Was müssen Schulen beachten, wenn sie eine Lernplattform einsetzen (Checkliste DSGVO)?
Was müssen Schulen beachten, wenn sie eine Lernplattform einsetzen? Unsere Checkliste gibt Ihnen einen Überblick, worauf Sie insbesondere achten sollten:
- *Vertrag über Auftragsverarbeitung* nach DSGVO mit demjenigen IT-Dienstleister schließen, der den technischen Betrieb, den technischen Support und ggf. den Nutzersupport für die Lernplattform leistet.
Der Dienstleister muss als Anlage des Vertrages eine Dokumentation der technischen und organisatorischen Maßnahmen (TOM) vorlegen, mit denen er die personenbezogenen Daten der Nutzerinnen und Nutzer der Lernplattform im Auftrag der Schule schützt. Falls mehrere Dienstleister beteiligt sind und keiner von ihnen als Generalunternehmer auftritt, ist mit jedem einzelnen beteiligten Dienstleister ein Vertrag zur Auftragsverarbeitung abzuschließen.
~kursiv~DigiOnline stellt Ihnen bei Vertragsschluss eine Vertragsvorlage für die Auftragsverarbeitung inkl. der TOM-Dokumentation zur Verfügung. Alle Leistungen zu Betrieb und Support werden durch DigiOnline GmbH aus einer Hand erbracht.~ - *Verarbeitungsverzeichnis-Eintrag für die Lernplattform* erstellen und aktuell halten.
Dazu gehört auch die Festlegung, wann die Schule personenbezogene Daten auf der Lernplattform standardmäßig löscht (insbesondere Zugänge).
~kursiv~DigiOnline GmbH stellt Ihnen bei Vertragsabschluss eine Vorlage für einen Verarbeitungsverzeichnis-Eintrag zur Verfügung, die schulspezifisch angepasst werden muss.~ - *Technische und organisatorische Maßnahmen der Schule* zum Schutz der personenbezogenen Daten auf der Plattform dokumentieren und aktuell halten.
Eine Vorlage für die Dokumentation sollte beim Schulträger angefragt werden, sofern noch keine Dokumentation vorliegt. Diese Dokumentation wird Teil Ihres Verarbeitungsverzeichnis-Eintrages für die Lernplattform. - *Nutzungskonzept* für die Schule erstellen.
Dazu gehört auch die Dokumentation, welchen Rollen welche Plattformfunktionen mit welchen Berechtigungen in welchen Arbeitsbereichen der Plattform zur Verfügung stehen. Der Verarbeitungsverzeichnis-Eintrag der Lernplattform greift die freigegebenen Nutzerfunktionen mit den in ihnen verarbeiteten Datenkategorien auf.
~kursiv~Zur Erstellung eines Nutzungskonzeptes stellt Ihnen DigiOnline GmbH bei Vertragsabschluss eine Anleitung zur Verfügung.~ - Ggf. eine *Datenschutz-Folgenabschätzung* nach Art. 35 DSGVO vor Beginn der Nutzung durchführen, dokumentieren und bei Änderungen auf der Lernplattform (z.B. Rechte, freigeschaltete Nutzerfunktionen, technische und organisatorische Maßnahmen) aktuell halten.
Der schulische Datenschutzbeauftragte muss die Durchführung der Datenschutz-Folgenabschätzung unterstützen. - Vor Beginn der Nutzung (d.h. vor Anlage von Nutzerzugängen) die *schriftliche, informierte und freiwillige Einwilligung* der Betroffenen einholen und dokumentieren.
~kursiv~DigiOnline GmbH stellt Ihnen bei Vertragsabschluss eine Vorlage für ein Einwilligungsformular zur Verfügung, die schulspezifisch angepasst werden muss.~ - Betroffenenanfragen vorbereiten und schulinterne Abläufe zur Beantwortung definieren, insbesondere in Bezug auf das *Recht auf Auskunft* nach Art. 15 DSGVO.
~kursiv~In WebWeaver® wurde eine Selbstauskunft über verarbeitete Registrierungs-, Nutzungs- und Nutzerdaten implementiert, die in den persönlichen Einstellungen auf der Plattform für die Betroffenen direkt aufrufbar ist.~
Weiter zum nächsten Artikel
Zurück zur Übersichtsseite