Ab dem 25. Mai 2018 gilt die DS-GVO unmittelbar in sämtlichen Mitgliedsstaaten der Europäischen Union. Damit wird das bestehende Datenschutzrecht harmonisiert und durch einen einheitlichen europäischen Rechtsrahmen ersetzt. Jedoch enthält die DS-GVO auch eine Vielzahl von Öffnungsklauseln und Regelungsaufträgen für den nationalen Gesetzgeber. Dies betrifft insbesondere die Möglichkeit der Schaffung fachspezifischer Normen für bestimmte Bereiche. Ein für die öffentlichen Stellen des Landes Niedersachsen geltendes niedersächsisches Anpassungsgesetz steht noch aus. Deswegen kann derzeit keine Aussage getroffen werden, inwieweit die für die Datenverarbeitung in den Schulen geltenden schul- und beamtenrechtlichen Regelungen geändert werden.
Um den Vorgaben der DS-GVO zu entsprechen, müssen die Schulen als öffentliche Stellen bestehende Strukturen und Prozesse zeitnah anpassen und fortentwickeln.
Die wesentlichen Veränderungen der DS-GVO gegenüber dem geltenden Recht und die daraus resultierenden Anforderungen an die verantwortlichen Stellen werden wie folgt
zusammengefasst:
- Die DS-GVO sieht erweiterte Dokumentations- und Nachweispflichten vor. Dies betrifft u. a. den Nachweis der Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 2 DS-GVO), der erforderlichen technisch-organisatorischen Maßnahmen (Art. 24 DS- GVO) und den Einsatz geeigneter Auftragsverarbeiter (Art. 28 DS-GVO). Weitere Dokumentationspflichten folgen aus Art. 30 DS-GVO (Führung eines Verarbeitungsverzeichnisses) und Art. 33 DS-GVO (Dokumentation von Datenschutzvorfällen).
- Erweitert wird auch der Umfang der Informations- und Auskunftspflichten gegenüber den Betroffenen (Art. 13 – 15 DS-GVO). Gemäß Art. 12 Abs. 1 DS-GVO sind die Betroffenen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ von der Verarbeitung ihrer personenbezogenen Daten zu unterrichten.
- Auch die sonstigen Betroffenenrechte werden gegenüber dem bisherigen Recht erweitert. Neu ist u.a. das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).
- Hat eine Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge, so muss der Verantwortliche zukünftig eine Datenschutz-Folgeabschätzung (Art. 35 DS-GVO) durchführen. Die Datenschutz Folgeabschätzung setzt das Instrument der Vorabkontrolle in einer neuen Ausprägung fort. Diese ist vom Verantwortlichen zu erstellen; der oder die Datenschutzbeauftragte hat nur noch eine beratende Funktion. Hierbei sind insbesondere Eintrittswahrscheinlichkeit und Schwere der möglichen Risiken zu bewerten und Maßnahmen zur Eindämmung der Risiken zu prüfen. Ggf. muss der Verantwortliche zuvor die Aufsichtsbehörde konsultieren (Art. 36 DS-GVO).
- Art. 25 DS-GVO regelt die Grundsätze des „Datenschutzes durch Technik und datenschutzrechtliche Voreinstellungen“. Demnach haben Verantwortliche ihre IT- Systeme so auszugestalten, dass die Grundsätze des Art. 5 Abs. 1 DS-GVO wirksam umgesetzt werden. Dies gilt insbesondere für das Gebot der Datenminimierung. Danach dürfen nur so viele Daten erhoben werden, wie zur Erfüllung des Zwecks erforderlich. Zudem müssen IT-Systeme so voreingestellt werden, dass nur die erforderlichen Daten verarbeitet werden.
- Erstmals wird auch für öffentliche Stellen eine Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen eingeführt (Art. 33 f. DS-GVO).
- Die Pflicht zur Benennung einer oder eines Datenschutzbeauftragten bleibt für die öffentlichen Stellen zwingend erhalten (Art. 37 Abs. 1 DS-GVO). Gleichwohl ändert sich deren Rolle innerhalb der verantwortlichen Stelle: Während ihnen nach bisherigem Recht eine primär beratende und unterstützende Funktion im Hinblick auf die Einhaltung der datenschutzrechtlichen Normen zukommt, sieht Art. 39 Abs. 1 DS- GVO umfassende Überwachungspflichten vor. Die eigentliche Umsetzungspflicht der datenschutzrechtlichen Vorgaben liegt damit bei der Behördenleitung, welche einzelne Aufgaben delegieren kann. Nähere Einzelheiten zu dieser Thematik können unter https://www.lfd.niedersachsen.de/startseite/dsgvo/datenschutzbeauftragte/ abgerufen werden.
- Das Instrument der Auftragsdatenverarbeitung wird beibehalten (Art. 28 DS-GVO). Allerdings ändert sich die Rolle des Auftragsverarbeiters im Hinblick auf eine mögliche eigene Haftung und Bußgeldpflicht. Es wird angeraten, die bestehenden ADV-Verträge zeitnah auf einen durch die DS-GVO ausgelösten eventuellen Anpassungsbedarf zu überprüfen.
- Zudem wird durch Art. 82 Abs. 1 DS-GVO die zivilrechtliche Haftung bei Datenschutz- verstößen auch auf den Ersatz immaterieller Schäden erweitert.
Zusammenfassend ist festzuhalten, dass die DS-GVO für die Datenverarbeitung durch öffentliche Stellen eine Vielzahl von Veränderungen vorsieht. Die Datenschutzkonferenz hat einige Kurzpapiere und Handlungsempfehlungen zu den wichtigsten Punkten erarbeitet, die den verantwortlichen Stellen – und damit auch den Schulen – zielführende Hilfestellungen bei der Anwendung der DS-GVO im praktischen Vollzug geben und die stetig erweitert werden. Der aktuelle Stand kann unter https://www.lfd.niedersachsen.de/startseite/dsgvo abgerufen werden.
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstr. 5
30159 Hannover
Telefon: 0511 120 – 45 00
Fax: 0511 1204599
E-Mail: poststelle@lfd.niedersachsen.de
Stand: 13. November 2017
Dieser Leitfaden ist online als PDF abrufbar unter:
https://www.lfd.niedersachsen.de/download/124643/Leitfaden_Umsetzung_GDSVO_in_den_Schulen.pdf