Datenschutz in der SchuleRechtsauslegung in der BBS

info@sbpr-spang.de 0177-6000313 sbpr-spang.de

Vortragsverlauf

2

Datensicherheit - Datentransport

Datenverfügbarkeit

Datenschutz nach NDSG1

Fallbeispiel: E. Klassenbuch

2

3

4

Warum Datenschutz

✓Schutz vor missbräuchlicher Datenverarbeitung

✓Recht auf informationelle Selbstbestimmung

✓Schutz der Privatsphäre

3

WELCHE GESETZE - GÜLTIGKEIT

✓EU- Datenschutz-Grundverordnung (DSGVO)

✓Bundesdatenschutzgesetz (BDSG) gilt für öffentlichen Stellen der Bundesverwaltung und für die Privatwirtschaft.

✓Öffentliche Stellen:

✓Polizei, Schulen, Ministerien, Gemeinden, Landkreise

✓Körperschaften, Anstalten, Stiftungen des öffentlichen Rechts

✓Für öffentlichen Stellen der Länder gelten die Landesdatenschutzgesetze,

✓Für Niedersachsen das Nds. Datenschutzgesetz (NDSG) 4

EU-DSGVO EUROPÄISCHE DATENSCHUTZ GRUND VERORDNUNG

5

Neu ab 2018: EU-DSGVO

✓DSGVO = Europäische Datenschutz Grund Verordnung ✓25. Mai 2018: Geltung der EU-DSGVO, nationales

Recht muss bereinigt und angepasst sein ✓EU-DSGVO geht nationalen Datenschutzgesetzen in

der Anwendung vor, d.h. unmittelbare Wirkung der EU-DSGVO

✓Nationale Datenschutzgesetze werden durch die EU-DSGVO ersetzt, entgegenstehende nationale Regelungen werden unanwendbar

6

Neu ab 2018: DSGVO

✓DSGVO = Europäische Datenschutz Grund Verordnung ✓Allgemeine Öffnungsklauseln der EU-DSGVO für den

öffentlichen Bereich ✓Spezifische Öffnungsklauseln der EU-DSGVO z.B. für

den Beschäftigtendatenschutz ✓EU-DSGVO ordnet einzelne Ausgestaltungspflichten für

den nationalen Gesetzgeber an

➡ Wirkung der EU-DSGVO ist teilweise mit der einer Richtlinie vergleichbar

7

Neues Datenschutzrecht

1. Bereinigung des nationalen Rechts 1.1.Grundsätzlich abschließender Charakter der EU-

DSGVO 1.2.Abschließende Regelungen der EU-DSGVO dürfen

im nationalen Recht (z.B. dem BDSG) grundsätzlich nicht wiederholt werden,

2. Umsetzung von Regelungsgeboten der EU-DSGVO 2.1.EU-DSGVO verlangt teilweise, dass der nationale

Gesetzgeber Regelungen trifft, z.B. im Bereich der Sanktionen oder der Datenschutzaufsicht. Es wird ein Nachfolgegesetz für das BDSG geben

8

Neues Datenschutzrecht

3. Nutzung von Öffnungsklauseln in der EU-DSGVO (ca. 50-60)

3.1.ermöglichen dem Gesetzgeber nationale Datenschutzregeln zu erlassen; in diesen Konstellationen ist die EU-DSGVO nur im Grundsatz abschließend

3.2.Handlungsoptionen des Gesetzgebers bei Öffnungsklauseln

3.2.1.Modifikation: nationales Recht regelt eine Abweichung von der EU-DSGVO

3.2.2.Aufgrund der Öffnungsklauseln wird es weiterhin nationale Datenschutzregelungen und ein Nachfolgegesetz des BDSG geben 9

