Datenschutz an Schulen

Inhaltsverzeichnis 1. Grundbegriffe des Datenschutzes 2. Grundprinzipien des Datenschutzes 3. Gesetzliche Grundlagen 4. Begriffe vor und jetzt mit der Einführung der DSVGO 5. Aufgaben des Datenschutzbeauftragten DSB 6. Einwilligung zur Verarbeitung personenbezogener Daten 7. Das Verzeichnis von Verarbeitungstätigkeiten 8. Datenschutzverletzungen / Datenschutzpannen

Datenschutz vs. Datensicherheit 1. Grundbegriffe des Datenschutzes Datensicherheit kurz erklärt: https://mediathek.mebis.bayern.de/index.php?doc=record&identifier=BY-00027287 Datenschutz vs. Datensicherheit Datensicherheit Schutz der Daten vor: Zerstörung Missbrauch Diebstahl Datenschutz Schutz der Menschen, deren persönliche Daten erhoben werden  Recht auf Informationelle Selbstbestimmung

Was sind Personenbezogene Daten? 1. Grundbegriffe des Datenschutzes Personenbezogene Daten (Art. 4 Nr. 1 DSGVO): Alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen (= betroffene Person, Betroffener) Beachte: nur bei personenbezogenen Daten sind datenschutzrechtliche Bestimmungen anwendbar Beispiele: Überprüfbare Eigenschaften, sachl. Informationen: A ist in München geboren Einschätzungen und Urteile: A ist eine zuverlässige Lehrkraft Was sind Personenbezogene Daten?

1. Grundbegriffe des Datenschutzes Personenbezogene Daten im Schulkontext Schüler Name Adresse Staatsangehörigkeit Religionszugehörigkeit Migrationshintergrund Leistungsdaten Lehrer Angaben zur Lehrbefähigung Beurteilungen Eltern

Besonders sensible Personenbezogene Daten 1. Grundbegriffe des Datenschutzes Gesundheitsdaten Religionszugehörigkeit ethnische Herkunft sexuelle Orientierung Besonders sensible Personenbezogene Daten

Was meinen wir mit Datenverarbeitung? 1. Grundbegriffe des Datenschutzes Verarbeitung (Art. 4 Nr. 2 DSGVO): Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang […] wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, […] das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, […) das Löschen oder die Vernichtung Umfassender Verarbeitungsbegriff: Umfasst jeglichen Umgang mit personenbezogenen Daten Was meinen wir mit Datenverarbeitung?

Was ist ein Dateisystem? 1. Grundbegriffe des Datenschutzes Dateisystem (Art. 4 Nr. 6 DSGVO): Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind Unabhängig von technischen Mitteln, automatisiert, nicht automatisiert Was ist ein Dateisystem?

Wer ist der Verantwortliche? 1. Grundbegriffe des Datenschutzes Verantwortlicher (Art. 4 Nr. 7 DSGVO): Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die […] über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Im öffentlichen Bereich ist damit die für die Verarbeitung zuständige öffentliche Stelle gemeint (Art.3 Abs. 2 BayDSG) Schule, vertreten durch den Schulleiter (Art. 57 Abs. 3 BayEUG) = datenschutzrechtlich verantwortliche Stelle Zentraler Adressat der materiellen Regelungen der DSGVO  DSB ist nicht der Verantwortliche Schule bleibt auch bei Auftragsverarbeitung verantwortliche Stelle Wer ist der Verantwortliche?

Wer oder was ist ein Auftragsverarbeiter? 1. Grundbegriffe des Datenschutzes Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet Sind an die Anweisungen des Verantwortlichen gebunden Haben keine Entscheidungsfreiheit bezüglich der Zwecke und Mittel der Verarbeitung Vertragliche Grundlage erforderlich (Muster siehe Homepage des LfD) beachte: Altverträge anpassen)  Schule bleibt datenschutzrechtlich verantwortliche Stelle Wer oder was ist ein Auftragsverarbeiter?

