Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz an Schulen

Veröffentlicht von:Petra Černá Geändert vor über 5 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Datenschutz an Schulen"—  Präsentation transkript:

1 Datenschutz an Schulen

2 Inhaltsverzeichnis 1. Grundbegriffe des Datenschutzes
2. Grundprinzipien des Datenschutzes 3. Gesetzliche Grundlagen 4. Begriffe vor und jetzt mit der Einführung der DSVGO 5. Aufgaben des Datenschutzbeauftragten DSB 6. Einwilligung zur Verarbeitung personenbezogener Daten 7. Das Verzeichnis von Verarbeitungstätigkeiten 8. Datenschutzverletzungen / Datenschutzpannen

3 Datenschutz vs. Datensicherheit
1. Grundbegriffe des Datenschutzes Datensicherheit kurz erklärt: Datenschutz vs. Datensicherheit Datensicherheit Schutz der Daten vor: Zerstörung Missbrauch Diebstahl Datenschutz Schutz der Menschen, deren persönliche Daten erhoben werden  Recht auf Informationelle Selbstbestimmung

4 Was sind Personenbezogene Daten?
1. Grundbegriffe des Datenschutzes Personenbezogene Daten (Art. 4 Nr. 1 DSGVO): Alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen (= betroffene Person, Betroffener) Beachte: nur bei personenbezogenen Daten sind datenschutzrechtliche Bestimmungen anwendbar Beispiele: Überprüfbare Eigenschaften, sachl. Informationen: A ist in München geboren Einschätzungen und Urteile: A ist eine zuverlässige Lehrkraft Was sind Personenbezogene Daten?

5 1. Grundbegriffe des Datenschutzes
Personenbezogene Daten im Schulkontext Schüler Name Adresse Staatsangehörigkeit Religionszugehörigkeit Migrationshintergrund Leistungsdaten Lehrer Angaben zur Lehrbefähigung Beurteilungen Eltern

6 Besonders sensible Personenbezogene Daten
1. Grundbegriffe des Datenschutzes Gesundheitsdaten Religionszugehörigkeit ethnische Herkunft sexuelle Orientierung Besonders sensible Personenbezogene Daten

7 Was meinen wir mit Datenverarbeitung?
1. Grundbegriffe des Datenschutzes Verarbeitung (Art. 4 Nr. 2 DSGVO): Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang […] wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, […] das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, […) das Löschen oder die Vernichtung Umfassender Verarbeitungsbegriff: Umfasst jeglichen Umgang mit personenbezogenen Daten Was meinen wir mit Datenverarbeitung?

8 Was ist ein Dateisystem?
1. Grundbegriffe des Datenschutzes Dateisystem (Art. 4 Nr. 6 DSGVO): Jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind Unabhängig von technischen Mitteln, automatisiert, nicht automatisiert Was ist ein Dateisystem?

9 Wer ist der Verantwortliche?
1. Grundbegriffe des Datenschutzes Verantwortlicher (Art. 4 Nr. 7 DSGVO): Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die […] über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Im öffentlichen Bereich ist damit die für die Verarbeitung zuständige öffentliche Stelle gemeint (Art.3 Abs. 2 BayDSG) Schule, vertreten durch den Schulleiter (Art. 57 Abs. 3 BayEUG) = datenschutzrechtlich verantwortliche Stelle Zentraler Adressat der materiellen Regelungen der DSGVO  DSB ist nicht der Verantwortliche Schule bleibt auch bei Auftragsverarbeitung verantwortliche Stelle Wer ist der Verantwortliche?

10 Wer oder was ist ein Auftragsverarbeiter?
1. Grundbegriffe des Datenschutzes Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet Sind an die Anweisungen des Verantwortlichen gebunden Haben keine Entscheidungsfreiheit bezüglich der Zwecke und Mittel der Verarbeitung Vertragliche Grundlage erforderlich (Muster siehe Homepage des LfD) beachte: Altverträge anpassen)  Schule bleibt datenschutzrechtlich verantwortliche Stelle Wer oder was ist ein Auftragsverarbeiter?

