Logo Bildungsland NRW - Bildungsportal

Einzelne wesentliche Regelungsbereiche der Datenschutz-Grundverordnung

Der bzw. die für die Verarbeitung von personenbezogenen Daten Verantwortliche (Schulleitung; ZfsL-Leitung) hat ein Verzeichnis über alle Verarbeitungstätigkeiten, die seiner bzw. ihrer Zuständigkeit unterliegen, zu führen. Das Verzeichnis bezieht sich somit nicht mehr (wie das frühere Verfahrensverzeichnis) auf ein einzelnes automatisiertes Verfahren, sondern auf alle Tätigkeiten zur Verarbeitung personen-bezogener Daten. Dies soll der strukturierten Datenschutzdokumentation und als Nachweis der Einhaltung der Vorgaben aus der DSGVO dienen (Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO).

Das neue Verzeichnis erfordert im Wesentlichen die gleichen Angaben, wie das frühere Verfahrensverzeichnis. Daher reichte es grundsätzlich zunächst aus, die vorhandenen Verfahrensverzeichnisse vom Verantwortlichen gesammelt vorzuhalten und die Datenverarbeitung damit insgesamt nachweisbar zu dokumentieren.

Sofern jedoch die frühere Dokumentation unzureichend war sowie bei neuen Datenverarbeitungen, ist das Verzeichnis der Verarbeitungstätigkeiten gemäß der DSGVO zu erstellen bzw. zu ergänzen. 

Dazu hatte das MSB die Medienberatung NRW beauftragt, ein soweit wie möglich vorausgefülltes Muster-Verzeichnis für die Datenverarbeitungen in Schulen zu erstellen. Dieses ist mit Praktikern aus den Schulen und in Abstimmung mit dem MSB erarbeitet worden. Zur Unterstützung der Schulen wird es hiermit als Hilfestellung bereitgestellt:

Teil I dient der Schule für Ergänzungen entsprechend ihrer individuellen Vorgehensweisen und Systeme. Teil II stellt eine Referenz dar, die in ihrer jeweils aktuellen Version als Bestandteil des jeweiligen schulischen Verzeichnisses zu Grunde gelegt werden kann.

Für andere öffentliche Stellen ist ein Muster auf der Homepage der LDI eingestellt. Zusätzlich wird es hier als ausfüllbares Word-Dokument zur Verfügung gestellt.

Auf der Homepage der LDI sind hierzu ergänzende Informationen eingestellt, vgl. Ziffer 6.7 und 6.8 der Hinweise.

Zwar sind die Datenschutzbeauftragten zur Vorabkontrolle des Verzeichnisses nicht mehr konkret gesetzlich verpflichtet. Gleichwohl wird den Schulleitungen empfohlen, sie weiterhin um Prüfung neuer Dokumentationen zu bitten. Dies unterfällt dem Beratungsrecht der Schulleitungen bzw. der korrespondierenden Pflicht der Datenschutzbeauftragten.      

Entsprechendes gilt für die Genehmigung zur Nutzung von privaten ADV-Geräten der Lehrkräfte:

Der Genehmigungsvordruck, der mit der Dienstanweisung (BASS 10-41 Nr. 4) zur Verfügung gestellt worden ist, sieht noch die Dokumentation der Vorabkontrolle nach früherer Rechtslage vor. Hierzu wird ebenfalls empfohlen, die Datenschutzbeauftragten weiterhin im Wege der Beratung einzubeziehen und dies vom Verantwortlichen (Schulleitung oder ZfsL-Leitung) entsprechend dort im Vordruck zu vermerken.

Die bzw. der Datenschutzbeauftragte ist nicht mehr zur schriftlichen Prüfungsbestätigung verpflichtet.

Der europäische Gesetzgeber hat die für die Datenverarbeitung Verantwortlichen verpflichtet, unter bestimmten Voraussetzungen eine DSFA durchzuführen (Art. 35 DSGVO). Dabei handelt es sich um eine aufwändige, systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung sowie die Beschreibung und Beurteilung der Risiken und der Abhilfemaßnahmen zur Risikoeindämmung.

Nach den Regelbeispielen im Verordnungstext ist dies jedoch insbesondere bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen, die aufgrund u.a. Art und Umfang voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben (z.B. systematisches Profiling; kommunale Meldedaten; umfangreiche behördliche Erhebungen im Zuge der Bewilligung von Sozialleistungen).

