Die LDI NRW äußert sich in ihrem 30. Tätigkeitsbericht für das Jahr 2024 auch zu dem Forschungsprojekt DIRECTIONS (Data Protection Certification for Educational Information Systems), in dem es wie auch dem Namen zu entnehmen, um Datenschutz Zertifizierung von Verarbeitungsvorgängen, also digitalen Plattformen, im Bildungsbereich geht. Durch das mit Bundesmitteln geförderte Programm erhofft sich die LDI NRW eine Verbesserung des Datenschutzes im Schulbereich, da Schulen über die Zertifizierung digitalen Schulplattformen eine Orientierungshilfe bei der Auswahl haben, die ihnen die Sicherheit gibt, dass der die Plattform den maßgeblichen datenschutzrechtlichen Vorgaben wie auch den landesspezifischen Besonderheiten im Schuldatenschutzrecht genügen. Als Aufsichtsbehörde will die LDI das Genehmigungsverfahren der von DIRECTIONS erarbeiteten Zertifizierungskriterien fachlich begleiten wie auch die Akkreditierung von Zertifizierungsstellen.
Hintergrund: Die DS-GVO sieht in Art. 42 die Möglichkeit zur Einführung von datenschutzspezifischen Zertifizierungsverfahren und Prüfsiegeln vor. Eine Zertifizierung erfolgt für jeweils drei Jahre und kann durch eine Zertifizierungsstelle oder eine Aufsichtsbehörde erfolgen. Dabei müssen die Kriterien durch die Aufsichtsbehörde genehmigt sein. Zertifizierungsstellen müssen eine Reihe von Anforderungen erfüllen, um von der Aufsichtsbehörde als solche akkreditiert zu werden. Eine Akkreditierung läuft nach fünf Jahren ab und kann verlängert werden.
Der aktuelle Kriterienkatalogs für die zukünftige DIRECTIONS-Zertifizierung nach Art. 42 der DS-GVO, so der Hinweis der Aufsichtsbehörde, ist unter https://publikationen.bibliothek.kit.edu/1000172025 einsehbar und das Projektteam nimmt Feedback entgegen.
Bewertung
Das Projekt DIRECTIONS läuft schon eine Weile und nähert sich nun langsam der Genehmigung durch die Aufsichtsbehörde. Danach können Zertifizierungsstellen ihre Akkreditierung bei der Aufsichtsbehörde beantragen. Auf dieser Seite wurde bereits im Januar 2022 und im Mai 2023 über DIRECTIONS berichtet. Zertifizierungen können für Schulen und Schulträger bei der Auswahl geeigneter Plattformen auf jeden Fall Sicherheit bieten. Auch wenn die DS-GVO seit nunmehr sieben Jahren umgesetzt wird, hat sich im Bereich der Zertifizierungen gem. Art. 42 DS-GVO bisher wenig getan. Wenn das DIRECTIONS-Zertifizierungsverfahren etabliert ist, entsprechende Zertifizierungsstellen akkreditiert sind und die ersten Zertifizierungen erfolgreich durchgeführt wurden, wäre DIRECTIONS die erste oder zumindest eine der ersten offiziell anerkannten Datenschutz-Zertifizierungen nach Art. 42 DS-GVO in Deutschland – und das nicht nur für den Bildungsbereich, sondern branchenübergreifend. Es ist absehbar, dass Zertifizierungen mit Kosten für die Anbieter verbunden sein werden und damit stellt sich die Frage, ob dadurch möglicherweise kleinere Anbieter oder Start-ups vom Mark ausgeschlossen werden. Gesetzgeber der Bundesländer könnten in den datenschutzrechtlichen Regelungen der Schulgesetze zukünftig durchaus vorgeben, dass eingesetzte Verfahren eine DIRECTIONS Zertifizierung nachweisen können. Das Portal VIDIS (siehe dazu die Beiträge: Vidis Teilnahmebedingungen und Vidis Pilotphase) beauftragt aktuell TÜV Nord mit einer Prüfung der Plattformen, welche in das System aufgenommen werden. Abzuwarten bleibt, welchen Einfluss DIRECTIONS darauf haben wird.
Ergänzende Informationen
Unter https://www.trusted-cloud.de/register/ dokumentiert ein Register die sogenannten Selbstverpflichtungserklärungen im Rahmen des DIRECTIONS-Projekts. Anbieter von schulischen IT-Systemen haben dort die Möglichkeit, sich öffentlich dazu zu verpflichten, bestimmte Datenschutzstandards, die im DIRECTIONS-Kriterienkatalog festgelegt sind, einzuhalten. In einer ersten Phase ist dies noch kein amtlich geprüftes Zertifikat, wie oben beschrieben, sondern eine freiwillige, transparente Selbstverpflichtung. Diese wird auf Grundlage einer Selbstauskunft des Anbieters öffentlich gemacht. Das Register listet diese Selbstverpflichtungen samt Details (wie Name des Systems, Anbieter, Gültigkeitsdauer und Kontaktdaten für Beschwerden) auf. So können Schulen, Schulträger und andere Interessierte einsehen, welcher Anbieter sich zur Einhaltung welcher Standards öffentlich bekennt. LogoDIDACT hat eine solche Selbstverpflichtungserklärung abgegeben und ist damit ab dem 8. Mai 2025 für zwei Jahre eingetragen. Das Unternehmen hat dabei den DIRECTIONS-Kriterienkatalog Version 0.7 und das Regelwerk Version 1.1 als Grundlage verwendet.