Beispiele…. für Regelungsgebote

• Errichtung unabhängiger Aufsicht mit bestimmten Aufgaben

• Strafrechtliche Sanktionen und Verfahren für Geldbußen regeln

• Zusammenarbeit der Aufsicht, One-Stop- Shop, Kohärenzverfahren

• Datenschutz mit Medienprivileg und Informationsfreiheit in Einklang bringen

• Kirchliches Datenschutzrecht anpassen

10

Beispiele…. für Öffnungsklauseln

• Anforderungen an die Verarbeitung im öffentlichen Bereich regeln

• Datenschutzbeauftragter • Beschäftigtendatenschutz regeln • Betroffenenrechte beschränken im öffentlichen

Interesse oder zu historischen wissenschaftlichen oder Archivzwecken

• Erlass von Regelungen zur Verarbeitung nationaler Kennziffer

• Altersgrenze für die Einwilligung eines Kindes regeln 11

NIEDERSÄCHSISCHES DATENSCHUTZGESETZ

In der aktuellen Fassung vom 29. Januar 2002

12

ALLGEMEINE BESTIMMUNGEN

✓§1: Aufgabe des Gesetzes ...

✓§2: Anwendungsbereich ...

✓§3: Begriffsbestimmungen ...

✓2) Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen und Nutzen personenbezogener Daten

13

14

(1) 1Öffentliche Stellen haben die technischen und organisatorischen Maßnahmen zu treffen.. um die Verarbeitung ....personenbezogener Daten sicherzustellen.

(2) Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind,

✓Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Zugangskontrolle),

✓zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt (Datenträgerkontrolle),

✓die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),

§7 TECHN. & ORG. MAßNAHMEN

15

✓Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung festzulegen:

1. die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung,

2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung,

3. den Kreis der Betroffenen,

4. die Art regelmäßig zu übermittelnder Daten, deren Empfänger, in den Fällen des § 6 auch die Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten,

5. die Absicht , Daten in Staaten nach §14 zu übermitteln,

6. Fristen für die Sperrung und Löschung der Daten,

7. die technischen und organisatorischen Maßnahmen nach §7,

8. die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung.

§8 VERFAHRENSBESCHREIBUNG

§8a Behördliche Datenschutzbeauftragte

✓Jede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet, hat eine Beauftragte oder einen Beauftragten für den Datenschutz zu bestellen

✓Mitbestimmung durch Nds. PersVG §67 S (1) 9.

✓(1) Der Personalrat bestimmt insbesondere bei folgenden Maßnahmen mit:

9. Bestellung und Abberufung von Beauftragten für Datenschutz,

16

17

§9: Erhebung

✓(1)Personenbezogene Daten dürfen erhoben werden, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist (Zweckbindung)

✓Die Daten sind bei den Betroffenen mit ihrer Kenntnis zu erheben

✓Bei Dritten dürfen personenbezogene Daten nur erhoben werden, wenn ...

Rechtsgrundlagen für die DV

18

§16 Auskunft, Einsicht in Akten

§17 Berichtigung, Löschung und Sperrung

§17a Widerspruchsrecht

§18 Schadensersatz

§19 Anrufung der Landesbeauftragten oder des Landesbeauftragten

§20 Verzicht auf Rechte der Betroffenen

RECHTE DER BETROFFENEN

19

(1) 1Die Landesbeauftragte oder der Landesbeauftragte kontrolliert die Einhaltung der Vorschriften …..

(4) 1Die Behörden und … öffentlichen Stellen sind verpflichtet, die Landesbeauftragte … bei der Erfüllung der Aufgaben zu unterstützen.

2 Dazu haben sie insbesondere

✓Auskunft zu erteilen sowie Einsicht in alle Unterlagen zu gewähren, die die Landesbeauftragte oder der Landesbeauftragte zur Erfüllung der Aufgaben für erforderlich hält,

✓die in Nummer 1 genannten Unterlagen auf Verlangen innerhalb einer bestimmten Frist zu übersenden,

✓ jederzeit Zutritt in alle Diensträume zu gewähren.