Angesichts von Umfang und Art der auf Ebene einer Einzelschule üblichen Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke besteht nach hiesiger Einschätzung in der Regel keine Verpflichtung der Schulleitung, eine DSFA durchzuführen.

Ohnehin sind Verfahren, die bei Inkrafttreten der DSGVO bereits angewendet wurden, von einer DSFA ausgenommen, wenn zuvor bereits ein Verfahrensverzeichnis erstellt war, die seinerzeitige Vorabkontrolle durch den Datenschutzbeauftragten erfolgte, der Verarbeitungsvorgang noch immer auf dieselbe Art durchgeführt wird und sich das mit dem Verarbeitungsvorgang verbundene Risiko nicht geändert hat.

Zur Erfüllung der Grundsätze einer fairen und transparenten Verarbeitung personenbezogener Daten ist mit der DSGVO die Verpflichtung vorgegeben, dass die bzw. der Verantwortliche den betroffenen Personen zum Zeitpunkt der Erhebung mitteilt, zu welchen Zwecken die Daten verarbeitet werden, Name und Kontaktdaten der Verantwortlichen, u.v.m. Schulleitungen sind somit in der Pflicht, von sich aus unaufgefordert die Betroffenen - insbesondere Schüler, Eltern und Lehrkräfte - über die schulischen Datenverarbeitungen zu informieren.

1. Dokumentation

Die erforderlichen Informationen, z.B. zu den Zwecken der Datenverarbeitung, Speicherdauer u.ä., sind im Schulbereich bereits detailliert und umfassend in den VO-DV I und VO-DV II enthalten; es ist nicht möglich, diese Angaben nochmals gesondert in Kurzform in diesem Vordruck zusammenzufassen. Daher ist es zweckmäßig und ausreichend, wenn mittels Link auf die ausführlichen Vorgaben der VO-DV I und II verwiesen wird.

Für Schulen und ZfsL sind entsprechende Angaben, soweit dies zentral und generalisierend möglich ist, als Hilfestellung bereits in den Muster-Informationsdokumenten ausgefüllt und werden nachfolgend als bearbeitbare Word-Dokument bereitgestellt. Eintragungen sind nur noch an den kursiv in Klammern kenntlich gemachten Stellen erforderlich. 

Dabei ist zu differenzieren zwischen den Informationen, die für

  • Eltern, Schülerinnen und Schüler   und
  • Personal an Schulen einschließlich Personen am ZfsL

bereitgestellt werden müssen. Für jede der beiden Personengruppen ist jeweils ein Muster auszufüllen.

Ergänzend wird hingewiesen auf die Umsetzungshilfe der LDI unter: Information über die Erhebung von personenbezogenen Daten nach Art. 13, 14 und 21 Datenschutz-Grundverordnung (nrw.de).

2. Praktische Umsetzung

Um die Informationspflichten ohne unverhältnismäßigen Verwaltungsaufwand praktikabel zu erfüllen, ist es zweckmäßig, diese grundsätzlichen Informationsdokumente ausgefüllt auf der Homepage der jeweiligen Schule zu veröffentlichen.

Die DSGVO verlangt allerdings, dass im Zeitpunkt der Datenerhebung über die Datenverarbeitung informiert wird. Dieser Pflicht kann auf folgende Weise nachgekommen werden:

Schülerinnen und Schüler

  • Anlässlich der Anmeldung einer Schülerin oder eines Schülers an einer Schule ist den Eltern bzw. dem volljährigen Schüler oder der Schülerin das Informationsdokument (zu Art. 13 und Art. 14 DSGVO) und ein Papierausdruck der VO-DV I auszuhändigen. Alternativ kann ein Schreiben ausgehändigt werden, in dem auf das bereitgestellte Informationsdokument und die Verordnung hingewiesen sowie der entsprechende Zugangslink auf der Schulhomepage mitgeteilt wird.
  • Aber auch von Schülerinnen und Schülern, die sich bereits im Schulverhältnis befinden, werden im Schulalltag fortlaufend Daten erhoben (z.B.: Notenvergabe; Schulpflichtüberwachung, u.a.). Für sie muss ebenfalls sichergestellt werden, dass sie darüber informiert werden, wie ihre Daten verarbeitet werden. Die bloße Möglichkeit der Kenntnisnahme der Informationen aus der Schulhomepage reicht dazu nicht aus. Es empfiehlt sich daher, in jedem Schuljahr, z.B. in den Einladungen zur Versammlung der Klassen-/Jahrgangsstufenpflegschaft, insbesondere zu Schuljahresbeginn den Hinweis auszubringen, dass die nach DSGVO notwendigen Informationen über die Verarbeitung der Schülerdaten auf der Schulhomepage veröffentlicht sind. Zudem sollte angeboten werden, dass bei Bedarf auch ein Ausdruck des Informationsdokuments sowie der VO-DV I im Schulsekretariat abgeholt werden kann. Die bzw. der Datenverantwortliche muss nachweisen können, dass die Information auf diesem Wege angeboten wurde; dazu bietet sich z.B. das übliche Verfahren an, dass die o.g. Einladungen gegen Empfangsbestätigung der Erziehungsberechtigten ausgegeben werden.     
  • Zudem ist es zweckmäßig, bei der Beantwortung von E-Mails von Eltern, Schülerinnen und Schülern standardmäßig unter der Signatur einen Hinweis auszubringen, dass Informationen über die Verarbeitung personenbezogener Daten durch die Schule in der Datenschutzerklärung und dem Informationsdokument auf der Homepage zu finden sind (Erklärung und Dokument verlinken).

