Die RLSB schreiben dazu auf ihrer Seite:
“Die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ist wie das Verzeichnis von Verarbeitungstätigkeiten ein internes Dokument, mit dem die Einhaltung der DSGVO nachgewiesen werden kann. Ein Einsichtsrecht hat nur die Landesbeauftragte für Datenschutz.
Sie dient der Bewertung von Risiken, die (insbesondere bei der Einführung neuer Technologien) durch die Verarbeitung personenbezogener Daten entstehen und zu einer Rechtsverletzung der Betroffenen führen können.
Daher ist sie auch vor der Einführung einer ggf. risikobehafteten Datenverarbeitung durchzuführen.
Im schulischen Kontext bedarf es einer Datenschutz-Folgenabschätzung beispielsweise bei der Einführung eines elektronischen Klassenbuches, der Verarbeitung personenbezogener Schülerdaten durch Lernplattformen oder der Einführung von Tablet-Klassen.
Gemäß der Datenschutzgrundverordnung muss die Datenschutz- Folgenabschätzung mindestens die folgenden Schritte enthalten:
1. Beschreibung der Verarbeitungsvorgänge und Zwecke
Hierfür kann auf das Verzeichnis von Verarbeitungstätigkeiten zurückgegriffen werden. Die unter dem folgenden Link zu findenden Muster, müssen im Hinblick auf die schulischen Gegebenheiten angepasst werden.
2. Bewertung der Erforderlichkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
Hier muss festgestellt werden, inwieweit die Verarbeitungsvorgänge zur Erreichung eines bestimmten Zwecks (z.B. Bildungsauftrag, Fürsorgeaufgaben) erforderlich sind. An dieser Stelle muss auch die Möglichkeit milderer Mittel, das heißt alternativer Verarbeitungsvorgänge mit weniger Eingriffsintensität, geprüft werden.
3. Risikobewertung
Bei der Risikobewertung werden die betroffenen personenbezogenen Daten einer Schutzstufe (siehe Schutzstufenkonzept der Landesbeauftragten für Datenschutz (Link)) zugeordnet und die Eintrittswahrscheinlichkeit eines Schaden für diese personenbezogenen Daten bestimmt.
4. Technische und organisatorische Maßnahmen zur Bewältigung der Risiken
Hier führen Sie die geplanten Abhilfemaßnahmen auf, die zur Bewältigung der Risiken eingesetzt werden.
5. Ergebnis“
Musterdateien zur DSFA:
Bitte beachten Sie:
Bei der Verarbeitung von personenbezogenen Schülerdaten durch Lernplattformen, bei denen die Verarbeitung durch einen zentralen Auftragsverarbeiter erfolgt, ist eine Datenschutzfolgenabschätzung obligatorisch!
Weitere Informationen dazu hier.