§ 22: Landesbeauftragter

SCHÜLERDATENVERARBEITUNG E-MAIL DIENSTADRESSE

Sonderfälle

20

21

✓ Im Schul- und Verwaltungsnetz

✓Unproblematisch, da die Schule den Umgang verantwortet wenn die Vorgaben der Schule eingehalten werden

✓Problematisch und in Eigenverantwortung der Lehrkraft auf privaten Geräten z.B.

✓Home PC

✓USB, etc. Datenträger

✓In der (privaten) Cloud

Schülerdatenverarbeitung

NUR MIT UNTERZEICHNUNG DIESER ERKLÄRUNG

Auf privaten Geräten daher

22

23

✓Neuere Fassung:

✓ Ich sichere zu, dem Landesbeauftragten für den Datenschutz Niedersachsen (LfD) die Wahrnehmung der Kontrollaufgaben in meinem häuslichen Bereich zu ermöglichen

✓Neue Formulierung ist präziser und wird den gesetzlichen Vorgaben des § 22 Abs. 1 Nds. Datenschutzgesetz (NDSG) gerechter.

✓Ohne die grundsätzliche Möglichkeit für den LfD, die gesetzlich vorgeschriebenen Kontrollrechte wahrnehmen zu können, ist eine Verarbeitung von dienstlichen Daten auf privaten IT-Systemen nicht möglich

Erklärung gegenüber dem Landesbeauftragten

24

✓ In der Praxis ist nicht geplant, routinemäßig und ohne Vorliegen von Verdachtsmomenten eine Kontrolle im häuslichen Bereich vorzunehmen. Selbst wenn der Verdacht bestünde, dass eine Lehrkraft unzulässigerweise dienstliche Daten verarbeiten würde, würde man z. B. erst die Lehrkraft bitten, das IT-System mit in die Schule zu bringen, bevor man die Wohnung aufsuchen würde.

✓Gerade weil durch diese Kontrollmöglichkeit das Grundrecht auf Unverletzlichkeit der Wohnung nach § 13 GG eingeschränkt wird, ist vorab diese grundsätzliche Zustimmung der Lehrkräfte erforderlich.

Bedeutung für die berufliche Praxis

25

✓Anordnung der dienstlichen Nutzung

✓Ist im Schuldienst die grundsätzliche Verwendung

✓Warum ist dies so:

✓Gestattet der Arbeitgeber (in unserem Fall die SL) die Nutzung von E-Mail und Internet ausschließlich zu dienstlichen Zwecken, ist er nicht Anbieter im Sinne des Telekommunikations- (TK-) bzw. Telemedienrechts (vgl. § 11 Abs. 1 Nr. 1 Telemediengesetz, TMG);

Schul-E-Mail = Dienstadresse

26

✓Der Arbeitgeber hat grundsätzlich das Recht, stichprobenartig zu prüfen, ob das Surfen bzw. E-Mail-Versenden der Beschäftigten dienstlicher Natur ist.

✓Eine automatisierte Vollkontrolle durch den Arbeitgeber ist als schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten hingegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig.

✓Es wird empfohlen über die Nutzung von E-Mail und Internet eine Dienstvereinbarung mit dem Personalrat abzuschließen, in der die Fragen der Protokollierung, Auswertung und Durchführung von Kontrollen eindeutig geregelt werden.

✓Auf mögliche Überwachungsmaßnahmen und in Betracht kommende Sanktionen sind die Beschäftigten hinzuweisen

Schul-E-Mail = Dienstadresse

27

✓Bei Beschäftigten, denen in ihrer Tätigkeit persönliche Geheimnisse anvertraut werden und die deshalb in einem besonderen Vertrauensverhältnis zu den betroffenen Personen stehen, muss eine Kenntnisnahme des Arbeitgebers vom Inhalt der Nachrichten und den Verkehrsdaten, die einen Rückschluss auf die betroffenen Personen zulassen, ausgeschlossen werden. Beispiele:

✓Beratungslehrkräfte?

✓Mitglieder des Schulpersonalrats?

✓Schulpsychologen?

Dienstadresse = SPR Adresse?

28

✓Wenn ein Arbeitgeber den Beschäftigten die private Nutzung von Internet oder E-Mail erlaubt, ist er ihnen gegenüber TK- bzw. Telemediendienste-Anbieter

✓Anbieter unterliegen gesetzlichen Auflagen die nichts mit der dienstlichen Aufgabe zu tun haben

✓Der Umfang der privaten Nutzung, ihre Bedingungen sowie Art und Umfang der Kontrolle, ob diese Bedingungen eingehalten werden, müssen – am sinnvollsten durch Dienstvereinbarung oder -anweisung – unter Beteiligung des Personalrats eindeutig geregelt werden

Dienstadresse = Privatnutzung erlaubt

DATENVERFÜGBARKEITWas hat das mit Datenschutz zu tun?

29

30

✓Bedeutet, das zur Verfügung stellen von Daten in einem IT-System

✓D.h. wie werden die Daten zum Abruf bereit gehalten

✓Hauslösung: PC mit Festplatte und externer Datensicherung auf CD, DVD, HDD oder USB Stick

✓Firmenlösung: RAID-Systeme mit Backup Konzepten, NAS oder SAN

Datenverfügbarkeit

31

✓Technischer Systemausfall

✓Missbrauch des System durch nicht berechtigten Zugriff

✓Veränderung von veröffentlichten Inhalten

✓Sabotage, Spionage

✓Betrug und Diebstahl

Gefahren

32

✓Höhere Gewalt, z. B. Blitzschlag, Feuer, Überschwemmung

✓Fehlbedienung durch Personal

✓Computerviren, Trojaner und Würmer

✓Spoofing, Phishing, Pharming

✓Denial of Service-Angriff

✓Man-in-the-middle-Angriffe

✓Social Engineering

Ursachen

DATENSICHERHEITDatenschutz !=

33

34

Datensicherung - Sicherungskopien

Logdateien und Protokollierung

Verschlüsselung von wichtigen Daten

Aktuelle Softwareversionen

Sandbox für unsichere Programme Antiviren Software nutzen

Verwenden einer Firewall

Maßnahmen

35

Privater Bereich

Eigene Hard- und Softwareumgebung

Homebanking

Internetanwendungen und Speicher

Sicherungssysteme

Speichern von dienstlichen Daten

Zugriff auf Schulserver

Anwendung

36

✓ IT-Sicherheit in Schule

✓ IT-Grundschutzkatalog

✓BSI

✓Bundesamt für Sicherheit in der IT

✓Katalog mit Informationen

Anwendung

DATENÜBERTRAGUNGAnfordern von Daten aus der Ferne

37

38

✓ Ist der Begriff für alle Methoden die Nutzdaten von einem Sender zum Empfänger transportieren

✓Per Ethernetkabel

✓Kupfer

✓LWL

✓WLAN (Wireless Local Area Network)

✓lokales Funknetz im IEEE-802.11 Standard

✓auch Wi-Fi genannt

Datenübertragung

39

✓2G (Global System for Mobile Communication) GSM

✓G: GPRS (Genaral Packet Radio Service) 53,6kbit/s

✓E: Edge (Enhanced Data Rates for GSM Evolution) 256 kbit/s

✓3G - UMTS (Universal Mobile Telecommunications System)

✓384 kbit/s bis 42 Mbit/s

✓4G -

✓LTE (Long Term Evolution) 500Mbit/s

✓LTE-A (Advanced) 1 Gbit/s

Datenübertragung: Mobilfunkstandard

Elektronisches KlassenbuchFallbeispiel: Mitbestimmung durch den Personalrat?

