Projekthintergrund

Weshalb braucht es
directions?

Digitale Lernplattformen, Lernanwendungen und Content-Plattformen verarbeiten täglich personenbezogene Daten von Schülerinnen und Schülern. Die DSGVO gibt dabei klare Anforderungen vor – doch die Sachverhalte sind komplex, und datenschutzrechtliche Expertise ist bei Schulen und Schulträgern oft nicht in ausreichendem Maß vorhanden.

Gleichzeitig fehlt es Anbietern bislang an einem anerkannten Instrument, mit dem sie ihre DSGVO-Konformität strukturiert nachweisen können. Für Schulen, Schulträger und Lehrkräfte bedeutet das: Unsicherheit bei der Auswahl digitaler Tools und ein erheblicher Aufwand bei der eigenständigen Prüfung von Datenschutzfragen.

directions schafft hier Abhilfe. Als Datenschutzzertifizierung nach Art. 42 DSGVO bietet directions ein transparentes Prüfverfahren, das Anbietern die Möglichkeit zur Selbstregulierung gibt und Schulen sowie Schulträgern die Orientierung, die sie benötigen.

Weshalb wird eine Datenschutz-Zertifizierung benötigt?

DSGVO mit einheitlichen Regelungen zur Verarbeitung personenbezogener Daten
🠖 Zertifizierung als Instrument der Selbstregulierung
Verarbeitung personenbezogener Daten beim Einsatz schulischer Lernanwendungen und Content-Plattformen
Komplexe Sachverhalte und fehlende datenschutzrechtliche Expertise
🠖 Gemeinsames Interesse an der Datenschutz-Zertifizierung

Nach welchen Vorgaben werden die Daten geschützt?

Der directions-Kriterienkatalog berücksichtigt die datenschutzrechtlichen Anforderungen auf allen relevanten Ebenen:

Europäische Ebene:
DSGVO

DSGVO Die Datenschutz-Grundverordnung bildet die zentrale Grundlage. Sie enthält einheitliche Vorgaben zur Verarbeitung personenbezogener Daten, lässt den Mitgliedstaaten aber in bestimmten Bereichen Spielräume durch sogenannte Öffnungsklauseln.

Mitgliedstaatliche Ebene:
BDSG

BDSG Das Bundesdatenschutzgesetz konkretisiert diese Spielräume etwa mit Vorgaben zur Benennung von Datenschutzbeauftragten.

Länder Ebene:
Landesschulgesetze

Landesdatenschutz- und Landesschulgesetze Die Bundesländer haben im Schulbereich eigene gesetzliche Regelungen erlassen. Diese umfassen beispielsweise besondere Anforderungen an den Einsatz von Videokonferenzsystemen.

Akkreditierung

Damit eine Stelle Datenschutzzertifizierungen nach der DSGVO ausstellen darf, muss sie akkreditiert sein. Die Akkreditierung erfolgt durch die Deutsche Akkreditierungsstelle (DAkkS) gemeinsam mit der zuständigen Datenschutz-Aufsichtsbehörde.

Akkreditierungspflicht gemäß Art. 43 Abs. 1 DSGVO:

Zertifizierungsstellen müssen sich nach der ISO/IEC 17065 i.V.m. den ergänzenden Anforderungen zur Akkreditierung nach Art. 43 Abs. 3 DSGVO akkreditieren lassen.

Art. 43 DSGVO

Was bedeutet „Akkreditierung“?

Zertifizierungsstellen weisen gegenüber einer unabhängigen Akkreditierungsstelle nach, dass sie ihre Tätigkeiten fachlich kompetent, unter Beachtung gesetzlicher sowie normativer Anforderungen und auf international vergleichbarem Niveau erbringen.

Mehr Informationen

Akkreditierungsprozess für den Bereich Datenschutz

Das Projekt Datenschutz der Deutschen Akkreditierungsstelle hat gemeinsam mit der Datenschutzkonferenz Informationen zum Akkreditierungsprozess für den Bereich Datenschutz veröffentlicht.

Wie verläuft der Akkreditierungsprozess?
Gemäß Art. 43 Datenschutz-Grundverordnung (DS-GVO) und § 39 Bundesdatenschutzgesetz (BDSG) werden Stellen, die im Datenschutzbereich zertifizieren möchten, durch die Deutsche Akkreditierungsstelle (DAkkS) zusammen mit der Befugnis erteilenden, zuständigen Datenschutz-Aufsichtsbehörde (Aufsichtsbehörde) akkreditiert. Interessierte Stellen müssen dabei sowohl die Anforderungen aus der EN-ISO/IEC 17065/2012 erfüllen, als auch ergänzende Anforderungen aus dem Datenschutzbereich. Zur Durchführung von Akkreditierungen sind insgesamt sechs Phasen vorgesehen. Diese Phasen werden im Nachfolgenden gemäß der Abbildung beschrieben.

Projekthintergrund

Weshalb braucht es
directions?

Weshalb wird eine Datenschutz-Zertifizierung benötigt?