DSGVO für Schu­len – wie sicher sind Schü­ler­da­ten?

Seit Mai 2018 ist die Euro­päi­sche Daten­schutz­grund­ver­ord­nung (EU-DSGVO) auch in Deutsch­land umge­setzt. Die DSGVO regelt die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten sowie die Pflich­ten der Ver­ar­bei­ter und Rech­te der Betrof­fe­nen. Die DSGVO hat nicht nur Unter­neh­men vor Her­aus­for­de­run­gen gestellt, son­dern auch Behör­den. Und da natür­lich auch Schu­len, denn gemäß Arti­kel 6, Ziff. 1 c) der DSGVO ver­ar­bei­ten Schu­len per­so­nen­be­zo­ge­ne Daten zur Erfül­lung einer recht­li­chen Ver­pflich­tung. Die Aus­wir­kun­gen der DSGVO für Schu­len sind daher erheb­lich.

DSGVO für Schu­len – wie sicher sind Schü­ler­da­ten?

Die DSGVO – eine gro­ße Her­aus­for­de­rung für Schu­len

Die DSGVO stell­te schon Unter­neh­men, vor allem KMU, vor gro­ße Her­aus­for­de­run­gen. Schon allein des­halb, weil sie Rah­men­be­din­gun­gen fest­leg­te und erheb­li­chen Inter­pre­ta­ti­ons­spiel­raum ließ. Zwar gab es recht­li­che Vor­ga­ben zur Infor­ma­ti­ons­pflicht auf der Web­site eines Unter­neh­mens oder der Schu­le. Aber es gab teil­wei­se Wider­sprü­che zum Tele­me­di­en­ge­setz, das im Bereich der elek­tro­ni­schen Kom­mu­ni­ka­ti­on gilt. Die­se Lücke soll jedoch nun mit der ePri­va­cy-Ver­ord­nung geschlos­sen wer­den. Für Schu­len bedeu­te­te dies, dass sie geschul­tes Per­so­nal abstel­len muss­ten, das sich inten­siv mit der Mate­rie aus­ein­an­der­setzt. Schon des­halb, weil der Schul­lei­ter für Daten­schutz­ver­stö­ße haf­tet.

Die DSGVO und Schu­len – Sta­tus

Im Prin­zip änder­te sich mit der DSGVO nicht viel, was die IT-Sicher­heit betraf. Sen­si­ble Daten muss­ten immer schon sorg­fäl­tig gesi­chert wer­den. Die DSVGO ver­pflich­tet jedoch alle, die Umset­zung der Daten­schutz­re­geln zu doku­men­tie­ren und nach­zu­wei­sen, dass sie selbst die Richt­li­ni­en ein­hal­ten und auch Sub­un­ter­neh­mer zur Ein­hal­tung ver­pflich­ten. Wie vie­le Unter­neh­men, haben auch die Schu­len nur einen Teil der Anfor­de­run­gen erfüllt und müs­sen auf­ar­bei­ten. Dazu gehört auch die soge­nann­te GAP-Ana­ly­se, die Lücken in der Daten­si­cher­heit auf­zeigt – und das ist mit knap­pen Per­so­nal­res­sour­cen zu bewerk­stel­li­gen. Zwar bie­ten die zustän­di­gen Lan­des­be­hör­den Mus­ter­vor­la­gen an, aber die Arbeit bleibt an der Schu­le hän­gen. Und auch die Unsi­cher­heit und Hilf­lo­sig­keit des Schul­per­so­nals kön­nen Mus­ter­vor­la­gen nicht neh­men.

DSGVO – wor­auf müs­sen Schu­len ach­ten?

Nach der Umset­zung der DSGVO zeig­te sich schon, dass nicht alles so heiß geges­sen wird, wie es gekocht wur­de. Nach der ers­ten Panik und Unsi­cher­heit, in der jeder sich dop­pelt und drei­fach absi­chern woll­te, ist eine gewis­se Nor­ma­li­tät ein­ge­kehrt. Vie­les ist theo­re­tisch mög­lich, aber prak­tisch nicht sinn­voll. Unstrit­tig ist, dass per­so­nen­be­zo­ge­ne Daten geschützt und deren Miss­brauch ver­hin­dert wer­den muss. Alle dafür not­wen­di­gen Maß­nah­men müs­sen ergrif­fen wer­den. Aber auch eine Schu­le soll­te sich nicht von der DSGVO gei­ßeln las­sen. Bleibt zu hof­fen, dass die Lan­des­be­hör­de ein­heit­li­che Vor­ga­ben an die Schu­len wei­ter­gibt, wie die Umset­zung der DSGVO zu hand­ha­ben ist und die Schu­len nicht allei­ne lässt. Die Sicher­heit der gespei­cher­ten per­so­nen­be­zo­ge­nen Daten ist sicher­lich nicht das gro­ße Pro­blem, son­dern eher die Unsi­cher­heit bei der Nut­zung der Daten.