Bei itslearning nehmen wir unsere Rolle als Datenverarbeiter sehr ernst. Unsere Plattform wird nach dem Prinzip "Privacy by Design" entwickelt – das bedeutet, Datenschutz wird von Anfang an berücksichtigt und nicht erst nachträglich. Jede neue Funktion, jedes Update und jede Integration wird anhand einer festen Datenschutz- und Sicherheitscheckliste überprüft.
Darüber hinaus führen wir gründliche Folgenabschätzungen für alle unsere Partner und Subunternehmer durch, um Schulen Sicherheit und Vertrauen zu geben, wenn sie neue Funktionen oder Tools innerhalb der Plattform nutzen.
Die Kommunen haben berichtet, dass die Lieferketten einiger Anbieter lang und komplex sein können, so dass es schwierig ist, zu verstehen, welche Daten von wem verarbeitet werden. Ein digitales Lernwerkzeug kann mehrere Subunternehmer haben, die wiederum eigene Subunternehmer einsetzen.
Einige Anwendungen werden zudem von Unternehmen außerhalb Europas bereitgestellt, was es erschwert, das Ausmaß der Verarbeitung personenbezogener Daten genau zu bestimmen.
Alle unsere Subunternehmer halten sich an die europäischen DSGVO-Standards, und die Daten von Kund:innen werden immer innerhalb Europas verarbeitet. Die Daten werden verschlüsselt, der Zugriff ist streng kontrolliert, und personenbezogene Daten werden so weit wie möglich minimiert.
"Bei itslearning gilt ein einfaches Prinzip: Weder unsere eigenen Betriebsumgebungen noch unsere Subunternehmer haben mehr Zugriff, als unbedingt notwendig ist. Die Daten von Kund:innen werden durch Verschlüsselung, Zugangskontrollen und Datenminimierung geschützt." - Daniel Manne, Security Officer bei itslearning
Eine durchschnittliche norwegische Kommune verfügt typischerweise 50-200 Systeme, die personenbezogene Daten mit hohem Risiko verarbeiten. Dies löst häufig die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DPIA) aus.
Um diese Arbeit zu vereinfachen, stellt itslearning allen Kund:innen eine zu 80 % vorab ausgefüllte DPIA für itslearning zur Verfügung. Im Einklang mit der DSGVO führen wir zudem eine kontinuierliche Dokumentation (Records of Processing Activities), die einen Überblick darüber bietet, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Dies erleichtert den Kommunen die Bearbeitung von Zugriffs- und Löschanfragen und gewährleistet eine ordnungsgemäße Dokumentation der Compliance.
Die Kommunen tragen eine enorme Verantwortung für den Schutz der Daten von Schüler:innen und Mitarbeitenden, doch vielen fehlen die Ressourcen und das Fachwissen, um diese Aufgabe zu bewältigen. Der Datenschutzbeauftragte (DSB) spielt eine entscheidende Rolle bei der Einhaltung von Datenschutzgesetzen, berät das Personal zu Best Practices und fungiert als Ansprechpartner sowohl für Behörden als auch für Einzelpersonen. In kleinen Kommunen ist diese Rolle jedoch häufig keine eigenständige Position, sondern eine zusätzliche Aufgabe für eine Person, die bereits eine volle Arbeitsbelastung hat.
Da Schulen auf eine Vielzahl digitaler Systeme angewiesen sind, müssen Kommunen beträchtliche Zeit aufwenden, um DPIAs und Verarbeitungsprotokolle jedes Anbieters zu prüfen. Wir unterstützen unsere Kund:innen mit Transparenz und klaren Berichten, sind jedoch der Ansicht, dass der Prozess einfacher sein sollte.
"Um die Kommunen zu unterstützen, sind wir der Meinung, dass eine gemeinsame nationale Datenbank mit zu 80 % vorab ausgefüllten DPIAs den Prozess nicht nur vereinfacht, sondern auch den Datenschutz stärkt und das Sicherheitsniveau im Bildungssektor insgesamt erhöht." - Daniel Manne, Security Officer bei itslearning
Letztlich geht es darum, den Schulen ein Gefühl der Sicherheit zu geben, damit sie digitale Tools für ihren eigentlichen Zweck nutzen können: das Lernen und die Entwicklung der Schüler:innen zu verbessern, ohne den Datenschutz zu gefährden.