dsfa_schulen_msecure

DSFA: Wie Schulen die Folgen der Datenverarbeitung richtig dokumentieren

Datenschutz-Folgenabschätzung (DSFA) ist ein eher sperriger Begriff. Was die DSGVO aber im Kern beschreibt, ist sinnvoll und notwendig: es geht darum, die möglichen negativen Folgen einer Verarbeitung personenbezogener Daten einzuschätzen und zu dokumentieren. Schulen sind hier besonders gefordert.

Das EU-weite Gesetz zum Datenschutz, die Datenschutzgrundverordnung (DSGVO) beschreibt in Artikel 35 die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung, sofern eine Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Aus den Erläuterungen zum Gesetz (Erwägungsgrund 75) geht des Weiteren hervor, dass der Gesetzgeber solche Risiken insbesondere dann sieht, wenn Daten von Kindern verarbeitet werden.

Schülerinnen und Schüler sind im Teenageralter immer mehr in den sozialen Medien unterwegs und geben vielfach freiwillig alle möglichen persönlichen Daten preis. Das entbindet Schulen und andere Bildungseinrichtungen als verantwortliche Stellen aber nicht davon, vor dem Einsatz von Software, in der Schülerdaten verarbeitet werden, die Risiken für die „betroffenen Personen“ zu erheben, zu bewerten und zu dokumentieren. Unter die „betroffenen Personen“ fallen hier u.a. die jungen Menschen, auf die sich die Daten beziehen.

 

DSFA als Schlüssel zur Datenschutzkonformität

dsfa_schulen_digitalisierung_msecure

Digitalisierung ist im Bildungswesen das Gebot der Stunde (Quelle: Adobe Stock/ Romolo Tavani).

Digitalisierung ist das Gebot der Stunde. Wenn Corona ein Gutes hatte, dann den Weckruf an das Bildungswesen, ihre Prozesse zu digitalisieren, sprich: Software einzusetzen, um schneller und ortsunabhängiger arbeiten zu können. Gleiches gilt auch für das Gesundheitswesen und die öffentliche Verwaltung.

Bei der Auswahl der „richtigen“ Software spielen viele Aspekte eine Rolle. Meist sind dies die Eignung für den Zweck, die Nutzerfreundlichkeit, der Preis. Aber eben auch die Sicherheit der Anwendung, der Umgang mit personenbezogenen Daten und die Zuverlässigkeit des Anbieters.

Dahingehend ist es für Bildungseinrichtungen und andere Organisationen nicht nur wichtig, technologisch auf dem neuesten Stand zu sein, sondern die relevanten rechtlichen Anforderungen, u.a. der DSGVO, zu erfüllen. Die DSFA ist gut geeignet, eine softwaregestützte Verarbeitung zu prüfen und dient zudem als Nachweis der Datenschutzverträglichkeit gegenüber Behörden und anderen Interessengruppen, wie beispielsweise den Eltern.

 

Allgegenwärtig, aber nicht unumstritten: Microsoft 365

Am Markt etablierte Produkte bieten gegenüber Nischenprodukten oder „selbstgestrickten“ Lösungen den Vorteil, dass Informationen, die für eine DSFA benötigt werden, meist bereits vorhanden sind. Zudem fällt hier der Anpassungs- und Schulungsbedarf häufig niedriger aus. Standardlösungen wie die Office-Produkte von Microsoft sind nicht zuletzt deshalb attraktiv, weil sie jeder mehr oder weniger aus dem privaten oder beruflichen Umfeld kennt.

Allerdings erfolgt mit dem Einsatz der Produkte auch eine Prägung der Nutzer auf die dahinterstehende Marke, was ein dauerhafter Kritikpunkt am Einsatz solcher Lösungen an Schulen ist. Auch bemängeln manche Datenschutzaufsichtsbehörden eine aus ihrer Sicht nicht ausreichende Transparenz über die Datenverwendung durch Microsoft und Dritte.

Dennoch fällt die Wahl nicht selten auf Microsoft 365, da die Software eine Vielzahl von Funktionen bietet, weitgehend stabil läuft und beim Anwender relativ wenig technisches Wissen voraussetzt.

 

Knowhow ist gefragt

dsfa_schulen_365_msecure

msecure hilft dabei, Microsoft 365 sicher zu nutzen (Quelle: Adobe Stock/ IB Photography).

Um die umfangreiche Funktionalität in Microsoft 365 auch sicher und mit verringerten Datenschutzrisiken nutzen zu können, müssen die richtigen Einstellungen gesetzt werden. Dies stellt Schulen mitunter vor größere Herausforderungen, da das Wissen um datenminimierende Konfigurationen meist nicht vorhanden ist.

Wir bei msecure haben das nötige Knowhow und bieten gezielt Schulungen und Seminare an, um den Einsatz von Microsoft 365 zu begleiten. In einem speziell auf Schulen zugeschnittenen DSFA-Basis-Workshop geben wir einen Überblick über die Module und erläutern, was sich sinnvoll einsetzen lässt und was wegen möglicher Sicherheitsrisiken deaktiviert werden sollte. Darüber hinaus lernen Schulverantwortliche, den Aufwand für die Anpassungen einzuschätzen und welche Aktivitäten der Datenverarbeitung für die DSFA relevant sind. Anschließend erhalten sie einen Bericht mit Empfehlungen zur Gestaltung der M365-Umgebung, um entsprechende Konfigurationen vornehmen oder bei ihrem Dienstleister beauftragen zu können.

Darüber hinaus bietet msecure auch einen Tenant-Check zur Bewertung, Begutachtung und Prüfung der M365-Konfiguration sowie eine umfassende Datenschutz-Folgenabschätzung mit allen erforderlichen Unterdokumenten und einer Risikobewertung an.

 

Fazit

Digitalisierung an Schulen ist wichtig. Damit bei der Auswahl von Software und Gestaltung von Prozessen den Belangen der betroffenen Personen berücksichtigt werden und keine untragbaren Risiken für sie übersehen werden, ist eine DSFA notwendig. Insbesondere bei komplexen Softwareprodukten wie Microsoft 365 müssen Schulen auf datenschutzfreundliche Einstellungen achten. IT-Sicherheitsspezialisten wie msecure helfen Schulen mit Workshops und Prüfungen dabei, ihre Datenschutz-Pflichten gut zu erfüllen.

 

Quelle Titelbild: Adobe Stock / Gorodenkoff