Datenschutz in Schulen

Transkript

1 Datenschutz in Schulen Fortbildungsveranstaltung am Norbert Scharf und Sabine Feustel - Referat 2 -

2 Kurzvorstellung Art 62 NV in Person vom Landtag gewählt; zugl. Leiterin der gleichnamigen Behörde Barbara Thiel Aufgaben Behörde unabhängige oberste Landesbehörde zugl. Aufsichtsbehörde nach 38 BDSG Beratung & Kontrolle bei öffentlichen Stellen Aufsicht über Unternehmen der Wirtschaft, Vereine, Verbände 2

3 Organisationsplan Büro der LfD/ Presse-, Öffentlichkeitsarbeit Herr Dr. Fischer 4551 Datenschutz Vorsitz der im DSK -Geschäftsstelle- Herr Ossenkopp 4554 Die Landesbeauftragte für den (LfD) Barbara Thiel Vertretung der LfD Dr. Christoph Lahmann Zentrale Angelegenheiten Haushalt, Beschaffung Innere Dienste, IKT, DsIN Organisation, Personal Informationssicherheit Referat 1 in Referat 2 Referat 3 Referat 4 Referat 5 Referat 6 Referatsteil 1.1 Verfassungsschutz, Polizei, Staatsanwaltschaft, Videoüberwachung im öffentlichen Bereich (öb), Verkehr, Ordnungswidrigkeitenrecht, Gewerberecht Referatsteil 1.2 Verwaltungsmodernisierung, Grundsatzfragen des allgemeinen s im öb, Beschäftigtendatenschutz Datenschutz für den öb, imjustiz, Strafvollzug, Kommunales, Kammern, Finanz- u. Vollstreckungs-wesen Referatsteil 2.1 Schulen, Hochschulen, Bildung, Wissenschaft und Forschung, Glücksspiel, Statistik, Melderecht, Passund Ausweisrecht, Baurecht, Abfallrecht, Ausländer- und Staatsangehörigkeitsrecht, Geodaten, Vermessung und Kataster, Landwirtschaft und Verbraucherschutz, Umwelt, Archive, Wahlen, sonstige Bereiche im öb ohne anderweitige Zuordnung Referatsteil 2.2 Gesundheit und Soziales Referatsteil 3.1 Technischorganisatorischer nichtöffentlichen Bereich, IT-Labor für Beratung und Kontrolle übergreifend Referatsteil 3.2 Technischorganisatorischer öffentlichen Bereich Referatsteil 4.1 Informationsfreiheit, Informationszugang, E-Government, Telekommunikationsrecht, Telemedienrecht, Rundfunkrecht Referatsteil 4.2 Europäisches, Internationaler Datenverkehr Referatsteil 5.1 Finanzbereich (Banken, Kreditinstitute, Finanzdienstleister), Inkassounternehmen, Gewerbe, Handwerk, Handel, Versicherungen, Versorgungsunternehmen, Industrie Referatsteil 5.2 Beschäftigtendatenschutz für den nicht-öffentlichen Bereich, Detekteien und private Sicherheitsdienste Ordnungswidrigkeitenverfahren (Bußgeldstelle) Videoüberwachung im nichtöffentlichen Bereich (nöb), auch bei Beschäftigten; Verkehrsbetriebe, Wohnungswirtschaft; Auskunfteien, Adresshandel, Werbewirtschaft, Markt-u. Meinungsforschung; Parteien, Vereine, Verbände; Freiberufler, Presse, Touristik, sonstige Unternehmen ohne anderweitige Zuordnung, Bewertungs-portale, Betriebliche Datenschutzbeauftragte, Auftragsdatenverarbeitung im nöb, Melderegister nach 4d BDSG, Verfahrensverzeichnisse Herr Klauke 4563 Frau Iburg 4514 Herr Robra 4530 Herr Dr. Lahmann 4562 Frau Weichsel 4606 Herr Lüttgau

