Datenschutzformalia für Schulen in Niedersachsen

Ich habe einmal ein wenig recherchiert und zusammengetragen, was nach meiner Auffassung eine Schule an Papieren hier in Niedersachsen produzieren muss, um grundlegende Datenschutzauflagen zu erfüllen – die juristischen Kommentare zu den Vorschriften habe ich noch nicht alle gelesen:

1. Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss benannt sein (§8a NDSG).

  1. Er muss nicht der Schule angehören
  2. Er muss über Sachkenntnis und Zuverlässigkeit verfügen
  3. Er darf durch die Bestellung keinem Interessenskonflikt ausgesetzt sein
  4. Er muss seine Arbeit jedermann verfügbar machen

Der Systemadministrator kann also nicht Datenschutzbeauftragter sein, da ein Interessenskonflikt besteht – schließlich müsste er sich selbst kontrollieren.

2. Verfahrenbeschreibungen

Jedes Verfahren, bei dem Daten Dritter in der Schule verarbeitet werden, bedarf einer Verfahrensbeschreibung gemäß §8 NDSG.

Typischerweise wird das in der Schule gelten für:

  1. Schülerverwaltungsprogramme (DANIS, Sibank …)
  2. Officeprogramme (Listen, Kollegiumsdaten etc.)
  3. Oberstufenverwaltung (Apollon)
  4. Stundenplanungprogramm (UNTIS etc.)
  5. Zeugnisprogramme (WinZEP etc.)
  6. usw. (hängt von den Verwaltungsstrukturen ab)

3. Verpflichtungserklärungen von Kolleginnen und Kollegen gemäß Erlass „Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT Systemen) von Lehrkräften

Die Verpflichtungserklärung ERSETZT hier die sonst notwendige Verfahrensbeschreibung – schließlich ist das ja durch die Erlassvorgabe eine Rechtsnorm. Es ist NICHT notwendig Verfahrensbeschreibungen für jedes denkbare Verfahren auf einem privaten Gerät zu erstellen.

4. Verarbeitung personenbezogener Daten durch Dritte

Beispiele:

  • Lernstandserhebungen durch Verlage
  • durch Anbieter gehostete Lernplattformen
  • digitale Klassenbücher
  • etc.

Hier haben wir zwei Konstrukte:

a) Es gibt ein Vertragsverhältnis zwischen Schule und Anbieter. Dafür braucht man einen Vereinbarung zur Auftragsdatenverarbeitung. Zusätzlich ist eine Verfahrenbeschreibung     notwendig.

b) Es gibt nach wie vor ein Fürsorgeverhältnis zwischen Schule und Schülern bzw. Eltern. Wenn z.B. der Nachweis nicht erbracht werden kann, dass es erforderlich ist (und das ist lt. Schulgesetz z.Zt. juristisch fast immer wacklig), dass die Daten im Auftrag verarbeitet     werden, braucht man eine Einwilligungserklärung der Betroffenen.

Absolut unübersichtlich wird es, wenn der Verlag z.B. die Testsoftware zur Lernstandserhebung nicht selbst hostet, sondern sich wiederum bei einem Dienstleister eingemietet hat. Dann braucht man eine weitere Vereinbarung zur Aufragsdatenverarbeitung (Untervereinbarung) zwischen diesem Dienstleister, z.B. dem Rechenzentrumsbetreiber und dem Verlag, die auch dem LfD auf Anfrage vorgelegt werden muss.

5. Einwilligungserklärungen

Für ALLE Arten der Datenverarbeitung, die gemäß NSchG NICHT erforderlich sind.

  1. Verwendung von Fotos (Schulhomepage, Lehrerkalender, Notenverwaltung von Lehrkräften etc.)
  2. Weitergabe von Adressdaten (Telefon, E-Mail, Adresse) an z.B. den Klassenlehrer aber auch Eltern
  3. Verwendung von Schülerarbeiten bei jeder Art von Veröffentlichung
  4. Schulnetzwerk (Nutzungsvereinbarung, Aufklärung über Art um Umfang der Datenverarbeitung im pädagogischen Netz)
  5. WLAN-Nutzungsvereinbarung, wenn durch Lehrkräfte und/oder SuS genutzt
  6. Gibt es ggf. weitere Datenverarbeitungs- und Veröffentlichungsprozesse, die z.B. die Belange des Personals betreffen?
  7. [ … ]

Technischer Datenschutz

Wo stehen die IT-Systeme mit sensiblen Daten?
Wer hat Zugriff auf die Passwörter? Wie komplex sind die Passwörter? Wann werden sie ausgestauscht?
Was passiert bei Diebstahl oder Beschädigung der datenverarbeitenden Systeme?
Was passiert bei einem z.B. krankheitsbedingten Ausfall des Systemadministrators?
Wie kann ich den Auskunftsanspruch gem. §16 NSchG mit vertretbarem Aufwand in vertretbarem Zeitrahmen sicherstellen?

Tja. Diese Liste ist garantiert weder vollständig noch komplett korrekt. Es fehlen noch diverse Regelungen bezüglich des Urheberrechts, das gerne mal mit dem Datenschutz vermischt wird. Weiter informieren kann man sich auf dem Nibis anschauen.

Ich will das nicht weiter kommentieren, fände es aber schön, wenn:

  • das Schulgesetz verbindliche und konkrete Vorgaben darüber macht, welche Daten von SuS verarbeitet werden dürfen
  • weitere Verfahrensbeschreibungen durch den Dienstherrn erstellt würden
  • Mustertexte durch den Dienstherrn erstellt würden (Nutzungsordnung, Einwilligung in Verwendung von Fotos etc.)
  • allgemein der Dienstherr sich seiner Schulen im Rahmen der Fürsorgepflicht in Bezug auf den Datenschutz noch mehr annimmt, als er das jetzt schon tut (das war doch jetzt diplomatisch, oder?)

Größtenteils haben wir hier nämlich Formalismen. Die Curricula schreiben mehr und mehr die Nutzung digitaler Medien vor oder legen sie nahe. Dann muss die Rechtsordnung das auch ermöglichen und eine klare Orientierung bieten. Schulen sollen nach meiner Wahrnehmung noch andere Dinge zu tun haben, als sich um den Datenschutz zu kümmern. Zudem sitzen dort eher Lehrkräfte als Volljuristen.

Facebook Like

3 Kommentare

  • Ilga Bliek

    Guten Morgen,

    im Gespräch mit dem Landesdatenschutzbeauftragten ist geklärt worden, dass die Verfahrensgeschreibung zu Sibank nicht mehr zur Verfügung gestellt werden soll. Daher sollte auch hier der Link entfernt werden. Zudem muss es unter ‚2. Verfahrenbeschreibungen‘ ‚Apollon‘ (mit einem N) heißen.

    Danke und viele Grüße,
    Ilga Bliek

  • Danke für den Hinweis. Und der Link verweist dann eben ins Leere, wenn die Zeildatei entfernt ist.

  • Auf nibis wird mittlerweile ein Dokument zur Verfügung gestellt, in dem übersichtlich dargestellt ist, was eine Schule in punkto Datenschutz auf Kommunikationsplattformen zu regeln hat:
    http://datenschutz.nibis.de/lern-bzw-informations-und-kommunikationsplattformen/

    Darin sind auch Links zu den erwähnten Mustertexten enthalten (auch deine Verfahrensbeschreibung ;-) ). Dazu ist im Vergleich zum sehr ausführlichen Informationsdokument inklusive Hinweisen aus Schleswig-Holstein aber noch mühselige Eigenarbeit nötig. Dein Artikel fasst das ja sehr schön zusammen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.