Ja.
Die Rechtsgrundlage der digitalen Erfassung von Schülerdaten konnte abschließend geklärt werden. Nachdem durch die Änderung des §85 des Schulgesetzes BW, eine digitale Anmeldung ausdrücklich erlaubt ist, konnte auch Klarheit, wie der Artikel 6 lit. e EU-DSGVO auszulegen ist, erreicht werden. Schulen müssen demnach kein berechtigtes Interesse vorweisen, sondern sind in Erfüllung Ihrer hoheitlichen Aufgaben schlichtweg berechtigt, personenbezogene Daten digital zu erfassen, die für die Aufnahme neuer Schüler und die Organisation des Schulalltags notwendig sind.
Ja. Die Anwendung selbst und die vertraglichen Rechte und Pflichten sind in einem Auftragsdatenverarbeitungsvertrag (AVV) nach DSGVO nach Art. 28 der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) geregelt. Rein technisch entspricht die Anwendung (ssl-Verschlüsselung, dezidierte Bestätigung durch den Anmeldenden mittels 2-Faktor-Authentifizierung, automatische Löschung nicht dezidiert bestätigter Daten nach 24 Stunden, umfassender Zugangsschutz durch Benutzername und sichere Passwörter, detailliert dokumentierter Serverstandort in Deutschland) sowohl verfahrenstechnisch als auch serverseitig und in der Dokumentation der Prozesse vollständig den DSGVO–Anforderungen.
Diese sind im übrigen auch wesentlicher Bestandteil der Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen vom 25.11.2009 und dem Landesdatenschutzgesetz vom 18.09.2000.
Ja, mit SuSiForms kann man auch einen zweistufigen Anmeldeprozess abbilden – zunächst mit wenigen Daten, dann im zweiten Schritt mit vollständigen Daten. Statt mehr Aufwand, haben Sie weniger.
Der gesamte Prozess kann bis zur endgültigen Zusage nach vollständiger Datenerfassung über unser System erfolgen, denn es kommuniziert automatisiert mit den Anmeldenden. Der Import in ASV erfolgt dann nach dem Versand der endgültigen Zusagen.
Allerdings haben wir nachdem uns die Nachricht erreichte, nochmal in der DSGVO geblättert... Die Notwendigkeit eines solchen, ohne passende Software sehr aufwändigen Vorgehens können wir daraus nicht ablesen. Im Gegenteil: der Behördenpassus in Art 6.1 DSGVO gibt Schulen gerade eine erweiterte Datenerfassungserlaubnis (in Ausübung der hoheitlichen Aufgaben).
Nein. Bei minderjährigen Schülern benötigen die Schulen nach wie vor eine schriftliche Einverständniserklärung durch die Erziehungsberechtigten. Das dafür notwendige Formular generiert das System inkl. der Angaben zu erforderlichen Anlagen selbst – das erleichtert den Prozess bei der Einschreibung. Darüber hinaus obliegt es nach wie vor der Schule, die Anmeldung rechtsverbindlich nach Prüfung der Zugangsvoraussetzungen zu bestätigen. Es handelt sich bei der Anmeldeplattform also eher um eine Handling-Erleichterung bei der Erfassung der Schüler- und Elterndaten, als um eine Anmeldung im eigentlichen Sinne. Wir empfehlen, dies auch in der automatisierten E-Mailkommunikation mit den Interessenten so zu formulieren.
Solange sich die Daten auf den SuSiForms Servern befinden, haften wir als Anbieter für grobe Fahrlässigkeit und evtl. Datenmissbrauch.
Sollten die Daten durch Fehlbedienungen der Anwender (nicht beachten der Regeln für sichere Passwörter o.ä.) nicht sicher sein, haftet der Anwender.
Erst wenn die Daten exportiert werden, sind die Schulen für die Sicherheit der Daten verantwortlich.
Nein. Wenn Sie jetzt Papierformulare mit persönlichen Daten erheben und diese nach mühevoller händischer Eingabe intern elektronisch verarbeiten, haften die Schulleitungen genauso für die Sicherheit der persönlichen Daten, wie nach dem Export der Daten aus der Online-Anmeldeplattform SuSiForms. Wie bisher benötigen Sie für die Abläufe nachweisbare Prozesse und Dokumentationen wie in jedem guten Qualitätsmanagementsystem (beispielsweise bei OES) vorgesehen.
Wir nutzen zur Sicherheit des automatisierten E-Mailverkehrs und um die Updates zu vereinfachen Subdomains der Haupotdomain schulanmeldungen.com.. Die Systemarchitektur ist auf der Seite "Systemarchitektur" beschrieben. Die Zurverfügungstellung der Subdomain und das Hosting der Seite ist ein Service von uns, der in der Lizenzgebühr enthalten ist.
Die Seite selbst, ist wie die Haupt-Website der Schulen zu sehen: Als Bestandteil der Schulkommunikation für deren Inhalt ausschließlich die Schulen bzw. die Schulleitungen verantwortlich sind. Die Seiten tragen das Logo der Schulen, die verwendeten Farben sind CI-Bestandteil der Schulen. Die inhaltliche Verantwortung ist selbstverständlich auch in Impressum und Datenschutzerklärung ausgewiesen. Impressum und Datenschutzerklärung sind integraler Bestandteil der Anwendung. Damit wird es jedem Besucher der Webseite gegenüber eindeutig kommuniziert.
Im Impressum findet sich lediglich ein Hinweis darauf, dass die Seiten unsere Software nutzen.