11 Datenanonymisierung und Pseudonymisierung
1. Grundbegriffe des Datenschutzes Datenanonymisierung und Pseudonymisierung Anonymisierung Pseudonymisierung Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder Personenbezogene Daten wurden so verarbeitet, dass die betreffende natürliche Person nicht oder nicht mehr identifiziert werden kann DSGVO und datenschutzrechtliche Vorschriften sind nicht anwendbar Datensatz nur dann als anonymisiert gelten, wenn auch keine Kopien des Originaldatenbestandes mit Personenbezug erhalten bleiben Verarbeitung von personenbezogenen Daten in der Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können und Zusätzliche Informationen müssen gesondert aufbewahrt werden und Technischen und organisatorischen Schutzmaßnahmen unterliegen, die gewährleisten, dass keine Zuordnung erfolgt Pseudonymisierung hat i.d.R. keine Anonymisierung zur Folge DSGVO und datenschutzrechtliche Vorschriften sind anwendbar

12 2. Grundprinzipien des Datenschutzes
Rechtmäßigkeit: Verarbeitung nach Treu und Glauben, Transparenz Eine Verarbeitung von Daten verlangt eine Rechtsgrundlage. Der (von der Verarbeitung) Betroffene muss darüber informiert werden, was mit den Daten geschieht. Zweckbindung Der Zweck, also der Grund, weshalb Daten verarbeitet werden, müssen bereits bei der Erhebung festgelegt, eindeutig und legitim sein. Datenminimierung Personenbezogene Daten dürfen nicht „auf Vorrat“ und „sicherheitshalber mal“ erhoben werden. Der Umfang muss dem Zweck angemessen und auf das notwendige Maß beschränkt werden.

13 2. Grundprinzipien des Datenschutzes
Richtigkeit Daten müssen richtig und aktuell sein. Fehlerhafte Daten sind sofort zu korrigieren. Speicherbegrenzung Werden die Daten nicht mehr benötigt, müssen sie gelöscht werden. Integrität und Vertraulichkeit Die Daten sind vor unbefugter oder unberechtigter Verarbeitung geschützt werden. (keine Weitergabe an Dritte) Rechenschaftspflicht Es besteht eine Nachweispflicht (Dokumentation) der Verarbeitung in einem Verzeichnis.

14 3. Gesetzliche Grundlagen
DSGVO (Europäische Datenschutzgrundverordnung) regelt Umgang mit personenbezogenen Daten BayDSG (bayerisches Datenschutzgesetz) für Schulen: BayEuG (bayerisches Erziehungs- und Unterrichtsgesetz) regelt Rechtmäßigkeit der Datenverarbeitung (Art. 85, 113a, 113b ) Schulordnungen für einzelne Schularten Lehrerdienstordnung

15 3. Gesetzliche Grundlagen
Grundsätzlich gilt: Datenerhebung und -speicherung ist ohne Einwilligung der Betroffenen erlaubt, wenn es eine Rechtsvorschrift dazu gibt.

16 4. Begriffe vor und jetzt mit der DSVGO
Die „Erhebung“ oder die „Nutzung“ nach bisheriger Terminologie gehen künftig im Begriff der „Verarbeitung“ auf. Verfahrensbeschreibung heißt jetzt Beschreibung einer Verarbeitungstätigkeit (für ASV / Programme wie Antolin). (Art 30 DSGVO) Verfahrensverzeichnis heißt jetzt Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Inhalt: automatisierte und nicht automatisierte Verarbeitungstätigkeiten, soweit personenbezogene Daten in einem Dateisystem gespeichert sind oder werden sollen Zuständigkeit: der Verantwortliche (normalerweise SL) darf digital geführt werden und ist nicht mehr öffentlich einsehbar Auftragsdatenverarbeitung (ADV) heißt jetzt Auftragsverarbeiter bzw. Auftragsverarbeitungsvertrag Die frühere Freigabe entfällt und wird durch die Stellungnahme des DSB ersetzt. neu: Datenschutzfolgenabschätzung (Art. 35 DSGVO)

17 5. Aufgaben des Datenschutzbeauftragten DSB
1. Unterrichtung und Beratung der Verantwortlichen hinsichtlich ihrer Datenschutz-Dienstpflichten 2. Überwachung der Einhaltung der DS-Vorschriften 3. Beratung und Schulung 4. Beratung bei DS-Folgenabschätzung und Überwachung ihrer Durchführung

18 6. Einwilligung zur Verarbeitung personenbezogener Daten
Einwilligung (Art. 4 Nr. 11 DSGVO): Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung - freiwillig: betroffene Person hat eine Wahlmöglichkeit, kann ohne Nachteile auf die Erteilung der Einwilligung verzichten bzw. kann Einwilligung widerrufen mit Wirkung für die Zukunft - für bestimmten Fall und in informierter Weise: Einwilligung gilt nur für die Zwecke, die der betroffenen Person bei ihrer Erteilung bekannt sind; Zwecke sind klar und verständlich darzulegen

19 6. Einwilligung zur Verarbeitung personenbezogener Daten
Kein Schriftformerfordernis, wird aber aus Dokumentationsgründen empfohlen Elektronische Einwilligung genügt (z.B. Anklicken in einem elektronischen Formular), sofern sichergestellt ist, dass Der Verantwortlich ihr Vorliegen nachweisen kann (Dokumentation) Sie freiwillig erfolgt ist („Ungleichgewicht“ zwischen den Parteien) Sie für den konkreten Fall gegeben wurde Und sie unmissverständlich erteilt ist (nicht: vorangekreuzte Kästchen, Schweigen, usw.)

