DSGVO für Schulen, Teil 7: Datensicherheit – Technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOM) sollen vor unbefugter und unrechtmäßiger Verarbeitung personenbezogener Daten schützen. Schulen müssen sicherstellen, dass Produkte und Dienste ebenso wie Cloud-Services nach den Anforderungen der DSGVO datenschutzkonform sind. Oft sind jedoch die räumlichen und technischen Voraussetzungen in den Schulen nicht gegeben.

Nach Artikel 25 der DSGVO ist unter Berücksichtigung des Stands der Technik sicherzustellen, dass die Integrität und Vertraulichkeit personenbezogener Daten gewahrt ist (Datenschutz durch Technikoptimierung). Technische und organisatorische Maßnahmen sollen vor unbefugter und unrechtmäßiger Verarbeitung schützen. Schulen müssen daher den Zugriff auf Server mit personenbezogenen Daten streng reglementieren und eine elektronische Zugangskontrolle einrichten, damit unbefugte Personen nicht zugreifen können.

Datenverarbeitung in der Schulverwaltung und Cloud-Dienste überprüfen

Die Technik muss so gestaltet sein, dass der Datenschutz gewährleistet ist, ebenso Produkte und Dienste, die in der Verwaltung der Schule, in der Organisation und im Unterricht eingesetzt werden. Die Schule muss gängige Produkte der Datenverarbeitung in der Schulverwaltung sowie mögliche Auftragsdatenverarbeiter (Cloud-Dienste) überprüfen, ob sie die Anforderungen des Datenschutzes erfüllen und nur die Daten erfassen, die für ihre Zwecke erforderlich sind.

Nach Artikel 32 der DSGVO orientiert sich das Sicherheitsniveau am konkreten Schutzbedarf der Daten. Dieser ist in Schulen hoch, weil Daten von Minderjährigen verarbeitet werden. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten muss ein dem Risiko angemessenes Schutzniveau geschaffen werden.

IT-Sicherheitskonzept und Backup

Die DSGVO bietet Interpretationsspielraum. Es empfiehlt sich jedoch, ein IT-Sicherheitskonzept zu erstellen, das Backup-Pläne enthält, damit ausgefallene Systeme schnell wieder einsatzbereit sind. Grundsätzlich müssen alle Beschäftigten einer Schule über die Vertraulichkeit von Daten unterrichtet und regelmäßig unterwiesen werden.

Auftragsdatenverarbeiter (Cloud-Dienste) müssen ihre Sicherheitsmaßnahmen vorweisen und nachprüfbar dokumentieren. Große Anbieter verfügen über entsprechende Unterlagen und Zertifikate.

Räumliche und technische Strukturen überprüfen

Einige Maßnahmen können im Schulalltag nicht umgesetzt werden, weil räumliche wie technische Strukturen den Anforderungen der DSGVO nicht entsprechen. Nicht einmal die Zugangskontrolle zur schulischen IT über eine Benutzerkennung ist in allen Schulen implementiert.

Weitere Aspekte der TOM: Verfügt die Schule über eine Zugriffs- und Eingabekontrolle für IT-Systeme? Gibt es ein Berechtigungskonzept für den Zugriff auf Daten? Werden nur verschlüsselte USB-Sticks eingesetzt (Kontrolle der Weitergabe von Daten)? Wird für den Zugriff auf Daten eine sichere VPN-Verbindung genutzt und welche Software wird in der Verwaltung eingesetzt? Gibt es Fehlerkontrollen und ein Back-up-Konzept (Verfügbarkeitskontrolle), damit Daten vor Zerstörung und Verlust geschützt sind? Ist die interne und externe Datensicherung verschlüsselt, im Extremfall in verschiedenen Brandabschnitten? Stellt eine Auftragskontrolle sicher, dass Dienstleister personenbezogene Daten gemäß DSGVO behandeln und vernichten?

 

WEITERFÜHRENDE LINKS

Über die AixConcept GmbH

AixConcept ist Experte für Schul-IT und liefert seit mehr als 14 Jahren schlüsselfertige IT-Lösungen für Bildungs-Einrichtungen. Über 1.700 Schulen und andere pädagogische Institutionen in Deutschland und dem deutschsprachigen Ausland erhalten Beratung, Konzept, Umsetzung und Wartung aus einer Hand. Aus der Firmenzentrale in Aachen und mit Partnern sorgt AixConcept für einen reibungslosen Betrieb der Schul-Netzwerke und ist führender Lieferant für Schul-IT im deutschen Markt.

www.aixconcept.de

Firmenkontakt und Herausgeber der Meldung:

AixConcept GmbH
Wallonischer Ring 37
52222 Stolberg
Telefon: +49 (2402) 38941-0
Telefax: +49 (2402) 38941-30
http://www.aixconcept.de

Ansprechpartner:
Sabine Faltmann
Pressekontakt AixConcept
Telefon: +49 (241) 5707-3570
Fax: +49 (241) 9199-9393
E-Mail: aixconcept@faltmann-pr.de
Volker Jürgens
Geschäftsführer von AixConcept
Telefon: +49 (2408) 709932
E-Mail: vjuergens@aixconcept.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.