Datenschutzformalia für Schulen in Niedersachsen

Ich habe ein­mal ein wenig recher­chiert und zusam­men­ge­tra­gen, was nach mei­ner Auf­fas­sung eine Schu­le an Papie­ren hier in Nie­der­sach­sen pro­du­zie­ren muss, um grund­le­gen­de Daten­schutz­auf­la­gen zu erfül­len — die juris­ti­schen Kom­men­ta­re zu den Vor­schrif­ten habe ich noch nicht alle gele­sen:

1. Daten­schutz­be­auf­trag­ter

Ein Daten­schutz­be­auf­trag­ter muss benannt sein (§8a NDSG).

  1. Er muss nicht der Schu­le ange­hö­ren
  2. Er muss über Sach­kennt­nis und Zuver­läs­sig­keit ver­fü­gen
  3. Er darf durch die Bestel­lung kei­nem Inter­es­sens­kon­flikt aus­ge­setzt sein
  4. Er muss sei­ne Arbeit jeder­mann ver­füg­bar machen

Der Sys­tem­ad­mi­nis­tra­tor kann also nicht Daten­schutz­be­auf­trag­ter sein, da ein Inter­es­sens­kon­flikt besteht – schließ­lich müss­te er sich selbst kon­trol­lie­ren.

2. Ver­fah­ren­be­schrei­bun­gen

Jedes Ver­fah­ren, bei dem Daten Drit­ter in der Schu­le ver­ar­bei­tet wer­den, bedarf einer Ver­fah­rens­be­schrei­bung gemäß §8 NDSG.

Typi­scher­wei­se wird das in der Schu­le gel­ten für:

  1. Schü­ler­ver­wal­tungs­pro­gram­me (DANIS, Sibank …)
  2. Office­pro­gram­me (Lis­ten, Kol­le­gi­ums­da­ten etc.)
  3. Ober­stu­fen­ver­wal­tung (Apol­lon)
  4. Stun­den­pla­nungpro­gramm (UNTIS etc.)
  5. Zeug­nis­pro­gram­me (Win­ZEP etc.)
  6. usw. (hängt von den Ver­wal­tungs­struk­tu­ren ab)

3. Ver­pflich­tungs­er­klä­run­gen von Kol­le­gin­nen und Kol­le­gen gemäß Erlass „Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten auf pri­va­ten Infor­ma­ti­ons­tech­ni­schen Sys­te­men (IT Sys­te­men) von Lehr­kräf­ten

Die Ver­pflich­tungs­er­klä­rung ERSETZT hier die sonst not­wen­di­ge Ver­fah­rens­be­schrei­bung – schließ­lich ist das ja durch die Erlass­vor­ga­be eine Rechts­norm. Es ist NICHT not­wen­dig Ver­fah­rens­be­schrei­bun­gen für jedes denk­ba­re Ver­fah­ren auf einem pri­va­ten Gerät zu erstel­len.

4. Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Drit­te

Bei­spie­le:

  • Lern­stands­er­he­bun­gen durch Ver­la­ge
  • durch Anbie­ter gehos­te­te Lern­platt­for­men
  • digi­ta­le Klas­sen­bü­cher
  • etc.

Hier haben wir zwei Kon­struk­te:

a) Es gibt ein Ver­trags­ver­hält­nis zwi­schen Schu­le und Anbie­ter. Dafür braucht man einen Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung. Zusätz­lich ist eine Ver­fah­ren­be­schrei­bung     not­wen­dig.

b) Es gibt nach wie vor ein Für­sor­ge­ver­hält­nis zwi­schen Schu­le und Schü­lern bzw. Eltern. Wenn z.B. der Nach­weis nicht erbracht wer­den kann, dass es erfor­der­lich ist (und das ist lt. Schul­ge­setz z.Zt. juris­tisch fast immer wack­lig), dass die Daten im Auf­trag ver­ar­bei­tet     wer­den, braucht man eine Ein­wil­li­gungs­er­klä­rung der Betrof­fe­nen.

Abso­lut unüber­sicht­lich wird es, wenn der Ver­lag z.B. die Test­soft­ware zur Lern­stands­er­he­bung nicht selbst hos­tet, son­dern sich wie­der­um bei einem Dienst­leis­ter ein­ge­mie­tet hat. Dann braucht man eine wei­te­re Ver­ein­ba­rung zur Auf­rags­da­ten­ver­ar­bei­tung (Unter­ver­ein­ba­rung) zwi­schen die­sem Dienst­leis­ter, z.B. dem Rechen­zen­trums­be­trei­ber und dem Ver­lag, die auch dem LfD auf Anfra­ge vor­ge­legt wer­den muss.

5. Ein­wil­li­gungs­er­klä­run­gen

Für ALLE Arten der Daten­ver­ar­bei­tung, die gemäß NSchG NICHT erfor­der­lich sind.

  1. Ver­wen­dung von Fotos (Schul­home­page, Leh­rer­ka­len­der, Noten­ver­wal­tung von Lehr­kräf­ten etc.)
  2. Wei­ter­ga­be von Adress­da­ten (Tele­fon, E-Mail, Adres­se) an z.B. den Klas­sen­leh­rer aber auch Eltern
  3. Ver­wen­dung von Schü­ler­ar­bei­ten bei jeder Art von Ver­öf­fent­li­chung
  4. Schul­netz­werk (Nut­zungs­ver­ein­ba­rung, Auf­klä­rung über Art um Umfang der Daten­ver­ar­bei­tung im päd­ago­gi­schen Netz)
  5. WLAN-Nut­zungs­ver­ein­ba­rung, wenn durch Lehr­kräf­te und/oder SuS genutzt
  6. Gibt es ggf. wei­te­re Daten­ver­ar­bei­tungs- und Ver­öf­fent­li­chungs­pro­zes­se, die z.B. die Belan­ge des Per­so­nals betref­fen?
  7. [ … ]

Tech­ni­scher Daten­schutz

Wo ste­hen die IT-Sys­te­me mit sen­si­blen Daten?
Wer hat Zugriff auf die Pass­wör­ter? Wie kom­plex sind die Pass­wör­ter? Wann wer­den sie aus­ges­tauscht?
Was pas­siert bei Dieb­stahl oder Beschä­di­gung der daten­ver­ar­bei­ten­den Sys­te­me?
Was pas­siert bei einem z.B. krank­heits­be­ding­ten Aus­fall des Sys­tem­ad­mi­nis­tra­tors?
Wie kann ich den Aus­kunfts­an­spruch gem. §16 NSchG mit ver­tret­ba­rem Auf­wand in ver­tret­ba­rem Zeit­rah­men sicher­stel­len?

Tja. Die­se Lis­te ist garan­tiert weder voll­stän­dig noch kom­plett kor­rekt. Es feh­len noch diver­se Rege­lun­gen bezüg­lich des Urhe­ber­rechts, das ger­ne mal mit dem Daten­schutz ver­mischt wird. Wei­ter infor­mie­ren kann man sich auf dem Nibis anschau­en.

Ich will das nicht wei­ter kom­men­tie­ren, fän­de es aber schön, wenn:

  • das Schul­ge­setz ver­bind­li­che und kon­kre­te Vor­ga­ben dar­über macht, wel­che Daten von SuS ver­ar­bei­tet wer­den dür­fen
  • wei­te­re Ver­fah­rens­be­schrei­bun­gen durch den Dienst­herrn erstellt wür­den
  • Mus­ter­tex­te durch den Dienst­herrn erstellt wür­den (Nut­zungs­ord­nung, Ein­wil­li­gung in Ver­wen­dung von Fotos etc.)
  • all­ge­mein der Dienst­herr sich sei­ner Schu­len im Rah­men der Für­sor­ge­pflicht in Bezug auf den Daten­schutz noch mehr annimmt, als er das jetzt schon tut (das war doch jetzt diplo­ma­tisch, oder?)

Größ­ten­teils haben wir hier näm­lich For­ma­lis­men. Die Cur­ri­cu­la schrei­ben mehr und mehr die Nut­zung digi­ta­ler Medi­en vor oder legen sie nahe. Dann muss die Rechts­ord­nung das auch ermög­li­chen und eine kla­re Ori­en­tie­rung bie­ten. Schu­len sol­len nach mei­ner Wahr­neh­mung noch ande­re Din­ge zu tun haben, als sich um den Daten­schutz zu küm­mern. Zudem sit­zen dort eher Lehr­kräf­te als Voll­ju­ris­ten.

Facebook Like

3 Kommentare

  • Ilga Bliek

    Guten Mor­gen,

    im Gespräch mit dem Lan­des­da­ten­schutz­be­auf­trag­ten ist geklärt wor­den, dass die Ver­fah­rens­ge­schrei­bung zu Sibank nicht mehr zur Ver­fü­gung gestellt wer­den soll. Daher soll­te auch hier der Link ent­fernt wer­den. Zudem muss es unter ‚2. Ver­fah­ren­be­schrei­bun­gen’ ‚Apol­lon’ (mit einem N) hei­ßen.

    Dan­ke und vie­le Grü­ße,
    Ilga Bliek

  • Dan­ke für den Hin­weis. Und der Link ver­weist dann eben ins Lee­re, wenn die Zeil­da­tei ent­fernt ist.

  • Auf nibis wird mitt­ler­wei­le ein Doku­ment zur Ver­fü­gung gestellt, in dem über­sicht­lich dar­ge­stellt ist, was eine Schu­le in punk­to Daten­schutz auf Kom­mu­ni­ka­ti­ons­platt­for­men zu regeln hat:
    http://datenschutz.nibis.de/lern-bzw-informations-und-kommunikationsplattformen/

    Dar­in sind auch Links zu den erwähn­ten Mus­ter­tex­ten ent­hal­ten (auch dei­ne Ver­fah­rens­be­schrei­bung ;-) ). Dazu ist im Ver­gleich zum sehr aus­führ­li­chen Infor­ma­ti­ons­do­ku­ment inklu­si­ve Hin­wei­sen aus Schles­wig-Hol­stein aber noch müh­se­li­ge Eigen­ar­beit nötig. Dein Arti­kel fasst das ja sehr schön zusam­men.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.