4 Veranstaltung Grundlagen des Datenschutzes in für Schulen 4

5 Grundlagen des Datenschutzes in zum Thema Datenschutz in die Grundlagen 5

6 Grundlagen des Datenschutzes Urteile : Urteil des BVerfG zur Volkszählung : Urteil des BVerfG zur Online-Durchsuchung Nationales Recht in : BDSG für Bundesbehörden und nicht-öffentlichen Bereich : NDSG für öffentl. Bereich in Europäisches Recht : Richtlinie 95/46/EG (Datenschutzrichtlinie bis ) : Charta der Grundrechte der Europäischen Union (Artikel 8: Schutz personenbezogener Daten) : Datenschutz-Grundverordnung (unmittelbare Geltung ab ) 6

7 Die Säulen des Datenschutzes: Zulässigkeit in Erforderlichkeit Zweckbindung Transparenz Korrekturrechte Datensicherung Kontrolle Sanktionen (Verbot mit Erlaubnisvorbehalt) (Datenvermeidung/-sparsamkeit) (Bindung an den Erhebungszweck) (Auskunfts- und Akteneinsichtsrecht) (Berichtigung, Sperrung, Löschung) (Schutz vor Verlust, Sabotage, unbefugte Zugriffe) (extern/intern) (Bußgeld, Strafe, Schadensersatz) 7

8 Grundlagen des Datenschutzes Für alle öffentlichen Stellen der Bundesverwaltung und für die Privatwirtschaft gilt das Bundesdatenschutzgesetz (BDSG). Für die öffentlichen Stellen der Länder gelten die Landesdatenschutzgesetze, in in also das Niedersächsische Datenschutzgesetz (NDSG). Öffentliche Stellen sind u.a. Behörden und sonstige Stellen der unmittelbaren Landesverwaltung (z.b. Behörden, Polizeidienststellen, Schulen) Kommunale Gebietskörperschaften (Gemeinden und Landkreise) Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts (z.b. Ärztekammer, Tierseuchenkasse) 8 Änderungen durch DS-GVO: Homepage LfD

9 Grundlagen des Datenschutzes Bereichsspezifische datenschutzrechtliche Vorschriften Rechtsvorschriften, die dem Niedersächsischen Datenschutzgesetz (NDSG) vorgehen, ( 2 Abs. 6 NDSG) sind u.a.: das Sozialgesetzbuch für Sozialbehörden (SGB) in die Abgabenordnung für Finanzbehörden (AO) das Meldegesetz für Meldebehörden (BMG) das Beamtengesetz für Personalstellen (NBG) das Schulgesetz für Schulen (NSchG) Wichtig: ergänzend gilt NDSG! 9 Änderungen durch DS-GVO: Homepage LfD

10 Grundlagen des Datenschutzes in Das Niedersächsische Datenschutzgesetz (NDSG) in die Grundlagen 10

11 Grundlagen des Datenschutzes Das Niedersächsische Datenschutzgesetz (NDSG)ist gegliedert in: 1. Abschnitt: Allgemeine Bestimmungen in 1 Aufgabe des Gesetzes 2 Anwendungsbereich 3 Begriffsbestimmungen 4 Zulässigkeit der Datenverarbeitung Abschnitt: Rechtsgrundlagen der Datenverarbeitung ( 9 ff.) 3. Abschnitt: Rechte der Betroffenen ( 16 ff.) 4. Abschnitt: Landesbeauftragte/r für den Datenschutz ( 21 ff.) 5. Abschnitt: Besonderer Datenschutz ( 25 ff.) 6. Abschnitt: Übergangs- und Schlussvorschriften 11

12 Grundlagen des Datenschutzes Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. ( 3 Abs. 1 NDSG) in Einzelangaben über persönliche Verhältnisse sind z. B.: Name, Titel, Anschrift, Geburtsdatum, Alter, Familienstand, Konfession, Staatsangehörigkeit, Schulnoten etc.. Zu Einzelangaben über sachliche Verhältnisse gehören Informationen über Eigentum, Einkommen, Vermögen, Schulden, Grundbesitz etc.. 12 Änderungen durch DS-GVO: Homepage LfD

