kommunale IT und Software > Wissen > IT / TECHNIK > Datenschutz > Datenschutzkonzeption Schulen

Datenschutzkonzeption Schulen

DATENSCHUTZKONZEPTION AN SCHULEN

In einer Bildungseinrichtung werden täglich personenbezogene Daten gespeichert und verarbeitet, auch in Schulen hält die Digitalisierung immer mehr Einzug und von so her ergeben sich dort entsprechende Anforderungen an den Datenschutz, auch im Hinblick auf die EU-Datenschutzgrundverordnung (EU-DSGVO).

Die Anforderungen umfassen die Prozesse der Datenerhebung, Datenverarbeitung, Datenverwaltung, Dokumentation der Prozesse, die Protokollierung von Verstößen gegen den Datenschutz sowie getroffene technisch organisatorische Maßnahmen.

Betroffener Personenkreis:

  • Schüler
  • Eltern
  • Lehrer
  • sonstige Mitarbeiter (technisches Personal)

Datenumfang:

  • Namen
  • Anschriften
  • Geburtsdaten
  • Merkmale zur Religion
  • Profiling
  • Fotos
  • Kommunikationsdaten (Telefon, Email)
  • Hinweise zu Erkrankungen
  • Identnummer
  • IP-Adressen  (besonders auch in freien WLAN)

Grundsätze der Datenerhebung:

Die Erhebung und Verarbeitung von personenbezogenen Daten hat unter Beachtung des Artikels 5 der EU-DSGVO zu erfolgen. Die rechtliche Grundlage zur Datenerhebung ergibt sich aus dem Brandenburgischen Schulgesetz. Dennoch ist für den Umfang der erfassten Daten, die Rechtmäßigkeit und die Notwendigkeit der Erfassung der Daten (Datenminimierung) zu prüfen und zu dokumentieren. Die erhobenen Daten sind nur zweckgebundene und für die Schule relevante Verarbeitung zu verwenden und nicht für Datenverarbeitungen außerhalb des schulischen Bereichs.

Die Verarbeitung personenbezogener Daten ist dann zulässig, wenn die Rechtmäßigkeit der Datenverarbeitung gegeben ist, also eine gesetzliche Grundlage vorhanden ist oder die betroffene Person ihre Einwilligung gegeben hat. Wenn keine der beiden Bedingungen zutrifft, bleibt die Verarbeitung verboten (Verbot mit Erlaubnisvorbehalt).

Die erfassten Daten müssen sachlich richtig sein und müssen auf Verlangen bei Fehlerhaftigkeit korrigiert werden.

Es sind Aufbewahrungsfristen zu definieren und ihm Rahmen dieser Aufbewahrungsfristen nach Ablauf Daten zu löschen bzw. zu vernichten.

Die Sicherheit und die Vertraulichkeit der Daten muss zu jeder Zeit gewährleistet sein. Dazu sind Verwaltungsnetzwerk und Schülernetzwerk zu trennen. Der Zugriff auf die Daten ist auf die zwingend notwendigen Personen einzuschränken. Der Zugang zu diesen Daten ist mit einem sicheren personenidentifizierbaren Zugang mit komplexem Passwort abzusichern.

Es sind technisch-organisatorische Maßnahmen zu treffen und zu dokumentieren, die den Schutz der Daten gewährleisten. Die getroffenen technisch-organisatorischen Maßnahmen sind in regelmäßigen Abständen auf ihre Wirksamkeit und auf die Aktualität nach dem technischen Standard zu überprüfen. Die Überprüfungen sind zu dokumentieren und eventuell daraus resultierende Änderungsvorschläge dem Datenschutzbeauftragten vorzulegen.

Für Schulen weisen wir vor allem auf die Grundsätze Informationspflicht (Artikel 13 EU-DSGVO), Auskunftsrecht (Artikel 15 EU-DSGVO), Recht auf Berichtigen (Artikel 16 EU-DSGVO), Recht auf Löschen von Daten (Artikel 17 EU-DSGVO), Recht auf Einschränkung der Verarbeitung (Artikel 18 EU-DSGVO), Datenübertragung (Artikel 20 EU-DSGVO) und Widerspruchsrecht (Artikel 21 EU-DSGVO) hin.

Datenschutzbeauftragter:

Öffentliche Schulen haben einen behördlichen Datenschutzbeauftragten zu benennen. Dieser ist Berater und Anlaufstelle für alle Fragen rund die um die Verarbeitung personenbezogener Daten. (Artikel 39 EU-DSGVO und §7 BDSG).  Die Verantwortung zum Datenschutz obliegt dem Schulleiter. Der Datenschutzbeauftragte darf keinen Interessenkonflikt in Bezug auf seine Tätigkeit an der Schule haben. Die Aufgaben des Datenschutzes können auch an externen Personen übergeben werden oder vom Datenschutzbeauftragten des örtlichen Trägers benannt werden

Dokumentation:

  • Aufstellung aller IT-Geräte der Schule
  • Netzwerkplan / Patchplan
  • Dokumentation der Zugriffsberechtigungen
  • Dokumentation externer Zugänge
  • Dokumentation Zugänge zu sensiblen EDV-Bereichen
  • Dokumentation zu Funktionalität der Datensicherung
  • Verarbeitungsverzeichnis zu eingesetzten EDV-Verfahren (Artikel 30 DSGVO)
  • Prozessablauf bei Auskunftsersuchen („Recht auf Auskunft“)
  • Prozessablauf zu Datenlöschungen („Recht auf Vergessenwerden“)
  • Prozessablauf zur Meldung von Verstößen gegen den Datenschutz
  • Risikofolgeabschätzung und geeigneter Maßnahmen (Artikel 35 DSGVO)

Auftragsdatenverarbeitung:

Sofern externe Personen oder Firmen in Kontakt mit den personenbezogenen Daten kommen, sind diese zu dokumentieren. Für diese Fälle ist mit dem betroffenen Personen und Firmen eine Auftragsdatenverarbeitung abzuschließen. 

Einverständniserklärung:

Daten die die Schule erhebt, benötigen eine Einverständniserklärung des Eigentümers der Daten oder der Personensorgeberechtigten oder gesetzlicher Vertreter. Die Abgabe des Einverständnisses muss freiwillig geschehen. In der Einverständniserklärung muss auf das Rechts des Eigentümers auf Auskunft und Berichtigung hingewiesen werden. Die Einwilligungserklärung ist zu unterzeichnen.

Bis zum Alter von 14 Jahren ist die Zustimmung der Personensorgeberechtigten oder der entsprechenden gesetzlichen Vertreter einzuholen. Im Altersbereich von 14 bis 16 Jahren müssen beide zustimmen, Personensorgeberechtigte und Schüler/-innen, falls die erforderliche Einsicht bei den Schüler/-innen vorhanden ist, sonst ist nur die Zustimmung der Eltern erforderlich. Mit Erreichen der Volljährigkeit üben die betroffenen Schüler/-innen alle Rechte selber aus.

Umfang der Datennutzung:

Für einen ordnungsgemäßen laufenden Schulbetrieb ist die Verarbeitung personenbezogener Daten zulässig, wie sie sich aus den gesetzlichen Vorgaben ableiten lässt.

Für Verarbeitungen außerhalb des ordnungsgemäßen Schulbetriebes ist die Notwendigkeit der Verarbeitung zu prüfen bzw. die Einhaltung des Datenschutzes und des Persönlichkeitsrechtes zu prüfen. Dies betrifft insbesondere das Erstellen und die Speicherung von Fotos und deren Verbreitung. Eine hohe Prüfung ist hier insbesondere für Medien notwendig, aus denen sich die Informationen nicht mehr entfernen lassen (Webseiten, Social Media).

Schutzbedarf:

Nach Artikel 32 der EU-DSGVO orientiert sich das Sicherheitsniveau am konkreten Schutzbedarf der Daten. Dieser ist in Schulen hoch, weil Daten von teilweisen Minderjährigen verarbeitet werden und der Umfang der personenbezogenen Daten sehr hoch ist. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten muss ein dem Risiko angemessenes Schutzniveau geschaffen werden. Da die DSGVO trotz allem auch Spielraum zur Interpretation bietet, empfiehlt sich ein standfestes IT-Sicherheitskonzept zu erstellen, das auch Backup-Pläne enthält, damit ausgefallene Systeme schnell wieder einsatzbereit sind. Grundsätzlich müssen alle Beschäftigten einer Schule über die Vertraulichkeit von Daten unterrichtet und regelmäßig unterwiesen werden. Die Unterweisungen sind zu dokumentieren und von den Beschäftigten als Nachweis gegenzuzeichnen.

Webseiten:

Im Impressum der Webseiten von Schulen ist als Ansprechpartner der Leiter der Schule zu benennen, und entsprechend der von der Schule zuständige benannte Verantwortliche für den Datenschutz Schule inklusive Kontaktinformationen. Ebenso muss im Impressum der örtliche Träge der Schule inklusive Kontaktinformationen benannt sein.

Die Webseite muss den gesetzlichen Ansprüchen der EU-DSGVO und des Telemediengesetzes entsprechend und konform sein.

Wird eine Analyse-Software wie Google Analytics eingesetzt, muss der Grund der Nutzung genannt und ein Hinweis veröffentlicht werden, wie Besucher der Erhebung ihrer Daten widersprechen können. Ebenso muss der Webseiten-Benutzer auf den Einsatz von Cookies hingewiesen werden bzw. bedarf dies ebenso einer Zustimmung des Nutzers. Werden Daten über Kontaktformulare erhoben, bedarf es eines Hinweises auf die Datenschutzerklärung. Diese muss detailliert offenlegen, wo und zu welchem Zweck Daten erhoben werden, wie sie verarbeitet, wie lange und wo sie gespeichert und wann sie gelöscht werden. Und sie muss eine Kontaktmöglichkeit zum Datenschutzbeauftragten beinhalten.

Rechtsgrundlagen:

  • Gesetz über die Schulen im Land Brandenburg (Brandenburgisches Schulgesetz – BbgSchulG) in der Fassung der Bekanntmachung vom 2. August 2002 (GVBl.I/02, [Nr. 08], S.78) zuletzt geändert durch Artikel 30 des Gesetzes vom 8. Mai 2018
  • Infektionsschutzgesetz
  • EU Datenschutzgrundverordnung (EU-DSGVO)
  • Bundesdatenschutzgesetz (BDSG)