Datenschutz in Schule

Lehrer

Verarbeitung von Schülerdaten

Diesem sind enge Grenzen gesetzt

Auszug aus dem Erlass (RdErl. d. MK v. 1.2.2012 – 11-05410/1-8 – VORIS 20600 -)

„Die elektronische Übersendung der Daten von Schülerinnen und Schülern aus Programmen der Schule, von Lehrkräften an die Schule oder zwischen Lehrkräften, der Transport der Daten mittels elektronischer Speichermedien oder eine Speicherung auf Speicherorten im Internet ist nur zulässig, wenn die Daten verschlüsselt werden. Dabei darf der Datenrahmen gemäß Ziffer 3 dieses Erlasses nicht überschritten werden.“

Was darf gespeichert, verarbeitet werden?

Name, Geschlecht, Geburtsdatum, Geburtsort,– Zugehörigkeit zu einer Religionsgemeinschaft, – Klasse, Gruppe oder Kurs, – Ausbildungsrichtung bzw. Ausbildungsberuf, Zeugnisnoten und andere Zeugniseintragungen. Art, Datum und Ergebnisse von Leistungskontrollen, Fächer.

Die Verarbeitung auf privaten Geräten ist genehmigungspflichtig, die Daten sind zu löschen, sobald die SuS nicht mehr direkt betreut werden, gegen Ausfall der IT Systeme sichert man die Daten.

personenbezogene Daten

Dies sind Daten, die eine personenbezogene Zuordnung haben:

Neben den offensichtlichen sind dies auch technische Daten, die bei der Nutzung anfallen können: z.B. von wo (IP) hat wer (Cookie) wie lange (timestamp) etwas besucht.

Alles andere, was eine Person identifizieren könnte natürlich auch.(Name, Adresse, email-Account, Telefonnummer, usw.)

eigene Rechner

Die Verarbeitung auf privaten Geräten ist genehmigungspflichtig, die Daten sind zu löschen, sobald die SuS nicht mehr direkt betreut werden, gegen Ausfall der IT Systeme sichert man die Daten.

Die ausschließliche Eingabe von Daten ist keine Verarbeitung, dennoch müssen private Geräte genehmigt werden. Bei sensiblen Daten sind entsprechende Sicherungsmaßnahmen wie 2 Faktor Authentifizierung vorgesehen.

Ganztagsbereich

unbesetzt

Schulleitung

Die Schulleitung ist verantwortlich, dies betrifft das Urhebergesetz bei gespeicherten Daten, die Kommunikation über die eigenen Hardware/Software, den Einsatz von Software, Auftragsdatenverarbeitung, usw.

Beratung und Unterstützung

Durch den Datenschutzbeauftragten der eigenen Schule, den Datenschutzbeauftragten der Landesschulbehörde, den Landesdatenschutzbeauftragten.

Erhebung von Schülerdaten

Nach der europaweit gültigen Datenschutzgrundverordnung (DSVGO) darf eine Schule weiterhin die wichtigen Daten erheben, verarbeiten, weiterleiten, aufbewahren und löschen. Dies sollte natürlich im Rahmen des Gesetzes erfolgen und dafür muss man sich die Verarbeitung der Daten in einer Schule genauer anschauen. Die folgende Liste kann dafür schon mal eine Hilfe sein, muss aber stets den schuleigenen Verhältnissen angepasst werden.

Verarbeitung-personenbezogener-Daten19

Die Vorlage einer Erläuterung nach DSGVO kann die eigene Arbeit am Thema Datenschutz unterstützen.

Auftragsdatenverarbeitung

Es ist von der Schulleitung sehr genau zu prüfen, ob beim Einsatz von Software eine Auftragsdatenverarbeitung stattfindet. Immer wenn personenbezogene Daten anfallen, sind gewisse Bedingungen zu erfüllen. Der Einsatz einer Lernsoftware kann beispielsweise sehr wohl personenbezogen Daten speichern und verarbeiten (Name, Leistungen, Zugangsdaten, usw.). Dies ist im Einzelfall zu prüfen. Werden Daten außerhalb Deutschlands verarbeitet, gespeichert ist besondere Vorsicht geboten. Auszug aus Auftragsdatenverarbeitung Orientierungshilfe und Checkliste, 2002:

„Die Auftraggeber in Wirtschaft und Verwaltung sind in gleicher Weise verpflichtet, die zu übertragende Datenverarbeitung, die vom Auftragnehmer einzuhaltenden technischen und organisatorischen Datensicherungsmaßnahmen sowie etwaige Unterauftragsverhältnisse schriftlich festzulegen.Neben diesen Mindestfestlegungen sollten auch die folgenden Pflichten festgelegt werden:Externe Personen oder Stellen, die mit der Auftragsdatenverarbeitung betraut sind, haben nach den Weisungen des Auftraggebers zu arbeiten.

Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, soweit dies unvermeidbar ist.Die Auftragnehmer haben die technischen und organisatorischen Maßnahmen nach § 9 BDSG bzw. § 7 NDSG zu treffen, die erforderlich sind, um eine datenschutzgerechte Verarbeitung personenbezogener Daten sicherzustellen. Weiter hat der Auftragnehmer allgemeine Sicherungsziele zu gewährleisten, wie Gewährleistung der Vertraulichkeit der Daten, Sicherstellung der Integrität der Daten, Gewährleistung der Authentizität,der Daten, Gewährleistung der Authentifikation von Benutzern, Gewährleistung der sicheren Zustellung, Sicherstellung der Verfügbarkeit und Sicherstellung der Revisionsfähigkeit.“

Umgang mit den Daten der Beschäftigten

Grundsatz:

Daten der Beschäftigten der Schule

a) Grundlagen der Verarbeitung

„Die Verarbeitung von personenbezogenen Daten von beamteten Lehrkräften richtet sich nach den §§ 50 Beamtenstatusgesetz (BeamtStG) und 88 ff. Nieders. Beamtengesetz (NBG). Für andere in der Schule Beschäftigte (angestellte Lehrkräfte, Verwaltungspersonal, Hausmeisterinnen und Hausmeister usw.) gilt diese Vorschrift gem. § 24 Abs. 1 Niedersächsisches Datenschutzgesetz (NDSG) entsprechend.

Ergänzend zu diesen Bestimmungen gelten für die Verarbeitung von personenbezogenen Daten der Beschäftigten die Bestimmungen des Nieders. Datenschutzgesetzes (NDSG). Personenbezogene Daten dürfen gem. § 88 Abs. 1 NBG ohne Einwilligung des Beschäftigten nur verarbeitet werden, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, eine Vereinbarung nach § 81 des Nieders. Personalvertretungsgesetzes (NPersVG) oder eine Dienstvereinbarung dies erlaubt.

Daraus folgt:

  • Keine Kollegiumsliste im Internet
  • keine personalisierten Vertretungspläne, auch keine Namenskürzel
  • keine privaten Daten an Dritte (Telefonnummer, Anschrift, private email, etc.)

Für nähere Informationen siehe: 20131115 l_publ_beschaeftigte (pdf)

email:

Aus dem Merkblatt der Datenschutzbeauftragten in Deutschland, vom 2016.

„Rechtlicher Rahmen

1. Grundsatz

Soweit der Arbeitgeber Hardware bzw. Software zur Verfügung stellt, dürfen die betrieblichen Internet- und E-Mail-Dienste grundsätzlich nur für die betriebliche Tätigkeit genutzt werden. Eine private Nutzung von Internet und/oder betrieblichem E-Mail-Postfach ist daher nicht erlaubt, es sei denn, der Arbeitgeber hat eine Privatnutzung ausdrücklich z.B. im Arbeitsvertrag oder in einer Betriebsvereinbarung geregelt oder, was überwiegend als möglich angesehen wird, in Kenntnis und Duldung der privaten Nutzung über einen längeren Zeitraum (sog. „betriebliche Übung“) konkludent genehmigt. Dem Arbeitgeber steht es frei, ob er eine Privatnutzung des Internets und/oder des betrieblichen E-Mail-Accounts erlaubt.“

Der einfacherer Fall, und dieser ist unbedingt empfehlenswert, wird das emailkonto nur betrieblich genutzt:

Hat der Arbeitgeber Zugriffsmöglichkeiten auf die Korrespodenz: ja

„Nutzung des betrieblichen E-Mail-Accounts

1. Ein- und ausgehende betriebliche E-Mails der Beschäftigten darf der Arbeitgeber zur Kenntnis nehmen. Beispielsweise kann er verfügen, dass die Beschäftigten ihm jede für den Geschäftsgang relevante oder fest definierte ein- oder ausgehende E-Mail einzeln zur Kenntnis zuleiten. Eine durch den Arbeitgeber eingerichtete automatisierte Weiterleitung aller ein- und ausgehenden E-Mails an einzelne Vorgesetzte ist, sofern arbeitsrechtlich nicht statthaft, auch datenschutzrechtlich mangels Erforderlichkeit unzulässig (Verbot der permanenten Kontrolle).

2. Für den Fall der Abwesenheit kann eine Weiterleitung der E-Mail in Betracht kommen.“Im Normalfall reicht eine Abwesenheitsnotiz aus, und ist dem Weiterleiten vorzuziehen.