Datenanonymisierung und Pseudonymisierung 1. Grundbegriffe des Datenschutzes Datenanonymisierung und Pseudonymisierung Anonymisierung Pseudonymisierung Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder Personenbezogene Daten wurden so verarbeitet, dass die betreffende natürliche Person nicht oder nicht mehr identifiziert werden kann DSGVO und datenschutzrechtliche Vorschriften sind nicht anwendbar Datensatz nur dann als anonymisiert gelten, wenn auch keine Kopien des Originaldatenbestandes mit Personenbezug erhalten bleiben Verarbeitung von personenbezogenen Daten in der Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können und Zusätzliche Informationen müssen gesondert aufbewahrt werden und Technischen und organisatorischen Schutzmaßnahmen unterliegen, die gewährleisten, dass keine Zuordnung erfolgt Pseudonymisierung hat i.d.R. keine Anonymisierung zur Folge DSGVO und datenschutzrechtliche Vorschriften sind anwendbar

2. Grundprinzipien des Datenschutzes Rechtmäßigkeit: Verarbeitung nach Treu und Glauben, Transparenz Eine Verarbeitung von Daten verlangt eine Rechtsgrundlage. Der (von der Verarbeitung) Betroffene muss darüber informiert werden, was mit den Daten geschieht. Zweckbindung Der Zweck, also der Grund, weshalb Daten verarbeitet werden, müssen bereits bei der Erhebung festgelegt, eindeutig und legitim sein. Datenminimierung Personenbezogene Daten dürfen nicht „auf Vorrat“ und „sicherheitshalber mal“ erhoben werden. Der Umfang muss dem Zweck angemessen und auf das notwendige Maß beschränkt werden.

2. Grundprinzipien des Datenschutzes Richtigkeit Daten müssen richtig und aktuell sein. Fehlerhafte Daten sind sofort zu korrigieren. Speicherbegrenzung Werden die Daten nicht mehr benötigt, müssen sie gelöscht werden. Integrität und Vertraulichkeit Die Daten sind vor unbefugter oder unberechtigter Verarbeitung geschützt werden. (keine Weitergabe an Dritte) Rechenschaftspflicht Es besteht eine Nachweispflicht (Dokumentation) der Verarbeitung in einem Verzeichnis.

3. Gesetzliche Grundlagen DSGVO (Europäische Datenschutzgrundverordnung) regelt Umgang mit personenbezogenen Daten BayDSG (bayerisches Datenschutzgesetz) für Schulen: BayEuG (bayerisches Erziehungs- und Unterrichtsgesetz) regelt Rechtmäßigkeit der Datenverarbeitung (Art. 85, 113a, 113b ) Schulordnungen für einzelne Schularten Lehrerdienstordnung

3. Gesetzliche Grundlagen Grundsätzlich gilt: Datenerhebung und -speicherung ist ohne Einwilligung der Betroffenen erlaubt, wenn es eine Rechtsvorschrift dazu gibt.

4. Begriffe vor und jetzt mit der DSVGO Die „Erhebung“ oder die „Nutzung“ nach bisheriger Terminologie gehen künftig im Begriff der „Verarbeitung“ auf. Verfahrensbeschreibung heißt jetzt Beschreibung einer Verarbeitungstätigkeit (für ASV / Programme wie Antolin). (Art 30 DSGVO) Verfahrensverzeichnis heißt jetzt Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Inhalt: automatisierte und nicht automatisierte Verarbeitungstätigkeiten, soweit personenbezogene Daten in einem Dateisystem gespeichert sind oder werden sollen Zuständigkeit: der Verantwortliche (normalerweise SL) darf digital geführt werden und ist nicht mehr öffentlich einsehbar Auftragsdatenverarbeitung (ADV) heißt jetzt Auftragsverarbeiter bzw. Auftragsverarbeitungsvertrag Die frühere Freigabe entfällt und wird durch die Stellungnahme des DSB ersetzt. neu: Datenschutzfolgenabschätzung (Art. 35 DSGVO)

