Datenschutzgerechte Auftragsdatenverarbeitung (Stand: 2023-10-04)

Die RLSB haben zu diesem Thema einen Beitrag veröffentlicht:

Eine Auftragsverarbeitung (kurz AV) liegt vor, wenn die Schule die personenbezogenen Daten nicht selbst, sondern durch einen externen Dritten verarbeiten lässt.

Einige Beispiele für Auftragsverarbeitung sind:

  • Nutzung von externen Servern (auch vom Schulträger), Cloud-Dienste
  • Nutzung von Software, welche webbasiert (über Internet oder Intranet) zur Verfügung gestellt wird
  • Wartungsdienstleistungen an IT-Systemen, wenn die Verarbeitung von personenbezogenen Daten dafür erforderlich ist
  • Entsorgung von Akten oder Datenträgern durch externe Unternehmen
  • Beauftragung eines Schulfotografen

Entscheidend für das Vorliegen einer Auftragsverarbeitung ist, dass der Auftragnehmer keinen eigenen Beurteilungs- oder Entscheidungsspielraum hat. Insofern bleibt die Schule als Auftraggeberin weiterhin „Herrin“ ihrer Daten und der Auftragnehmer führt die Datenverarbeitung in völliger Weisungsabhängigkeit durch.

Eine Datenweitergabe im Rahmen der Auftragsverarbeitung stellt keine Datenübermittlung dar, da das Handeln des Auftragnehmers dem Auftraggeber zugerechnet wird und der Auftragsverarbeiter lediglich als „verlängerter Arm“ der Schule tätig wird. Es bedarf insofern keiner (eigenen) Rechtsgrundlage für die Weitergabe an den Auftragnehmer.
Wenn es sich um „mehr“ als Auftragsverarbeitung handelt, d.h. dem Auftragsverarbeiter ein eigener Entscheidungsspielraum zusteht, muss eine Rechtsgrundlage für die Datenweitergabe vorliegen  (z.B. § 31 Abs. 4 Nr. 1 NSchG (Agentur für Arbeit), § 31 Abs. 6 NSchG (Meldebehörde) usw.)  und es muss kein Vertrag über Auftragsverarbeitung geschlossen werden.

Was bedeutet das für die Schulen?

Für die Auftragsverarbeitung ist ein Vertrag zwischen der Schule (Verantwortlicher) und dem Auftragsverarbeiter zu schließen. Bestehende Verträge sind an das geltende Recht anzupassen.

Darüber hinaus ändert eine AV nichts an der Pflicht der Schule, ein Verzeichnis der Verarbeitungstätigkeiten zu führen und das per ADV genutzte Verfahren darin zu dokumentieren.

Ein Muster:

Vertragsformular “Datenverarbeitung im Auftrag”, Word-Formular, Stand: 29.06.2018

Weitere Informationen hierzu finden Sie in den „Hilfen zur Einführung einer Kooperationsplattform in der Schule“ (Kapitel 3.6.1.4 „Pädagogische Prozessdaten“, 3.7 „Notwendige Prüfungen vor Inbetriebnahme“ und 3.9.7.2 „Zugriff auf die Daten durch schulexterne Stellen“).

Weitere wichtige Informationen zu diesem Thema (besonders nach dem EuGH-Urteil vom Juli 2020) finden Sie hier:

Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger

Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18—Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems

LfD: Der CLOUD Act – Zugriff von US-Behörden auf Daten in der EU

LfD: Binding Corporate Rules – Richtlinien für den Datentransfer in Drittländer

Es kann erwartet werden, dass die Anbieter von Kooperationsplattformen den Schulen Verträge zur Auftragsdatenverarbeitung vorlegen, die den Vorgaben der DSGVO genügen.
Abweichungen der tatsächlichen Gegebenheiten von den Unterlagen sind schriftlich festzuhalten. Lassen Sie sich gegebenenfalls vom Anbieter schriftlich bestätigen, dass auch trotz der festgestellten Abweichungen die Bestimmungen der DSGVO eingehalten werden.
Letztendlich ist nicht der Anbieter sondern die Schule für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich.