Worauf Schulen, Hochschulen und Kindergärten bei der DS-GVO achten sollten
Der Datenschutz gilt für alle Unternehmen und Einrichtungen in der EU, unabhängig von Ihrer Größe. In manchen Bereichen ist dabei die Umsetzung aufgrund bestimmter Vorgaben aber noch einmal besonders komplex. Dazu gehören zum Beispiel auch Bildungseinrichtungen.
Zu Bildungseinrichtungen zählen nicht nur Schulen, Hochschulen, Kindergärten und unterschiedliche Einrichtung von Erwachsenenbildungen. Dazu gehören auch Berufsschulen, Fachschulen, Museen, Bibliotheken und andere, teilweise private, Einrichtungen.
Komplexer Datenschutz im Bildungssegment
Da vor allem im Bereich der Bildung so viele unterschiedliche Akteure hinzugezählt werden können, diese teilweise Vereine, Unternehmen oder staatliche Institutionen darstellen, ist die Bewertung des Datenschutzes nicht generell festlegbar.
Fest steht jedoch, dass alle Einrichtungen die Vorgaben von Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) umsetzen müssen, diese werden aber unter Umständen durch unterschiedliche branchenübliche gesetzliche Vorgaben erweitert.
Landesgesetze erweitern DS-GVO und BDSG
Vor allem im schulischen Bereich werden die Vorgaben durch die Landesgesetze meist umfangreich und mit diversen Besonderheiten ergänzt. In NRW sind das im ersten Schritt die Regelungen für öffentliche Einrichtungen im Datenschutzgesetz Nordrhein-Westfalen. Darüber hinaus das Schulgesetz für das Land Nordrhein-Westfalen, welches auf der Seite des Ministeriums für Schule und Bildung des Landes NRW einzusehen ist.
Hier wird grundlegen festgelegt, „unter welchen Bedingungen, mit welchen Rechten und Pflichten und mit welchen Zielen in Schulen in Nordrhein-Westfalen gelehrt und gelernt wird.“ (Quelle www.schulministerium.nrw)
Dazu gehört auch ein Teil, der sich sowohl mit dem Schutz der Daten von Schüler*innen und Eltern, als auch mit dem Schutz der Daten des Personals im Schulbereich befasst. Hierbei wird nicht nur festgelegt, wie die Bildungseinrichtungen mit den personenbezogenen Daten umgehen müssen, sondern auch wie die Schüler*innen beispielsweise den Datenschutz einhalten sollen.
Datenschutz – Verantwortlicher in Bildungseinrichtungen
Der Verantwortliche im Datenschutz ist dafür zuständig, dass die gesetzlichen Vorgaben im Datenschutz in einer Organisation umgesetzt werden. Bei Schulen werden hier die Schulleiter als Verantwortliche gesehen. In Organisationen, welche nicht als öffentliche Institutionen gelten, ist in der Regel der Geschäftsführer oder der Vorsitzende der Verantwortliche im Datenschutz, ähnlich wie bei Unternehmen und Vereinen.
Achtung bei mehreren Organisationen
Vor allem im Bildungsbereich, besonders in der Erwachsenenbildung sind nicht selten mehrere Organisationen beteiligt, die personenbezogene Daten eines Betroffenen verarbeiten. Hier sollte in jedem Fall genau geprüft werden, ob die personenbezogenen Daten erfasst und ggf. auch weitergegeben werden dürfen.
Darüber hinaus muss natürlich bei Kindern immer auch der Erziehungsberechtigte im Bereich der Verarbeitung der personenbezogenen Daten der richtige Ansprechpartner sein.
Geprüft werden muss bei jeglicher Verarbeitung von personenbezogenen Daten, ob eine Rechtsgrundlage für die Verarbeitung vorliegt, Inwieweit die Zweckbindung gegeben ist, ob die Datensparsamkeit ausreichend eingehalten wird. Darüber hinaus müssen Löschfristen, Korrektheit der personenbezogenen Daten eingehalten und die Grundsätze der Datensicherheit umgesetzt werden und Informationspflichten beachtet werden.
Komplexe Anforderungen an Bildungseinrichtungen in NRW
Je nach Form des Bildungsträgers, kann es neben dem generell sehr komplexen Bereich des Datenschutzes, der durch BDSG und DS-GVO geregelt wird, also auch weitere gesetzliche Vorgaben geben.
Da das nicht zu den alltäglichen Aufgaben eines Bildungsträgers gehört und gerade bei kleinen und mittleren Einrichtungen in der Regel selten Fachpersonal im ausreichenden Umfang vorhanden ist, kann ein externer Datenschutzbeauftragter dabei eine hilfreiche Unterstützung sein. Dabei sollte darauf geachtet werden, dass der Datenschutzbeauftragte über das nötige Fachwissen verfügt, welches die unterschiedlichen Vorgaben für Bildungseinrichtungen beachtet.
Das Team von Datenschutzberater.NRW bietet Bildungseinrichtungen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.