Welche Grundsätze gelten bei der Verarbeitung personenbezogener Daten nach DSGVO?
Der Schutz personenbezogener Daten soll durch folgende Grundsätze der Verarbeitung erreicht werden:
- Rechtmäßigkeit
Die Verarbeitung personenbezogener Daten ist vom Grundsatz her verboten, da sie eine Beschränkung des Grundrechts auf informationelle Selbstbestimmung darstellt und der Schutz personenbezogener Daten als Grundrecht in Artikel 8 der EU-Grundrechtecharta festgeschrieben ist. Es handelt sich beim Datenschutz grundsätzlich um ein sog. „Verbot mit Erlaubnisvorbehalt“. Nur unter bestimmten Voraussetzungen, die „Erlaubnistatbestände“ genannt werden, ist die Verarbeitung personenbezogener Daten gesetzlich erlaubt.
Rechtmäßig ist eine Verarbeitung personenbezogener Daten nur dann, wenn für die jeweilige Verarbeitung eine Rechtsgrundlage nach Art. 6 Abs. 1 Buchstaben a) – f) der DSGVO gegeben ist:
a) Einwilligung durch den Betroffenen,
b) Vertragserfüllung durch den Verantwortlichen ODER Durchführung vorvertraglicher Maßnahmen ausgehend vom Betroffenen,
c) Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (durch ein anderes Gesetz oder sonstige Vorschrift),
d) lebenswichtige Interessen des Betroffenen,
e) der Verantwortliche handelt im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt,
f) berechtigte Interessen des Verantwortlichen (nach Abwägung mit den Interessen des Betroffenen). Diese Rechtsgrundlage ist für öffentliche Stellen (und damit an Schulen) allerdings nicht anwendbar.
In Schulen wird die Rechtsgrundlage für die Nutzung einer Lernplattform fast immer die Einwilligung nach Art. 6 Abs. 1 Buchstabe a) DSGVO sein. Ausnahmen bestehen nur dann, wenn das jeweilige Bundesland die Nutzung der betreffenden Lernplattform an den Schulen des Landes durch eine gesetzliche Regelung oder Verordnung ausdrücklich vorsieht. - Treu und Glauben
Die Verarbeitung muss auf Grundlage eines ehrlichen und redlichen Verhaltens des Verantwortlichen geschehen. Der Betroffene (der Nutzer der Lernplattform) muss davon ausgehen und erwarten können, dass der Verantwortliche (die Schule) den Betroffenen wahrheitsgemäß und vollständig über die Verarbeitung seiner personenbezogenen Daten informiert und die datenschutzrechtlichen Vorgaben einhält. - Transparenz
Der Verantwortliche hat den Betroffenen über die Verarbeitungen, die in seiner Verantwortung liegen, vollumfänglich und richtig zu informieren. Nur wenn diese Transparenz gegeben ist, ist die von den Betroffenen gegebene Einwilligung zur Nutzung der Lernplattform rechtmäßig und gültig. Wenn sich die Verarbeitung an Kinder richtet, wie es bei schulischen Lernplattformen zumeist der Fall ist, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern alle Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann (Erwägungsgrund 58 DSGVO). - Zweckbindung
Personenbezogene Daten dürfen nur zu denjenigen Zwecken verarbeitet werden, zu denen sie erhoben wurden. D.h. personenbezogene Daten, die auf einer Lernplattform verarbeitet werden, dürfen nur zu denjenigen Zwecken verarbeitet werden, über die die Betroffenen im Rahmen ihrer Einwilligung informiert worden sind. Ändern und erweitern sich die Zwecke, sind erneut Einwilligungen einzuholen.
- Datenminimierung
Personenbezogene Daten, die für die vom Verantwortlichen angegebenen Zwecke nicht benötigt werden, dürfen nicht erhoben und verarbeitet werden. Personenbezogene Daten, die nicht die schulischen Zwecke der Lernplattform erfüllen, dürfen auf der Lernplattform also nicht erhoben oder verarbeitet werden. - Richtigkeit
Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein, sachlich falsche Daten müssen korrigiert oder gelöscht werden. Z.B. muss der Nachname eines Betroffenen auf der Lernplattform geändert werden, wenn sich der Nachname des Betroffenen (z.B. durch Heirat) geändert hat. - Speicherbegrenzung bzw. Löschfristen
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie der Zweck die Speicherung und Verarbeitung der Daten erfordert. Nach Wegfall des Zweckes müssen die Daten gelöscht werden, falls keine gesetzlichen Aufbewahrungsfristen für die Daten bestehen. Der Zugang eines Schülers oder eines Lehrers, der die Schule verlassen hat, ist auf der Lernplattform daher zu löschen. - Integrität und Vertraulichkeit
Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen (sog. „TOM“) geschützt werden. Technische Maßnahmen betreffen z.B. den Zugang zu dem verwendeten IT-System (Server, Administrationszugang) oder z.B. die Verschlüsselung von Daten. Organisatorische Maßnahmen betreffen z.B. den Zutritt zu Räumen, in denen personenbezogene Daten verarbeitet werden, oder schulische Verhaltensregeln zur Nutzung der schulischen IT-Systeme.
Personenbezogene Daten müssen grundsätzlich „nach Stand der Technik“ (Art. 25 Abs. 1 DSGVO) durch den Verantwortlichen sowie den Auftragsverarbeiter vor unerlaubter Offenlegung und Zerstörung geschützt werden. Daher müssen Schulen sowohl ihre eigenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten auf der Lernplattform dokumentieren als auch eine entsprechende Dokumentation der Maßnahmen des Auftragsverarbeiters vorliegen haben, der die Lernplattform technisch betreibt.
- Rechenschaftspflicht
Der Verantwortliche (also die Schulleitung) hat die vorstehenden Grundsätze der Verarbeitung personenbezogener Daten für seine Verarbeitungsprozesse umzusetzen und zu dokumentieren. Er muss die Rechtmäßigkeit der Verarbeitung jederzeit gegenüber dem Betroffenen sowie gegenüber einer Aufsichtsbehörde für den Datenschutz durch seine Dokumentation nachweisen können.
Weiter zum nächsten Artikel
Zurück zur Übersichtsseite