Lehrkräfte und sonstiges sozial-/pädagogisches Personal im Landesdienst

Den Lehramtsanwärterinnen und Lehramtsanwärtern und Lehrkräften in Ausbildung ist bei Aufnahme der Ausbildung im ZfsL ein Exemplar des Informationsdokuments und der VO DV II auszuhändigen oder nachweisbar die elektronische Zugangsmöglichkeit mitzuteilen.        

An der Schule tätige Personen müssen ebenfalls nachweisbar auf die Informationen, die auf der Schulhomepage veröffentlicht sind, hingewiesen werden sowie auf die Möglichkeit, bei Bedarf ein ausgedrucktes Exemplar des Informationsdokuments sowie der VO-DV II ausgehändigt zu bekommen.   

3. Information der Homepage-Besucher; Datenschutzhinweise

Die Informationspflicht gemäß Artikel 13 DSGVO besteht auch gegenüber Personen, die die Homepage von Schulen nutzen. Sofern auf der Homepage einer Schule Cookies, Besucherzähler, Fragebögen o.ä. eingerichtet sind und in der Schule somit Daten von Personen, die die Homepage besucht haben, verarbeitet werden, muss auch ein Hinweis erfolgen, ob und wie bei Zugriff auf das Homepageangebot personenbezogene Daten verarbeitet werden. Entsprechend der Zielsetzung der DSGVO, Transparenz im Umgang mit den Daten zu erreichen, müssen Besucher der Webseite informiert werden, was im Hintergrund mit ihren Daten geschieht.           

Weitere Informationen zum Betrieb einer Homepage sowie ein Muster einer Datenschutzerklärung finden sich in dieser FAQ unter dem Stichwort "Schulhomepage".

Wenn eine andere Stelle mit der Verarbeitung von personenbezogenen Daten beauftragt wird, ist hierüber gem. Art. 28 DSGVO i.V.m. § 2 Abs. 3 VO-DV I bzw. § 3 VO-DV II ein Vertrag mit dem Auftragsverarbeiter zu schließen. Nähere Informationen über die Auftragsverarbeitung können dem Kurzpapier der Datenschutzkonferenz auf der Homepage der LDI entnommen werden unter: DSK_Nr_13_Auftragsverarbeitung_Lizenzvermerk (datenschutzkonferenz-online.de)[SU1] 

Hierzu hat die EU-Kommission im Juni 2021 gem. Art. 28 Abs. 7 DSGVO Standardvertragsklauseln festgelegt. Zwar können die bzw. der Verantwortliche und der Auftragsverarbeiter individuell Verträge aushandeln.
Jedoch erleichtert die Verwendung dieser standardisierten und vorformulierten Musterklauseln eine einheitliche rechtskonforme Vertragsgestaltung sowie die rechtssichere Auftragsverarbeitung der Daten.

Die Verwendung der Standardvertragsklauseln ist daher zu empfehlen. Sie sind mit den entsprechenden vollständigen Beschluss hier als Word-Dokument zur Verfügung gestellt.

Kommt es bei der Verarbeitung von personenbezogenen Daten zu einer Schutzverletzung, sehen die Art. 33 und 34 DSGVO unter bestimmten Voraussetzungen eine Meldepflicht an die LDI vor und ggf. zusätzlich die Information der von der Datenschutzverletzung Betroffenen.

