Die Datenschutz-Grundverordnung sieht als zentrale Rolle den/die Verantwortliche/n für die Datenverarbeitung („controller“, Art. 4 DSGVO, https://gdprinfo.eu/en-article-4). Verantwortlich für die Datenverarbeitung an Schulen ist die Schulleitung (siehe Verwaltungsvorschrift des Kultusministeriums über den Datenschutz an öffentlichen Schulen, Abs. 1, http://www.landesrecht-bw.de/jportal/portal/t/bdr/page/bsbawueprod.psml/action/portlets.jw.MainAction?p1=3&eventSubmit_doNavigate=searchInSubtreeTOC&showdoccase=1&doc.hl=0&doc.id=VVBW-VVBW000030898&doc.part=G&toc.poskey=#focuspoint)
Wer im Sinne der DSGVO verantwortlich ist, hat dafür zu sorgen, dass die Verarbeitung personenbezogener Daten entsprechend der Schutzmaßnahmen der DSGVO stattfindet. Verantwortliche müssen nicht alle Formalitäten selbst durchführen, sie müssen aber dafür sorgen, dass alle Vorgaben umfassend erledigt werden. Dazu gehören:
- Anfertigung eines Verzeichnisses der Verarbeitungstätigkeiten (Vorlagen dazu finden sich beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Verzeichnis_Verarbeitungstaetigkeiten.html
- Umsetzung und Dokumentation technisch-organisatorischer Maßnahmen (https://www.datenschutz-wiki.de/Muster_Auftragsdatenverarbeitung_Anlage_TOM)
- Bei einer Datenverarbeitung mit potenziell hohen Risiken für die „Rechte und Freiheiten natürlicher Personen“ die Anfertigung einer Datenschutz-Folgenabschätzung (Abs. 1.9 Verwaltungsvorschrift des Kultusministeriums über den Datenschutz an öffentlichen Schulen http://www.landesrecht-bw.de/jportal/portal/t/f1t/page/bsbawueprod.psml/action/portlets.jw.MainAction?p1=o&eventSubmit_doNavigate=searchInSubtreeTOC&showdoccase=1&doc.hl=0&doc.id=VVBW-VVBW000030892&doc.part=S&toc.poskey=#focuspoint).