5. Aufgaben des Datenschutzbeauftragten DSB 1. Unterrichtung und Beratung der Verantwortlichen hinsichtlich ihrer Datenschutz-Dienstpflichten 2. Überwachung der Einhaltung der DS-Vorschriften 3. Beratung und Schulung 4. Beratung bei DS-Folgenabschätzung und Überwachung ihrer Durchführung

6. Einwilligung zur Verarbeitung personenbezogener Daten Einwilligung (Art. 4 Nr. 11 DSGVO): Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung - freiwillig: betroffene Person hat eine Wahlmöglichkeit, kann ohne Nachteile auf die Erteilung der Einwilligung verzichten bzw. kann Einwilligung widerrufen mit Wirkung für die Zukunft - für bestimmten Fall und in informierter Weise: Einwilligung gilt nur für die Zwecke, die der betroffenen Person bei ihrer Erteilung bekannt sind; Zwecke sind klar und verständlich darzulegen

6. Einwilligung zur Verarbeitung personenbezogener Daten Kein Schriftformerfordernis, wird aber aus Dokumentationsgründen empfohlen Elektronische Einwilligung genügt (z.B. Anklicken in einem elektronischen Formular), sofern sichergestellt ist, dass Der Verantwortlich ihr Vorliegen nachweisen kann (Dokumentation) Sie freiwillig erfolgt ist („Ungleichgewicht“ zwischen den Parteien) Sie für den konkreten Fall gegeben wurde Und sie unmissverständlich erteilt ist (nicht: vorangekreuzte Kästchen, Schweigen, usw.)

6. Einwilligung zur Verarbeitung personenbezogener Daten Anforderungen an Wirksamkeit der Einwilligung: Art. 4 Nr. 11, Art. 7 DSGVO; Erwägungsgründe 32, 42, 43, 171 Aufklärungspflicht über Beabsichtigte Datenverarbeitung Konkreter Zweck der Verarbeitung Empfänger der Daten (Schulleitung, Schulverwaltung, übergeordnete Behörden, externe Kräfte, etc.); Zugriffsrechte Dritter (z. B. bei technischer Assistenz durch außerschulische Stelle) Widerrufsrecht für Zukunft Dauer der Speicherung der Daten / Löschfristen Betroffenenrechte (Recht auf Auskunft, Berichtigung, Sperrung oder Löschung der gespeicherten Daten sowie Beschwerderecht) Minderjährige Schüler: Einwilligung der Erziehungsberechtigten, ab 14. Lebensjahr zusätzlich Einwilligung der Schüler erforderlich

7. Das Verzeichnis von Verarbeitungstätigkeiten ... wird im Zuge der neuen DSGVO eingeführt, ... löst das Verfahrensverzeichnis ab, ... steht ab jetzt in jeder Schule. …Kann auch digital geführt werden.

7. Das Verzeichnis von Verarbeitungstätigkeiten... Was ist in das Verzeichnis aufzunehmen? (ganz oder teilweise) automatisierte Verarbeitungstätigkeiten sowie nichtautomatisierte Verarbeitungstätigkeiten, soweit personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (vgl. Art. 2 Abs. 1 DSGVO, Art. 2 BayDSG-E).

7. Das Verzeichnis von Verarbeitungstätigkeiten... Wann muss ich also eine Beschreibung einer Verarbeitungstätigkeit erstellen? Immer dann, wenn Daten von Schülern, Eltern oder dem Personal erhoben, gespeichert und/oder verarbeitet werden. Personenbezogene Daten sind Namen, Adressen, Fotos, Audio- und Filmaufnahmen, etc.

