf informationstechnischen Geräten, die pädagogisch-didaktischen Zwecken dienen, insbesondere webbasierte Verfahren rechtmäßig zu pädagogisch-didaktischen Zwecken im Unterricht eingesetzt, ist für eine Verarbeitung personenbezogener Daten von Schülerinnen und Schülern gemäß § 30 Abs. 1 SchulG und § 11 Abs. 4 SchulDSVO eine vorherige Einwilligung nicht erforderlich. § 12 SchulDSVO (Auftragsverarbeitung) ist unabhängig davon zu beachten.
[Letzte inhaltliche Änderung am 23.03.2022]