Data Protection Certification

DIRECTIONS – Data Protection Certification for Educational Information Systems

  • Ansprechperson:

    Ali Sunyaev, Sebastian Lins

  • Projektgruppe:

    Ali Sunyaev, Sebastian Lins, Eva Späthe, Kathrin Brecker, Philipp Danylak

  • Förderung:

    Bundesministerium für Bildung und Forschung (BMBF)

  • Projektbeteiligte:

    Prof. Dr. Gerrit Hornung, Fachgebiet Öffentliches Recht, IT-Recht & Umweltrecht, Universität Kassel;

    Dr. Maseberg und Dr. Karper, datenschutz cert GmbH;

    und weitere diverse Partner aus Forschung und Praxis

  • Starttermin:

    1.12.2021

  • Endtermin:

    30.11.2027

Ziel des Forschungsprojekts Data Protection Certification for Educational Information Systems („DIRECTIONS“) ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren Datenschutzzertifizierung für schulische Informationssysteme. Eine Zertifizierung nach Maßgabe der Datenschutz-Grundverordnung (DSGVO) ist im Interesse aller Beteiligten: der Betroffenen, also insbesondere der Schüler*innen, deren personenbezogene Daten geschützt werden; der Schulen und Schulträger, die nur mit solchen Informationssystem-Anbietern zusammenarbeiten dürfen, die hinreichend Garantien zur Einhaltung des Datenschutzes vorweisen können; der Anbieter, die ihren Kunden mit einer Zertifizierung eben diese Sicherheit nachweislich bieten können; und der Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht.

Um das Projektziel zu erreichen, werden zwei Ausbaustufen von DIRECTIONS angestrebt: Zunächst wird ein Gütesiegel entworfen und erprobt, welches anschließend zu einer bewilligten und anerkannten Datenschutzzertifizierung weiterentwickelt und angewendet wird. Durch die Entwicklung eines Gütesiegels in der ersten Ausbaustufe kann kurzfristig ein Mittel geschaffen werden, welches Anbieter von schulischen Informationssystemen zur Kommunikation ihrer Datenschutzpraktiken verwenden können. Damit kann bereits frühzeitig Transparenz und Vergleichbarkeit am Markt geschaffen und potenzielle Unsicherheiten abgebaut werden. Allerdings ist ein Gütesiegel nicht ausreichend um die Konformität der DSGVO nachzuweisen. Aus diesem Grund ist in der zweiten Ausbaustufe vorgesehen, das Gütesiegel zu einer Datenschutzzertifizierung gem. Art. 42 DSGVO weiterzuentwickeln und formal genehmigen zu lassen.

Um die Ausbaustufen umzusetzen werden zunächst geeignete Zertifizierungsgegenstände festgelegt, welche Datenverarbeitungsvorgänge von Verantwortlichen oder Auftragsverarbeitern umfassen. Im Anschluss soll ein Kriterienkatalog für das Gütesiegel und die Zertifizierung nach der DSGVO entwickelt werden. Außerdem werden geeignete Organisationsstrukturen und Verfahren zur Prüfung und Vergabe eines Gütesiegels sowie zur Durchführung einer anerkannten Datenschutzzertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungsprozessen, um den Bedürfnissen von kleinen und mittelgroßen Unternehmen gerecht zu werden. Um eine nachhaltige Verwendung und weitreichende Verbreitung von DIRECTIONS sicherzustellen, werden schließlich Anwendungskonzepte für ein nachhaltig erfolgreiches Gütesiegel und Zertifizierungsverfahren untersucht und öffentlichkeitswirksame Maßnahmen durchgeführt. Das entwickelte Gütesiegel soll zeitnah in der Praxis bei ausgewählten Partnern umgesetzt werden. Das erarbeitete Zertifizierungsverfahren und die im DIRECTIONS-Projekt erarbeiteten Kriterien sollen schließlich auf ihre Akkreditierungsfähigkeit begutachtet und in der Praxis erprobt und validiert werden.