Was müssen Schulen beachten, wenn sie LernSax einsetzen (Checkliste DSGVO)?
Was müssen Schulen beachten, wenn sie LernSax (oder eine andere Lernplattform) einsetzen (Checkliste DSGVO)?
☐ Vertrag über Auftragsverarbeitung
Vertrag über Auftragsverarbeitung nach DSGVO mit dem LaSuB schließen, der den technischen Betrieb, den technischen Support und ggf. den Nutzersupport für die Lernplattform leistet.
Der Dienstleister muss als Anlage des Vertrages eine Dokumentation der technischen und organisatorischen Maßnahmen (TOM) vorlegen, mit denen er die personenbezogenen Daten der Nutzerinnen und Nutzer der Lernplattform im Auftrag der Schule schützt.
☐ Verarbeitungsverzeichnis-Eintrag für die Lernplattform im Verzeichnis der Schule
Der Verarbeitungsverzeichniseintrag dokumentiert ale Asoekte der Datenverarbeitung mit LernSax durch die Schule
☐ Technische und organisatorische Maßnahmen der Schule (TOM Schule)
Technische und organisatorische Maßnahmen der Schule zum Schutz der personenbezogenen Daten auf der Plattform sind dokumentieren und aktuell halten.
Diese Dokumentation wird Teil Ihres Verarbeitungsverzeichnis-Eintrages für die Lernplattform.
☐ Nutzungskonzept
Dazu gehört auch die Dokumentation, welchen Rollen welche Plattformfunktionen mit welchen Berechtigungen in welchen Arbeitsbereichen der Plattform zur Verfügung stehen. Der Verarbeitungsverzeichnis-Eintrag der Lernplattform greift die freigegebenen Nutzerfunktionen mit den in ihnen verarbeiteten Datenkategorien auf.
Diese Dokumentation wird ebenfalls Teil Ihres Verarbeitungsverzeichnis-Eintrages für die Lernplattform.
☐ Datenschutz-Folgenabschätzung (fakultativ)
Ggf. ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vor Beginn der Nutzung durchzuführen, zu dokumentieren und bei Änderungen auf der Lernplattform (z.B. Rechte, freigeschaltete Nutzerfunktionen, technische und organisatorische Maßnahmen) aktuell halten. Der schulische Datenschutzbeauftragte muss die Durchführung der Datenschutz-Folgenabschätzung unterstützen.
Eine Datenschutz-Folgenabschätzung ist allerdings nur erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat und daher für die Nutzung von LernSax im Rahmen seiner AGB nicht erforderlich.
☐ Freiwillige Einwilligung einiger Nutzergruppen
Vor Beginn der Nutzung (d.h. vor Anlage von Nutzerzugängen) die schriftliche, informierte und freiwillige Einwilligung von Betroffenen einholen und dokumentieren, sofern diese erforderlich ist.
Siehe dazu auch Einwilligung in die LernSax-Nutzung
☐ Recht auf Auskunft
Betroffenenanfragen vorbereiten und schulinterne Abläufe zur Beantwortung definieren, insbesondere in Bezug auf das Recht auf Auskunft nach Art. 15 DSGVO.