Sollte die Schule sich entscheiden, auch eine private Nutzung zuzulassen, muss man über die Bedingungen verhandeln. Dies ist ein schwieriges Verhandlungsfeld, siehe: „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz, Stand 2016“. Es wird darauf verwiesen, dass die Schule gewisse Gesetze zum TDG/TDDSG einzuhalten hat.

http://www.lfd.niedersachsen.de/technik_und_organisation/orientierungshilfen_und_handlungsempfehlungen/orientierungshilfen-und-handlungsempfehlungen-56019.html

online Lernplattformen

So wünschenswert es sein kann, bestimmte Lerninhalte in Form von Lernplattformen anzubieten, so schützenswert sind die sensiblen Daten. Die üblichen Verfahrensschritte beim Einsatz von Software sind einzuhalten und die Verantwortlichkeiten sind wahrzunehmen. Hier ein Auszug aus „OH-Lernplattform-mit-Gegenstimme.pdf (Landesdatenschutzbeauftragte, Nds.)“

„7. Notwendige Prüfungen vor Inbetriebnahme

Vor dem Einsatz von Lernplattformen hat die verantwortliche Stelle (Schule oder Schulaufsichtsbehörde) im Zusammenwirken mit ihrem Datenschutzbeauftragten eine Vorabkontrolle nach den jeweils geltenden Landesregelungen durchzuführen. Hierbei sind insbesondere folgende Aspekte zu beachten:

Einhaltung der ggf. bestehenden landesrechtlichen Regelungen zum Einsatz von Online-Lernplattformen

Bei der Anschaffung einer Lernplattform eines externen Dienstleisters ist zu prüfen, ob dieser die datenschutzrechtlichen schulischen Anforderungen erfüllen kann.Gestaltung und Auswahl von Datenverarbeitungssystemen nach den Grundsätzen der Datenvermeidung und Datensparsamkeit.

Orientierungshilfe für Online-Lernplattformen im Schulunterricht

Beim Einsatz von externen Dienstleistern sind die gesetzlichen Voraussetzungen der zulässigen Auftragsdatenverarbeitung zu beachten. Dabei gelten folgende allgemeine Anforderungen:

Die Schule/Schulaufsichtsbehörde muss „Herrin der Daten“ bleiben. Sie bestimmt, wer die Daten auf welche Weise verarbeitet und nutzt. Sie muss gegenüber dem Auftragnehmer ein Weisungsrecht in Bezug auf die Datenverarbeitung und -nutzung haben und sich vertraglich Kontrollrechte einräumen lassen.

Die Allgemeinen Geschäftsbedingungen externer Dienstleister sind unter Beachtung der hier dargestellten Grundsätze zu überprüfen und ggf. vertraglich abzuändern.

Mit dem Auftragnehmer ist ein Vertrag zu schließen, der den datenschutzrechtlichen Anforderungen an die Auftragsdatenverarbeitung genügt.

Es gilt der Grundsatz der Zweckbindung. Danach ist insbesondere zu gewährleisten, dass die Daten der Schüler, Lehrer und Eltern nicht zu Werbezwecken genutzt werden. Die von der Schule/Schulaufsichtsbehörde zu erstellenden Nutzungsbedingungen, das Verfahrensverzeichnis und die sonstigen getroffenen technischen und organisatorischen Maßnahmen sind einer datenschutzrechtlichen Prüfung zu unterziehen.“

Unterrichtungs-, Benachrichtigung-, Schulungs- und Unterweisungspflichten

Schüler, Eltern und Lehrkräfte sind vor dem Einsatz von Online-Lernplattformen ausführlich über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung ihrer Daten zu unterrichten. Sie sind darüber aufzuklären, dass sie jederzeit berechtigt sind, das Verfahrensverzeichnis der Lernplattform einzusehen. Sofern die Einwilligung für die Nutzung bestimmter Module erforderlich ist, sind sie ausdrücklich auf deren Freiwilligkeit und das bestehende Widerrufsrecht und dessen Rechtsfolgen zu informieren. Die Einwilligung ist schriftlich einzuholen. Aus der Einwilligung hat hervorzugehen, welche Daten, in welcher Form und zu welchem Zweck verarbeitet werden sollen. Darüber hinaus sind die Nutzer darüber zu informieren, ob und an wen Daten übermittelt werden. Außerdem sind die Lehrkräfte und Administratoren entsprechend zu schulen und die Schüler entsprechend zu unterweisen.“

Anforderungen an Software:

Klassenbuch

In Niedersachsen gibt es keine Schuldatenschutzverordnung, daher kann man sich in Nds. nur an anderen Bundesländern orientieren, dies soll hier an Schleswig Holstein (Landesverordnung über die Verarbeitung personenbezogener Daten an öffentlichen Schulen (Schul-Datenschutzverordnung – SchulDSVO)Vom 5. Juni 2015 § 17 Digitale Klassen- und Notizbücher) passieren:

„(3) In den digitalen Klassen- und Notizbüchern dürfen nur folgende personenbezogene Daten der Schülerinnen und Schüler der jeweiligen Klasse oder Lerngruppe gespeichert werden:

Name, Vorname, Geburtsdatum, Geschlecht und ein unter Beachtung des § 10 Absatz 2 Satz 2 erhobenes Lichtbild, Adressdaten, E-Mail-Adressen, Telefon- und vergleichbare Telekommunikationsverbindungen.

Ausschließlich in codierter Form Angaben über für die Beschulung relevante gesundheitliche Beeinträchtigungen

Angaben zu Nachteilsausgleich, Notenschutz oder einer zurückhaltenden Gewichtung der Rechtschreibleistung.

Entschuldigte und unentschuldigte Fehlzeiten des laufenden Schuljahrs sowie das Bestehen einer Attestpflicht.

Persönliche Zwischenbewertungen von Unterrichtsbeiträgen und des allgemeinen Lernverhaltens sowie Zwischennoten für schriftliche Leistungsnachweise

Angaben zum Sozialverhalten

Ferner können die Namen, Telefonnummern und E-Mail-Adressen der Eltern gespeichert werden.“

Für die Schulleitung interessant sind die Voraussetzungen des Einsatzes:

2 Faktor Authentifizierung, genehmigte Privatgeräte oder Dienstgeräte, keine Speicherung auf den Endgeräten.

„(2) Geht die Nutzung eines digitalen Klassenbuchs mit einer Datenverarbeitung im Auftrag einher, ist eine Genehmigung nach § 16 zu erteilen, wenn die dort genannten Voraussetzungen vorliegen und die Schule sicherstellt, dass die digitalen Klassen- und Kursbücher nur den die jeweiligen Klassen oder Lerngruppen unterrichtenden Lehrkräften zugänglich sind,der Zugang zu den digitalen Klassen- und Kursbüchern nur mit informationstechnischen Geräten des Schulträgers oder des RBZ oder der Lehrkräfte erfolgt, welche gemäß § 18 Absatz 1 Satz 1 genehmigt sind, und der Identitätsnachweis der Nutzerin oder des Nutzers mittels einer Kombination von mindestens zwei verschiedenen und unabhängigen Komponenten erfolgt und die personenbezogenen Daten nach Absatz 3 nicht auf dem Zugangsgerät gespeichert werden; zulässig sind vorübergehende Speicherungen, die flüchtig oder begleitend sind und einen integralen und wesentlichen Teil eines technischen Verfahrens darstellen und deren alleiniger Zweck es ist, eine Übertragung in einem Netz zu ermöglichen.“

Handreichungen

Standard Datenschutzmodell

https://www.bfdi.bund.de/SharedDocs/Publikationen/DasStandard-Datenschutzmodell_92.DSK.pdf

Schulen ans Netz-Infobroschüre- LfD Nds

https://www.lfd.niedersachsen.de/download/32188/Schulen_ans_Netz_-_mit_Sicherheit.pdf

Niedersächsisches Landesdatenschutzgesetz

www.lfd.niedersachsen.de/download/32372 (auch VORIS 20600 02)

Kultusministerium, Schulverwaltungsblatt 06/2012, Erlass, personenbezogen Daten Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT-Systemen) von Lehrkräften RdErl. d. MK v. 1.2.2012 – 11-05410/1-8 – VORIS 20600

Datenschutzkonferenz informiert zu email im Betrieb (160204_OH_E-Mail_Internet_Arbeitsplatz.pdf)

https://www.lfd.niedersachsen.de/download/32375

Grundlagen der Auftragsdatenverarbeitung

https://www.lfd.niedersachsen.de/download/32303

Bundesdatenschutzkonferenz

https://www.bfdi.bund.de/DE/Home/home_node.html

Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Hinweise_Verarbeitungstaetigkeiten.pdf?__blob=publicationFile&v=2

Auftragsverarbeitung, Art. 28 DSGVO

Download Kurzpapier – Auftragsverarbeitung, Art. 28 DS-GVO (PDF, 334KB) oder

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_Auftrag.pdf?__blob=publicationFile&v=3

Links:

www.lfd.niedersachsen.de

www.datenschutz.de

www.sicherheit-im-internet.de

www.bsi.de

November 8, 2018
Gepostet in Arbeitsschutz, Digital, Recht/Erlasse/Verordnung
Schlagwörter: , , , ,