Auftragsdatenverarbeitung

Betreiben Schulen ihre Kooperationsplattformen nicht auf eigener Hardware in den eigenen Räumen, sondern nutzen Angebote kommerzieller oder auch nicht kommerzieller Anbieter, liegt in der Mehrzahl der Fälle ein Fall von Auftragsdatenverarbeitung vor.

In § 6 des NDSG sind die Regelungen für die Verarbeitung von Daten im Auftrag festgelegt:

(1) 1 Werden personenbezogene Daten im Auftrag öffentlicher Stellen verarbeitet, so bleiben diese für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2 Die im Dritten Abschnitt genannten Rechte sind ihnen gegenüber geltend zu machen.

(2) 1 Die Auftragnehmer dürfen personenbezogene Daten nur im Rahmen der Weisungen der Auftraggeber verarbeiten. 2 Auftraggeber haben sich über die Beachtung der Maßnahmen nach § 7 und der erteilten Weisungen zu vergewissern.

(3) 1 Auftragnehmer müssen Gewähr für die Einhaltung der technischen und organisatorischen Maßnahmen nach § 7 bieten. 2 Aufträge, Weisungen zu technischen und organisatorischen Maßnahmen und die Zulassung von Unterauftragsverhältnissen sind schriftlich festzuhalten.

(4) 1 Sofern die Vorschriften dieses Gesetzes auf Auftragnehmer keine Anwendung finden, hat die Daten verarbeitende Stelle den Auftragnehmer zu verpflichten, jederzeit vom Auftraggeber veranlasste Kontrollen zu ermöglichen. 2 Wird der Auftrag außerhalb des Geltungsbereichs dieses Gesetzes durchgeführt, so unterrichtet der Auftraggeber die zuständige Datenschutzkontrollbehörde.1

Weitere Informationen hierzu finden Sie in den „Hilfen zur Einführung einer Kooperationsplattform in der Schule“ (Kapitel 3.6.1.4 „Pädagogische Prozessdaten“, 3.7 „Notwendige Prüfungen vor Inbetriebnahme“ und 3.9.7.2 „Zugriff auf die Daten durch schulexterne Stellen“).

Es kann erwartet werden, dass die Anbieter von Kooperationsplattformen den Schulen Verträge zur Auftragsdatenverarbeitung vorlegen, die den Vorgaben des NDSG genügen.
Abweichungen der tatsächlichen Gegebenheiten von den Unterlagen sind schriftlich festzuhalten. Lassen Sie sich gegebenenfalls vom Anbieter schriftlich bestätigen, dass auch trotz der festgestellten Abweichungen die Bestimmungen des NDSG eingehalten werden.
Letztendlich ist nicht der Anbieter sondern die Schule für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.