Die RLSB haben zu diesem Thema einen Beitrag veröffentlicht:
Eine Auftragsverarbeitung (kurz AV) liegt vor, wenn die Schule die personenbezogenen Daten nicht selbst, sondern durch einen externen Dritten verarbeiten lässt.
- Nutzung von externen Servern (auch vom Schulträger), Cloud-Dienste
- Nutzung von Software, welche webbasiert (über Internet oder Intranet) zur Verfügung gestellt wird
- Wartungsdienstleistungen an IT-Systemen, wenn die Verarbeitung von personenbezogenen Daten dafür erforderlich ist
- Entsorgung von Akten oder Datenträgern durch externe Unternehmen
- Beauftragung eines Schulfotografen
Entscheidend für das Vorliegen einer Auftragsverarbeitung ist, dass der Auftragnehmer keinen eigenen Beurteilungs- oder Entscheidungsspielraum hat. Insofern bleibt die Schule als Auftraggeberin weiterhin „Herrin“ ihrer Daten und der Auftragnehmer führt die Datenverarbeitung in völliger Weisungsabhängigkeit durch.
Eine Datenweitergabe im Rahmen der Auftragsverarbeitung stellt keine Datenübermittlung dar, da das Handeln des Auftragnehmers dem Auftraggeber zugerechnet wird und der Auftragsverarbeiter lediglich als „verlängerter Arm“ der Schule tätig wird. Es bedarf insofern keiner (eigenen) Rechtsgrundlage für die Weitergabe an den Auftragnehmer.
Wenn es sich um „mehr“ als Auftragsverarbeitung handelt, d.h. dem Auftragsverarbeiter ein eigener Entscheidungsspielraum zusteht, muss eine Rechtsgrundlage für die Datenweitergabe vorliegen (z.B. § 31 Abs. 4 Nr. 1 NSchG (Agentur für Arbeit), § 31 Abs. 6 NSchG (Meldebehörde) usw.) und es muss kein Vertrag über Auftragsverarbeitung geschlossen werden.
Was bedeutet das für die Schulen?
Für die Auftragsverarbeitung ist ein Vertrag zwischen der Schule (Verantwortlicher) und dem Auftragsverarbeiter zu schließen. Bestehende Verträge sind an das geltende Recht anzupassen.
Darüber hinaus ändert eine AV nichts an der Pflicht der Schule, ein Verzeichnis der Verarbeitungstätigkeiten zu führen und das per ADV genutzte Verfahren darin zu dokumentieren.
Ein Muster:
Vertragsformular “Datenverarbeitung im Auftrag”, Word-Formular, Stand: 29.06.2018
Weitere Informationen hierzu finden Sie in den „Hilfen zur Einführung einer Kooperationsplattform in der Schule“ (Kapitel 3.6.1.4 „Pädagogische Prozessdaten“, 3.7 „Notwendige Prüfungen vor Inbetriebnahme“ und 3.9.7.2 „Zugriff auf die Daten durch schulexterne Stellen“).
Weitere wichtige Informationen zu diesem Thema (besonders nach dem EuGH-Urteil vom Juli 2020) finden Sie hier:
LfD: Der CLOUD Act – Zugriff von US-Behörden auf Daten in der EU
LfD: Binding Corporate Rules – Richtlinien für den Datentransfer in Drittländer
Es kann erwartet werden, dass die Anbieter von Kooperationsplattformen den Schulen Verträge zur Auftragsdatenverarbeitung vorlegen, die den Vorgaben der DSGVO genügen.
Abweichungen der tatsächlichen Gegebenheiten von den Unterlagen sind schriftlich festzuhalten. Lassen Sie sich gegebenenfalls vom Anbieter schriftlich bestätigen, dass auch trotz der festgestellten Abweichungen die Bestimmungen der DSGVO eingehalten werden.
Letztendlich ist nicht der Anbieter sondern die Schule für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.