20 6. Einwilligung zur Verarbeitung personenbezogener Daten
Anforderungen an Wirksamkeit der Einwilligung: Art. 4 Nr. 11, Art. 7 DSGVO; Erwägungsgründe 32, 42, 43, 171 Aufklärungspflicht über Beabsichtigte Datenverarbeitung Konkreter Zweck der Verarbeitung Empfänger der Daten (Schulleitung, Schulverwaltung, übergeordnete Behörden, externe Kräfte, etc.); Zugriffsrechte Dritter (z. B. bei technischer Assistenz durch außerschulische Stelle) Widerrufsrecht für Zukunft Dauer der Speicherung der Daten / Löschfristen Betroffenenrechte (Recht auf Auskunft, Berichtigung, Sperrung oder Löschung der gespeicherten Daten sowie Beschwerderecht) Minderjährige Schüler: Einwilligung der Erziehungsberechtigten, ab 14. Lebensjahr zusätzlich Einwilligung der Schüler erforderlich

21 7. Das Verzeichnis von Verarbeitungstätigkeiten
... wird im Zuge der neuen DSGVO eingeführt, ... löst das Verfahrensverzeichnis ab, ... steht ab jetzt in jeder Schule. …Kann auch digital geführt werden.

22 7. Das Verzeichnis von Verarbeitungstätigkeiten...
Was ist in das Verzeichnis aufzunehmen? (ganz oder teilweise) automatisierte Verarbeitungstätigkeiten sowie nichtautomatisierte Verarbeitungstätigkeiten, soweit personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (vgl. Art. 2 Abs. 1 DSGVO, Art. 2 BayDSG-E).

23 7. Das Verzeichnis von Verarbeitungstätigkeiten...
Wann muss ich also eine Beschreibung einer Verarbeitungstätigkeit erstellen? Immer dann, wenn Daten von Schülern, Eltern oder dem Personal erhoben, gespeichert und/oder verarbeitet werden. Personenbezogene Daten sind Namen, Adressen, Fotos, Audio- und Filmaufnahmen, etc.

24 7. Das Verzeichnis von Verarbeitungstätigkeiten...
Beispiele, die in das Verzeichnis aufgenommen werden können: Schulfotograf Zeugnisprogramm Stundenplanprogramm Schließanlage Homepage Bundesjugendspiele/ Deutsches Sportabzeichen AnyDesk Blackboard/ Wandbildschirm Lernsoftware/ Onlinesoftware/ sonst. Software (z.B. Mathepirat, Antolin) Pädagog. Oberflächen von Netzwerken Bibliotheksprogramme Menübestellung Notenprogramme Videoüberwachungsanlage Foto-, Film- und Audioaufnahmen Elternportale ....

25 7. Das Verzeichnis von Verarbeitungstätigkeiten...
Was muss ich machen? Formular „Beschreibung einer Verarbeitungstätigkeit“ ausfüllen Evtl. eine Auftragsdatenverarbeitung und eine Beschreibung der organisatorischen und technischen Maßnahmen besorgen = TOM Alles dem DSB senden zur Stellungnahme Wie schaut das aus? Beispiele: Beschreibung Verarbeitungstätigkeit  Fischer Zeugnisprogramm TOM  Sicherung ASV über ein NAS Technisch-Organisatorische Maßnahmen ASV  Wer hat Zugriff? Auf die ASV haben Schulleitung und Konrektor Vollzugriff, die VAe erweiterten Verwaltungszugriff. Wie erfolgt der Zugriff? Jede(r) Berechtigte verfügt über einen eigenen PC, der passwortgeschützt ist. Wie erfolgt die Datensicherung Die Datensicherung erfolgt über ein RAID System mit zwei gespiegelten Festplatten

26 7. Das Verzeichnis von Verarbeitungstätigkeiten
Achtung!!! Bei bestimmten Vorgängen, die das Personal betreffen (z.B. Schließanlage, Video- und Alarmanlage, Erhebungen etc.) unbedingt Rücksprache und Dienstvereinbarung mit dem Personalrat treffen!

