Vorabkontrolle

Gem. § 7 NDSG darf ein automatisiertes Verfahren „nur eingesetzt oder wesentlich geändert werden, soweit die Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können, durch Maßnahmen nach Abs. 1 wirksam beherrscht werden können.1

Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind,

  1. Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Zugangskontrolle),
  2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
  3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),
  4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
  5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
  6. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit an wen übermittelt worden sind (Übermittlungskontrolle),
  7. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
  8. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  9. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Auftraggeber verarbeitet werden können (Auftragskontrolle),
  10. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
  11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).2

Die (…) zu treffenden Feststellungen sind schriftlich festzuhalten.3

Weitere Informationen hierzu finden Sie in den „Hilfen zur Einführung einer Kooperationsplattform in der Schule“ (Kapitel 3.6.2 „Schriftliche Festlegungen“ und Kapitel 3.7 „Notwendige Prüfungen vor Inbetriebnahme“).

Es kann erwartet werden, dass die Anbieter von Kooperationsplattformen den Schulen Dokumente zur Verfügung stellen, welche die Durchführung einer Vorabkontrolle durch den Datenschutzbeauftragten der Schule mit vertretbarem Aufwand ermöglichen.

Abweichungen der tatsächlichen Gegebenheiten von den Unterlagen sind schriftlich festzuhalten. Lassen Sie sich gegebenenfalls vom Anbieter schriftlich bestätigen, dass auch trotz der festgestellten Abweichungen die Bestimmungen des NDSG eingehalten werden.
Letztendlich ist nicht der Anbieter, sondern die Schule für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.