Referenz-Verzeichnis der Verarbeitungstätigkeiten für Schulen
Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO
Der für die Datenverarbeitung einer öffentlichen Stelle Verantwortliche hat ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen. Für Schulen ist der Verantwortliche der Schulleiter bzw. die Schulleiterin. Das Verzeichnis dokumentiert alle Verarbeitungstätigkeiten, die seiner bzw. ihrer Zuständigkeit unterliegen.
"Verzeichnis der Verarbeitungstätigkeiten" und "Verfahrensverzeichnis"
Das neue "Verzeichnis der Verarbeitungstätigkeiten" gemäß DSGVO bezieht sich nicht mehr, wie das frühere Verfahrensverzeichnis, auf ein einzelnes automatisiertes Verfahren, sondern auf alle Tätigkeiten zur Verarbeitung personenbezogener Daten. Es soll der strukturierten Datenschutzdokumentation und als Nachweis der Einhaltung der Vorgaben aus der DSGVO dienen (Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO).
Das neue Verzeichnis erfordert im Wesentlichen die gleichen Angaben, wie das bisherige Verfahrensverzeichnis. Daher wird es nicht für erforderlich gehalten, bestehende Verfahrensverzeichnisse durch ein neues Verzeichnis zu ersetzen. Es reicht vielmehr grundsätzlich zunächst aus, wenn die vorhandenen Verfahrensverzeichnisse vom Verantwortlichen gesammelt vorgehalten werden und die Datenverarbeitung damit insgesamt nachweisbar dokumentiert ist. Sofern jedoch die bisherige Dokumentation unzureichend war, ist das Verzeichnis der Verarbeitungstätigkeiten gemäß der DSGVO zu erstellen.
Die in dem Verzeichnis anzugebenden technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 Abs.1 DSGVO entsprechen im Wesentlichen den Angaben, die auch bislang schon in dem bisherigen Verfahrensverzeichnis (unter Teil B Sicherheitskonzept) auszufüllen waren. Auf der Hompage der LDI sind hierzu ergänzende Informationen eingestellt: vgl. Ziffer 6.7 und 6.8 der Hinweise (PDF, 334 KB) .
Vorabkontrolle
Die bisherige Pflicht gem. §§ 8, 10 DSG NRW, ein Verfahrensverzeichnis zur Führung und Einsichtnahme bei den behördlichen Datenschutzbeauftragten zu erstellen und ihnen das Verzeichnis zur Vorabkontrolle vorzulegen, entfällt. Die enge Zusammenarbeit mit den zuständigen behördlichen Datenschutzbeauftragten bei der Prüfung neuer Dokumentationen wird jedoch empfohlen.
Referenz - Verzeichnis der Verarbeitungstätigkeiten für Schulen
Die Medienberatung NRW hat im Auftrag des Ministeriums für Schule und Bildung NRW und in Zusammenarbeit mit Praktikern aus den Schulen ein soweit wie möglich vorausgefülltes Muster-Verzeichnis für die Datenverarbeitungen in Schulen erstellt. Es soll der Unterstützung der Schulen sowie der behördlichen Datenschutzbeauftragten dienen.
Das Muster besteht aus zwei Teilen.- Teil I ist von der Schule entsprechend ihrer individuellen Vorgehensweisen und eingesetzten Systeme zu ergänzen. Als Hilfestellung ist in der Datei ein Beispiel enthalten.
-
Download Teil I - Schule (XLSX, 20 KB)
(MD5-Dateisignatur: 172d7b8096cc6cd2536edeedf98d2b5c)
-
Download Teil I - Schule (XLSX, 20 KB)
- Teil II stellt eine Referenz dar, die in ihrer jeweils aktuellen Version als Bestandteil des schulischen Verzeichnisses (Teil I) zu Grunde gelegt werden kann. Diese Datei muss nicht editiert werden und kann schreibgeschützt geöffnet werden.
-
Download Teil II - Referenz (XLSX, 33 KB)
(MD5-Dateisignatur: 91f687599e2467cde7aec57bcd17a0bc)
-
Download Teil II - Referenz (XLSX, 33 KB)