Datenschutz im Schulbereich - [width=]./Bilder/Logo ... · herausgeben (Patriot Act, Cloud Act) 3...

Datenschutzbeauftragterdes Kantons Thurgau

Datenschutz im Schulbereich

lic. iur. Fritz Tanner, RechtsanwaltAmt fur Volksschule / Verband Thurgauer Schulgemeinden

Schulanlage Reutenen, FrauenfeldMontag, den 23. September 2019

(ca. 18:40 Uhr - 19:30 Uhr)

Datenschutz im Schulbereich 1


1 Rechtliche Grundlagen

2 Datenschutz anwenden

3 Noch kurz zur Aufgabe der Schule

4 Fragen?

Datenschutz im Schulbereich 2





4 Fragen?

Datenschutz im Schulbereich 3 Rechtliche Grundlagen


- Was ist Datenschutz?

Schutz der Personlichkeit

Datenschutzrelevant: Personendaten

Besonders schutzenswerte Personendaten

Religion, Weltanschauung, politischeAnsicht und BetatigungPersonlicher GeheimbereichSeelischer, korperlicher ZustandSozialhilfeStrafen und Massnahmen (etc.).



- Grundrechte (Verfassung)

Art. 13 Abs. 2 BV: Schutz derPrivatsphare

1 Jede Person hat Anspruch auf Schutzvor Missbrauch ihrer personlichen Daten

Art. 36 Abs. 1 BV: EinschrankungGrundrechte

1 Einschrankungen von Grundrechtenbedurfen einer gesetzlichen Grundlage(zudem verh.mass., off. Int., Kerngehalt)

2 Schwerwiegende Einschrankungenmussen in einem (formellen) Gesetzselbst vorgesehen sein

Einwilligung.



- Bundesgesetz uber den Datenschutz (SR 235.1)

Der Bund hat ein eigenesDatenschutzgesetz

Eidgenossischer Datenschutz- undOffentlichkeitsbeauftragter (Adrian Lobsiger)

Zustandig fur Bundesbehorden undPrivate

Derzeit in Revision wegen:

SchengenrelevantBisher Busse: Fr. 0.-Noch offen: Busse Fr. 250’000.- .



- Datenschutzgesetz des Kantons Thurgau (RB 170.7)

Der Kanton Thurgau hat ein eigenesDatenschutzgesetz

Datenschutzbeauftragter des KantonsThurgau + in Gemeinden eigene Stellen

Zustandig fur Behorden im KantonThurgau

Derzeit in Revision wegen:

Schengenrelevant(Offentlichkeitsgesetz)

Strafe: Busse.



- EU Datenschutz-Grundverordnung

25.08.2018: Verordnung (EU) 2016/679

https://eur-lex.europa.eu

Busse bis 4% Jahresumsatz (weltweiter Umsatz)

Anwendbar auch auf uns, falls:

Waren oder Dienste in EU (Newsletter)Verhalten in EU beobachten (Analytics)Auftragsbearbeiter in EU (Server)

Besonderheit: Einwilligung nur mitWiderrufsrecht gultig.



- Zusammenfassung rechtliche Grundlagen

Bearbeiten von Personendaten:

1 Nur mit gesetzlicher Grundlage

Es steht im Gesetz, dass wir Daten fur bestimmten Zweckbearbeiten durfen oderWir haben eine gesetzliche Aufgabe, zu welcher dasBearbeiten von Personendaten gehort

2 Mit Einwilligung der betroffenen Person

AufgeklartBeweisbarHinweis auf Widerrufsrecht.






4 Fragen?

Datenschutz im Schulbereich 10 Datenschutz anwenden


- Vertragliche Abmachungen (Cloud an Schulen)

Server Schweiz (rechtlich kontrollierbar)

Schweizer Recht, Schweizer Gerichtsstand

Datenschutzrechte durchsetzbar(Loschung, Berichtigung...)

Nach jeweiligem Stand der Technikbestmoglichst geschutzt

Info bei Datenverlust oderDatenmissbrauch

Datenportabilitat (Ende Mandat)

Pflicht zu absoluter Vertraulichkeit... .



- Was passiert, wenn ich Microsoft OneNote aufrufe?(Im Browser steht nur https://onedrive.live.com)

Machen wir ein �Ping� zu OneNote:

Wir wissen nun: Der Server lauft auf der IP Adresse 13.107.42.13.



