DSGVO für Schulen – wie sicher sind Schülerdaten?

Seit Mai 2018 ist die Europäische Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland umgesetzt. Die DSGVO regelt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die Pflichten der Verarbeiter und Rechte der Betroffenen. Die DSGVO hat nicht nur Unternehmen vor Herausforderungen gestellt, sondern auch Behörden. Und da natürlich auch Schulen, denn gemäß Artikel 6, Ziff. 1 c) der DSGVO verarbeiten Schulen personenbezogene Daten zur Erfüllung einer rechtlichen Verpflichtung. Die Auswirkungen der DSGVO für Schulen sind daher erheblich.

DSGVO für Schulen – wie sicher sind Schülerdaten?

Die DSGVO – eine große Herausforderung für Schulen

Die DSGVO stellte schon Unternehmen, vor allem KMU, vor große Herausforderungen. Schon allein deshalb, weil sie Rahmenbedingungen festlegte und erheblichen Interpretationsspielraum ließ. Zwar gab es rechtliche Vorgaben zur Informationspflicht auf der Website eines Unternehmens oder der Schule. Aber es gab teilweise Widersprüche zum Telemediengesetz, das im Bereich der elektronischen Kommunikation gilt. Diese Lücke soll jedoch nun mit der ePrivacy-Verordnung geschlossen werden. Für Schulen bedeutete dies, dass sie geschultes Personal abstellen mussten, das sich intensiv mit der Materie auseinandersetzt. Schon deshalb, weil der Schulleiter für Datenschutzverstöße haftet.

Die DSGVO und Schulen – Status

Im Prinzip änderte sich mit der DSGVO nicht viel, was die IT-Sicherheit betraf. Sensible Daten mussten immer schon sorgfältig gesichert werden. Die DSVGO verpflichtet jedoch alle, die Umsetzung der Datenschutzregeln zu dokumentieren und nachzuweisen, dass sie selbst die Richtlinien einhalten und auch Subunternehmer zur Einhaltung verpflichten. Wie viele Unternehmen, haben auch die Schulen nur einen Teil der Anforderungen erfüllt und müssen aufarbeiten. Dazu gehört auch die sogenannte GAP-Analyse, die Lücken in der Datensicherheit aufzeigt – und das ist mit knappen Personalressourcen zu bewerkstelligen. Zwar bieten die zuständigen Landesbehörden Mustervorlagen an, aber die Arbeit bleibt an der Schule hängen. Und auch die Unsicherheit und Hilflosigkeit des Schulpersonals können Mustervorlagen nicht nehmen.

DSGVO – worauf müssen Schulen achten?

Nach der Umsetzung der DSGVO zeigte sich schon, dass nicht alles so heiß gegessen wird, wie es gekocht wurde. Nach der ersten Panik und Unsicherheit, in der jeder sich doppelt und dreifach absichern wollte, ist eine gewisse Normalität eingekehrt. Vieles ist theoretisch möglich, aber praktisch nicht sinnvoll. Unstrittig ist, dass personenbezogene Daten geschützt und deren Missbrauch verhindert werden muss. Alle dafür notwendigen Maßnahmen müssen ergriffen werden. Aber auch eine Schule sollte sich nicht von der DSGVO geißeln lassen. Bleibt zu hoffen, dass die Landesbehörde einheitliche Vorgaben an die Schulen weitergibt, wie die Umsetzung der DSGVO zu handhaben ist und die Schulen nicht alleine lässt. Die Sicherheit der gespeicherten personenbezogenen Daten ist sicherlich nicht das große Problem, sondern eher die Unsicherheit bei der Nutzung der Daten.