Datenverarbeitung im Auftrag
Eine Auftragsverarbeitung (kurz AV) liegt vor, wenn die Schule die personenbezogenen Daten nicht selbst, sondern durch einen externen Dritten verarbeiten lässt.
Einige Beispiele für die Auftragsbearbeitung sind:
- Nutzung von externen Servern (auch vom Schulträger), Cloud-Dienste
- Nutzung von Software, welche webbasiert (über Internet oder Intranet) zur Verfügung gestellt wird
- Wartungsdienstleistungen an IT-Systemen, wenn die Verarbeitung von personenbezogenen Daten dafür erforderlich ist
- Entsorgung von Akten oder Datenträgern durch externe Unternehmen
- Beauftragung eines Schulfotografen
Entscheidend für das Vorliegen einer Auftragsverarbeitung ist, dass der Auftragnehmer keinen eigenen Beurteilungs- oder Entscheidungsspielraum hat. Insofern bleibt die Schule als Auftraggeberin weiterhin „Herrin“ ihrer Daten und der Auftragnehmer führt die Datenverarbeitung in völliger Weisungsabhängigkeit durch.
Eine Datenweitergabe im Rahmen der Auftragsverarbeitung stellt keine Datenübermittlung dar, da das Handeln des Auftragnehmers dem Auftraggeber zugerechnet wird und der Auftragsverarbeiter lediglich als „verlängerter Arm“ der Schule tätig wird. Es bedarf insofern keiner (eigenen) Rechtsgrundlage für die Weitergabe an den Auftragnehmer.
Wenn es sich um „mehr“ als Auftragsverarbeitung handelt, d.h. dem Auftragsverarbeiter ein eigener Entscheidungsspielraum zusteht, muss eine Rechtsgrundlage für die Datenweitergabe vorliegen (z.B. § 31 Abs. 4 Nr. 1 NSchG (Agentur für Arbeit), § 31 Abs. 6 NSchG (Meldebehörde) usw.) und es muss kein Vertrag über Auftragsverarbeitung geschlossen werden.
Was bedeutet das für die Schulen?
Für die Auftragsverarbeitung ist ein Vertrag zwischen der Schule (Verantwortlicher) und dem Auftragsverarbeiter zu schließen. Bestehende Verträge sind an das geltende Recht anzupassen.
Darüber hinaus ändert eine AV nichts an der Pflicht der Schule, ein Verzeichnis der Verarbeitungstätigkeiten zu führen und das per ADV genutzte Verfahren darin zu dokumentieren.