40

NPersVG

§67 Mitbestimmung bei organisatorischen Maßnahmen (1) Der Personalrat bestimmt insbesondere bei folgenden Maßnahmen mit:

1. Festlegung oder Veränderung des Umfangs der automatisierten Verarbeitung personenbezogener Daten der Beschäftigten für Zwecke der Personalverwaltung oder Personalwirtschaft außerhalb von Besoldungs-, Vergütungs-, Lohn-, Entgelt- und Versorgungsleistungen sowie von Beihilfen, Heilfürsorge, Reisekosten-, Trennungs- geld- und Umzugskostenrecht

2. Einführung, wesentliche Erweiterung und Anwendung technischer Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen

4. Maßnahmen zur Hebung der Arbeitsleistung und zur Erleichterung des Arbeitsablaufs

6. Einführung grundlegend neuer Arbeitsmethoden 41

42

Erkenntnisse

✓Schulpersonalräte sind in der Mitbestimmung bei der Einführung eines digitalen Klassenbuch

✓Jede Schule hat einen Beauftragten für den Datenschutz

✓Datenschutzbeauftragte erstellen Verfahrensbeschreibungen bei der Einführung neuer Systeme

43

Prüfung

✓Der Schulpersonalrat lässt sich vom Datenschutz-beauftragten die Verfahrensbeschreibung erläutern

✓Außerdem sollte der Datenschutzbeauftragte das Produkt vorführen und mit Hilfe der Verfahrens-beschreibung die Maßnahmen erläutern, die zum Schutz der Daten durchgeführt wurden

44

✓Welche personenbezogenen Daten werden gespeichert?

✓Wann werden diese gelöscht?

✓Welche Auswertungsmöglichkeiten können vorgenommen werden?

✓Wer hat Zugriff auf welche Daten? (Berechtigungen)

✓Wie sieht das Sicherheitskonzept aus? (Kennwörter etc.)

Fragen zum Inhalt

NDS. DATENSCHUTZGESETZ

✓Wer betreibt/administriert die Datenbank, das Klassenbuch?

✓Wo liegen die Daten?

✓Inland, Ausland, Fremdfirmen

✓Erklärung zur Auftragsdatenverarbeitung

✓Mit welchen Betriebssystemen können die Daten bearbeitet werden

45

46

Vielen Danke für Ihre Geduld

EsfolgeneinigeBegriffsdefinitionen

De - Richtlinie

✓Handlungs- oder Ausführungsvorschrift einer Institution oder Instanz, die jedoch kein förmliches Gesetz ist

✓Bindungswirkung, ist abhängig von der Befugnis und Anerkennung des Herausgebers, sowie von der Art und dem Umfang der für die jeweils betroffenen Adressaten geltenden Verbindlichkeit

✓Regelungswirkung kann nur im Einzelfall beurteilt werden

47

EU - Richtlinie

✓Rechtsakte der Europäischen Union und als solche Teil des sekundären Unionsrechts

✓Sie werden je nach Thema der Richtlinie aufgrund eines der in den Verträgen vorgesehenen Verfahren erlassen

✓Es wird zwischen Gesetzgebungsakten, Durchführungsrichtlinien der Kommission und delegierten Richtlinien unterschieden

48

Rechtswirkung

✓Im Gegensatz zu EU-Verordnungen sind EU-Richtlinien nicht unmittelbar wirksam und verbindlich

✓Sie müssen durch nationale Rechtsakte umgesetzt werden

✓Es bleibt den einzelnen Mitgliedstaaten überlassen, wie sie die Richtlinien umsetzen

✓Bei der Umsetzung der Richtlinie einen gewissen Spielraum.

49

EU - Verordnung

✓Eine Verordnung der Europäischen Union (englisch regulation Kurzform „Verordnung (EU)“) ist ein Rechtsakt der Europäischen Union mit allgemeiner Gültigkeit und unmittelbarer Wirksamkeit in den Mitgliedstaaten

✓Die Verordnungen sind Teil des Sekundärrechts der Union.

50