Datenschutzgrundverordnung
Vor jeder Verarbeitung von personenbeziehbaren Daten muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden. Nach Artikel 30 der Datenschutzgrundverordnung (DSGVO) muss dieses Verzeichnis alle folgenden Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- wenn möglich, Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich, allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO (Sicherheit der Verarbeitung).
Die Realität an den Schulen sieht leider noch anders aus. Würde man diese Verzeichnisse erstellen, würde man bereits bei der ersten Frage nach der Rechtmäßigkeit der Zwecke feststellen, dass man da vieles gar nicht darf und sich das restliche Verzeichnis eigentlich direkt sparen könnte. Der aktuelle verzeichnisfreie Zustand sollte maximal noch in der Pandemie irgendwie „durchrutschen“. Danach wird es sehr eng für die Schulen, wenn sie Systeme weiter betreiben, ohne vorher geklärt zu haben, wie die Datenströme aussehen.
René Scheppler