- Wo laufen meine Daten durch, wenn ich zur IP Adresse13.107.42.13 (OneNote) gehe?

Machen wir ein �Traceroute� zu OneNote:

Wir wissen nun: Der Weg geht (z.B.) zu green.ch AG in Lupfig(146.228.3.65), dann uber den Swiss Internet Exchange inGlattbrugg (91.206.52.152) und schlussendlich zur IP Adresse13.107.42.13.



- Wem gehort diese IP Adresse 13.107.42.13 (OneNote)?

Machen wir ein �Whois� zu OneNote:

Wir wissen nun: Die IP Adresse 13.107.42.13 gehort zu MicrosoftCorporation in Redmond (USA)



- Der Datenbezug auf einer Karte betrachtet:

Ob der Server effektiv in Redmont steht, wissen wir nicht genau.Wir wissen aber, dass wir bei OneNote einen Bezug zur USAhaben... .



- Problem und Losung zur Verwendung von OneNote

1 Daten gehen zu US-amerikanischerUnternehmung

2 Diese muss die Daten an US-Regierungherausgeben (Patriot Act, Cloud Act)

3 Microsoft (etc.) kann die erforderlicheVerschwiegenheit (Cloud) nicht mituns vereinbaren und einhalten

4 Losung:Daten klassifizierenDatenschutz gilt bei Sachdaten nichtOneNote nur fur Broschuren,Merkblatter etc. verwenden(keine Personendaten).



- Wir versenden ein Mail zu [email protected] - Ablauf:

1 Das Mail geht zu unserem eigenenMailserver (z.B. zu @tg.ch)

2 Dieser leitet unser Mail zum Mailservervon gmx.ch bei 1&1 Mail & Media GmbHin DE-56410 Montabaur weiter

3 Dort werden die Mail gescannt und furWerbung etc. ausgewertet

4 Am gleichen Ort wird das Mail dann vomBerechtigten [email protected] abgeholt

5 Folge: GMX (bzw. die 1&1 Mail & MediaGmbH) kennt den gesamten Mailinhaltinklusive aller Anhange!



- Hinweis zum Amtsgeheimnis (Art. 320 StGB)

�Wer ein Geheimnis offenbart,(Anmerkung: Offenbaren bedeutet, in denHerrschaftsbereich einer Drittperson zubringen; hier an gmx.ch!)das ihm in seiner Eigenschaft als Mitgliedeiner Behorde oder als Beamteranvertraut worden ist, oder das er inseiner amtlichen oder dienstlichenStellung wahrgenommen hat, wird mitFreiheitsstrafe bis zu drei Jahren oderGeldstrafe bestraft�

Mails sind also sehr heikel.



- Unproblematische Mails (TLS):

Von @tg.ch zu @tg.ch oder

Von @frauenfeld.ch (beim AFI) zu @tg.choder

Vom eigenen, sicheren Mailserver [email protected] oder

Verschlusselte Mails (sicheres Programmbeim Absender und beim Empfanger zuinstallieren; ist kompliziert).


Schoen,_dass_jemand_den_Code_lesen_kann_(23._September_2019)!


- Webseite

Leider viele Cookies-Hinweise

Cookies konnen Verhalten des Benutzeranalysieren; teilweise sind Cookies abererforderlich (z.B. Webshop)

Weitere Probleme:

Google Analytics (ga(’set’,’anonymizeIp’, true);)Externe Schriften einbinden

Losung: EU DSGVO verlangtEinwilligung.






4 Fragen?

Datenschutz im Schulbereich 21 Noch kurz zur Aufgabe der Schule


- Aufgabe der Schule (§ 2 Gesetz uber die Volksschule)

�Die Volksschule fordert die geistigen,seelischen und korperlichen Fahigkeitender Kinder.�

Somit:Nicht das Internet abschalten

sondern:Auf die Gefahren hinweisen

und als Vorbild nur die erforderlichenPersonendaten bearbeiten.

Datenschutz im Schulbereich 22 Noch kurz zur Aufgabe der Schule





4 Fragen?

Datenschutz im Schulbereich 23 Fragen?


- Fragen

- ? -

Datenschutz im Schulbereich 24 Fragen?

Datenschutz im Schulbereich - [width=]./Bilder/Logo ... · herausgeben (Patriot Act, Cloud Act) 3...

Documents

Transcript of Datenschutz im Schulbereich - [width=]./Bilder/Logo ... · herausgeben (Patriot Act, Cloud Act) 3...