Solche Datenschutzpannen können beispielsweise der Diebstahl oder sonstige Verlust von Datenträgern sein, oder dass durch Nutzen einer falschen E-Mail-Adresse oder eines falschen Ablagesystems bestimmte Daten unbefugten Personen zugänglich gemacht wurden, bis hin zum extremen Fall des Datenhackens. 

Jede Datenschutzpanne ist nach Maßgabe des Art. 33 Abs. 5 DSGVO nachweisbar zu dokumentieren, d.h., alle relevanten Fakten, Auswirkungen und die ergriffenen Abhilfemaßnahmen.

Ob den Verantwortlichen darüber hinaus eine weitere Pflicht trifft, hängt von folgenden Kriterien ab: 

1. Meldepflicht an die LDI (Art. 33 DSGVO)

Eine Meldung muss erfolgen, sofern die Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann.

Es ist also eine Risikoabwägung erforderlich. Wenn kein oder nur ein geringes Risiko besteht, ist die Datenpanne nicht meldepflichtig; dies ist begründend zu dokumentieren. Die LDI gibt zur Risikoeinschätzung Hinweise und Empfehlungen unter  

Meldepflicht für Verantwortliche - Verletzungen des Schutzes personenbezogener Daten | LDI - Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (nrw.de)

Auch eine Veröffentlichung der DSK gibt hierzu Abwägungshilfen: DSK_Nr18_Risiko_Lizenzvermerk (datenschutzkonferenz-online.de).

Von einer Meldepflicht ist im Regelfall auszugehen, wenn die Datenschutzverletzung besondere Kategorien von personenbezogenen Daten betrifft (Art. 9 DSGVO, z.B. sonderpädagogische Fördergutachten) oder bei Daten über schulische Leistungen, wie z.B. Noten, Kompetenzen, Beurteilungen, usw.

Die Meldung der Datenpanne muss innerhalb von 72 Stunden erfolgen. Ein evtl. Verzögern der Meldung ist schriftlich zu begründen. Wenn innerhalb dieser Zeitspanne noch nicht sämtliche für die Meldung erforderlichen Informationen vollständig vorliegen, hat die Meldung zunächst soweit möglich zu erfolgen und die relevanten Informationen sind schrittweise nachzureichen (vgl. Art. 33 Abs. 4 DSGVO).

Für die Meldung mit den dazu erforderlichen Inhalten hat die LDI ein Webformular bereitgestellt unter https://ldi-fms.nrw.de/lip/action/invoke.do?id=Datenschutzverletzung.

2. Information der Betroffenen (Art. 34 DSGVO)

Neben der o.g. Meldungsobliegenheit kann die Pflicht bestehen, die Betroffenen über die Datenschutzverletzung zu informieren.

Dies ist davon abhängig, ob die Datenschutzpanne voraussichtlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt. Relevant ist somit das Ergebnis der erforderlichen o.g. Risikoeinschätzung. Ein starkes Indiz für ein hohes Risiko sind die Daten besonderer Kategorien nach Art. 9 DSGVO (z.B. Gesundheitsdaten, Daten über die ethnische Herkunft).

Bei festgestellten hohen Risiko sind die Betroffenen in klarer und einfacher Sprache über die Kontaktdaten der bzw. des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle zu informieren, sowie über die konkrete Schutzverletzung,
wahrscheinlichen Folgen und die dagegen bereits ergriffenen Maßnahmen.

Die Benachrichtigungspflicht entfällt gem. Art. 34 Abs. 3 DSGVO nur dann, wenn durch geeignete Sicherheitsvorkehrungen der unbefugte Zugang auf die personenbezogenen Daten praktisch unmöglich ist (z.B. durch Verschlüsselung der Daten) oder wenn durch geeignete Gegenmaßnahmen das hohe Risiko bereits beseitigt wurde.

Sollte die Benachrichtigung aller Betroffenen mit einem unverhältnismäßigen Aufwand verbunden sein (z.B. bei einer sehr hohen Anzahl von Betroffenen), kann stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zur vergleichbar wirksamen Information erfolgen.


Zur Risikobewertung bei Datenschutzverletzungen sollte unbedingt die bzw. der Datenschutzbeauftragte einbezogen werden.

Auf der Homepage der LDI sind vielfältige ergänzende Informationen, FAQ-Listen und Kurzpapiere zu einzelnen Themen eingestellt.

Im Übrigen besteht im Bereich des Datenschutzrechts die etablierte Unterstützungsstruktur durch die behördlichen Datenschutzbeauftragten für Schulen, die Medienberaterinnen und Medienberater, die Medienberatung NRW sowie die zuständige Schulaufsicht.