27 7. Das Verzeichnis von Verarbeitungstätigkeiten
Aktuelle Meldung vom KM: Eile ist nicht geboten! KM arbeitet derzeit an an Mustern und Materialien, um die DSGVO-Umsetzung zu beschleunigen und die Schulleiter zu entlasten. Die Ergebnisse werden über das Schulportal zur Verfügung gestellt und sukzessive vervollständigt. Ordner 1. Inhaltsverzeichnis 2. Kontaktdaten DSB 3. Verarbeitungstätigkeiten 3.1 Beschreibungen der Verarbeitungstätigkeit 3.2 Stellungnahme des DSB 3.3 Beschreibung der technischen und organisatorischen Maßnahmen 3.4 Dienstvereinbarungen (Gemeinde, Personalrat)

28 8. Datenschutzverletzungen / Datenschutzpannen
Meldepflicht bei Verletzungen des Datenschutzes Nach Art. 33 DSGVO müssen Verstöße unverzüglich gemeldet werden. Bei größeren Datenpannen (Datengau) muss die Meldung innerhalb von 72 Stunden bei der Aufsichtsbehörde eingehen. Die Meldung befreit weder von Verpflichtungen, Maßnahmen zur Behebung eines Vorfalls zu treffen, noch von der nach Art. 33 Abs. 5 DSGVO bestehenden Dokumentationspflicht. Beispiel: Verwaltungsserver wird gehackt oder bei einem Einbruch werden Dokumente z. B. Schülerakten / Personalakten entwendet… Meldung an die Aufsichtsbehörde entfällt, wenn die Verletzung des Schutzes personenbezogener Daten nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Meldeweg: Schulleitung  DSB  Schulamt  Aufsichtsbehörde Datenschutzverstöße immer erst der Schulleitung melden, diese entscheidet im Einzelfall ggf. mit Rücksprache des DSB, ob der Verstoß an das Schulamt und die Aufsichtsbehörde gemeldet werden muss.

29 8. Datenschutzverletzungen / Datenschutzpannen
Rechtlichte Konsequenzen Formelle Beanstandung Warnung Verwarnung Anordnungs- und Unterlassungsbefugnisse Keine Geldstrafen zu befürchten

Herunterladen ppt "Datenschutz an Schulen"

Ähnliche Präsentationen

Fallbeispiel: Privacy Was ist Privacy? Wie wird Privacy gesch ü tzt? Gibt es im Internet Anonymit ä t? Was kann die Schule f ü r den Schutz von Privacy.

Fallbeispiel: Privacy Was ist Privacy? Wie wird Privacy gesch ü tzt? Gibt es im Internet Anonymit ä t? Was kann die Schule f ü r den Schutz von Privacy.
Datenschutz Quelle: 18.04.2016 10.56h Holger Pick, Telefon: +49 871 9753722,

Datenschutz Quelle: h Holger Pick, Telefon: ,
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Datenschutz im Internet 1. Gesetzliche Grundlagen Datenschutzgesetz Europäische Menschenrechtskonvention Brief- und Telekommunikationsgeheimnis E-Commerce-Gesetz.

Datenschutz im Internet 1. Gesetzliche Grundlagen Datenschutzgesetz Europäische Menschenrechtskonvention Brief- und Telekommunikationsgeheimnis E-Commerce-Gesetz.
© VDRB 20081 Statistische Daten der Bienenhaltung Autor: Dieter Schürer, ZV VDRB, Ressortleitung Honig.

© VDRB Statistische Daten der Bienenhaltung Autor: Dieter Schürer, ZV VDRB, Ressortleitung Honig.
Urheberrecht und Hochschule.

Urheberrecht und Hochschule.
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Rettungspunkte in der Gemeinde Simmerath

Rettungspunkte in der Gemeinde Simmerath
Herzlich Willkommen zur

Herzlich Willkommen zur
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Asyl und Gewährung vorübergehenden Schutzes

Asyl und Gewährung vorübergehenden Schutzes
Das neue Datenschutzrecht Angebote und Services der WKO

Das neue Datenschutzrecht Angebote und Services der WKO
Lernentwicklungsgespräch statt Zwischenzeugnis

Lernentwicklungsgespräch statt Zwischenzeugnis
Welche Daten sind zu schützen?

Welche Daten sind zu schützen?
Fallbeispiel Ein Schüler, von dem das Gerücht geht, „dass man bei dem alles kriegen kann“, hat einem Mitschüler in der Pause einen „Joint“ verkauft. Nach.

Fallbeispiel Ein Schüler, von dem das Gerücht geht, „dass man bei dem alles kriegen kann“, hat einem Mitschüler in der Pause einen „Joint“ verkauft. Nach.
Willkommen I think there is a world market for maybe five computers

Willkommen I think there is a world market for maybe five computers
Betrieblicher Datenschutz - DSGVO

Betrieblicher Datenschutz - DSGVO
Eine Präsentation für das

Eine Präsentation für das

Ähnliche Präsentationen

Google-Anzeigen