7. Das Verzeichnis von Verarbeitungstätigkeiten... Beispiele, die in das Verzeichnis aufgenommen werden können: Schulfotograf Zeugnisprogramm Stundenplanprogramm Schließanlage Homepage Bundesjugendspiele/ Deutsches Sportabzeichen AnyDesk Blackboard/ Wandbildschirm Lernsoftware/ Onlinesoftware/ sonst. Software (z.B. Mathepirat, Antolin) Pädagog. Oberflächen von Netzwerken Bibliotheksprogramme Menübestellung Notenprogramme Videoüberwachungsanlage Foto-, Film- und Audioaufnahmen Elternportale ....

7. Das Verzeichnis von Verarbeitungstätigkeiten... Was muss ich machen? Formular „Beschreibung einer Verarbeitungstätigkeit“ ausfüllen Evtl. eine Auftragsdatenverarbeitung und eine Beschreibung der organisatorischen und technischen Maßnahmen besorgen = TOM Alles dem DSB senden zur Stellungnahme Wie schaut das aus? Beispiele: Beschreibung Verarbeitungstätigkeit  Fischer Zeugnisprogramm TOM  Sicherung ASV über ein NAS Technisch-Organisatorische Maßnahmen ASV  Wer hat Zugriff? Auf die ASV haben Schulleitung und Konrektor Vollzugriff, die VAe erweiterten Verwaltungszugriff. Wie erfolgt der Zugriff? Jede(r) Berechtigte verfügt über einen eigenen PC, der passwortgeschützt ist. Wie erfolgt die Datensicherung Die Datensicherung erfolgt über ein RAID System mit zwei gespiegelten Festplatten............+

7. Das Verzeichnis von Verarbeitungstätigkeiten Achtung!!! Bei bestimmten Vorgängen, die das Personal betreffen (z.B. Schließanlage, Video- und Alarmanlage, Erhebungen etc.) unbedingt Rücksprache und Dienstvereinbarung mit dem Personalrat treffen!

7. Das Verzeichnis von Verarbeitungstätigkeiten Aktuelle Meldung vom KM: Eile ist nicht geboten! KM arbeitet derzeit an an Mustern und Materialien, um die DSGVO-Umsetzung zu beschleunigen und die Schulleiter zu entlasten. Die Ergebnisse werden über das Schulportal zur Verfügung gestellt und sukzessive vervollständigt. Ordner 1. Inhaltsverzeichnis 2. Kontaktdaten DSB 3. Verarbeitungstätigkeiten 3.1 Beschreibungen der Verarbeitungstätigkeit 3.2 Stellungnahme des DSB 3.3 Beschreibung der technischen und organisatorischen Maßnahmen 3.4 Dienstvereinbarungen (Gemeinde, Personalrat)

8. Datenschutzverletzungen / Datenschutzpannen Meldepflicht bei Verletzungen des Datenschutzes Nach Art. 33 DSGVO müssen Verstöße unverzüglich gemeldet werden. Bei größeren Datenpannen (Datengau) muss die Meldung innerhalb von 72 Stunden bei der Aufsichtsbehörde eingehen. https://www.datenschutz-bayern.de/service/data_breach.html Die Meldung befreit weder von Verpflichtungen, Maßnahmen zur Behebung eines Vorfalls zu treffen, noch von der nach Art. 33 Abs. 5 DSGVO bestehenden Dokumentationspflicht. Beispiel: Verwaltungsserver wird gehackt oder bei einem Einbruch werden Dokumente z. B. Schülerakten / Personalakten entwendet… Meldung an die Aufsichtsbehörde entfällt, wenn die Verletzung des Schutzes personenbezogener Daten nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Meldeweg: Schulleitung  DSB  Schulamt  Aufsichtsbehörde Datenschutzverstöße immer erst der Schulleitung melden, diese entscheidet im Einzelfall ggf. mit Rücksprache des DSB, ob der Verstoß an das Schulamt und die Aufsichtsbehörde gemeldet werden muss.

8. Datenschutzverletzungen / Datenschutzpannen Rechtlichte Konsequenzen Formelle Beanstandung Warnung Verwarnung Anordnungs- und Unterlassungsbefugnisse Keine Geldstrafen zu befürchten