13 Grundlagen des Datenschutzes Zulässigkeit der Verarbeitung Im NDSG ist das Verbotsprinzip verankert, d. h., die Verarbeitung personenbezogener Daten und deren Nutzung sind grundsätzlich verboten. ( 4 Abs. 1 NDSG) in Die Verarbeitung ist nur dann ausnahmsweise zulässig, wenn das NDSG oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der Betroffene vorab nach umfassender Aufklärung eingewilligt hat. ( 4 Abs. 2 und 3 NDSG) 13 Änderungen durch DS-GVO: Homepage LfD

14 Grundlagen des Datenschutzes Definition der Datenverarbeitung in 3 Abs. 2 NDSG. Sie umfasst: Erheben Speichern Verändern in Nutzen Übermitteln Berichtigen Löschen Sperren (= Beschaffen), (= Erfassen oder Aufbewahren) (= Inhaltlich umgestalten), (= jede sonstige Verwendung), (= Weitergeben), (= Ändern), (= Unkenntlich machen) und (= Kennzeichnen der Einschränkung der weiteren Verarbeitung) personenbezogener Daten, ungeachtet der dabei angewendeten Verfahren. Die Zulässigkeit der Datenverarbeitung ergibt sich aus den 9 ff NDSG bzw. Spezialnormen. 14 Änderungen durch DS-GVO: Homepage LfD

15 Grundlagen des Datenschutzes Die Rechte und Pflichten der Datenschutzbeauftragten sind gesetzlich geregelt. ( 8a NDSG) Die Datenschutzbeauftragten der Schulen (DSB) in wirken auf die Einhaltung datenschutzrechtlicher Vorschriften hin, führen Vorabkontrollen von Verfahren durch, unterrichten Bedienstete über spezifische Datenschutzerfordernisse, bearbeiten Eingaben Betroffener (diese können sich unmittelbar an den DSB wenden), sind in ihrer Funktion weisungsfrei und dürfen keiner Interessenkollision ausgesetzt sein. 15 Änderungen durch DS-GVO: Homepage LfD

16 Grundlagen des Datenschutzes Die Rechte der Betroffenen ( NDSG) in RECHT AUF Auskunft, Akteneinsicht Berichtigung Sperrung Löschung Widerspruch Schadensersatz Anrufung der oder des Landesbeauftragten für den ( 16 NDSG) ( 17 Abs. 1 NDSG) ( 17 Abs. 3 NDSG) ( 17 Abs. 2 NDSG) ( 17 a NDSG) ( 18 NDSG) ( 19 Abs. 1 NDSG) Anrufung der behördlichen Datenschutzbeauftragten ( 8 a Abs. 3 NDSG) 16 Änderungen durch DS-GVO: Homepage LfD

17 Technisch-organisatorischer Datenschutz Unterscheidung Recht / Technik in Datenschutz rechtlich Verarbeitung p.-b. Daten rechtlich zulässig? Datenschutz techn.-org. Verarbeitung p.-b. Daten techn.-org. sicher gestaltet? Darf ich überhaupt verarbeiten? Wie oder unter welchen Bedingungen? 17

18 Technisch-organisatorischer Datenschutz Niedersächsisches Datenschutzgesetz (NDSG) 7 technische und organisatorische Maßnahmen in (1) Grundsatz, Verhältnismäßigkeit, Aktualität (2) Aufzählung der Maßnahmen ( Kontrollen ) (3) Vorabkontrolle (4) Datenvermeidung, Datensparsamkeit (5) Sonderfall Akten 8 Verfahrensbeschreibung 18 Änderungen durch DS-GVO: Homepage LfD

19 Technisch-organisatorischer Datenschutz Schutzstufenkonzept E - Gefährdung für Leben oder Freiheit in D - Gefährdung der Existenz C - Gefährdung des Ansehens B - geringe Beeinträchtigung A - frei zugängliche Daten 19

20 Technisch-organisatorischer Datenschutz 7 Abs. 3 NDSG Vorabkontrolle Ein automatisiertes Verfahrens darf nur eingesetzt oder wesentlich geändert werden, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können, wirksam beherrscht werden können. in Diese Feststellungen sind schriftlich festzuhalten. = Vorabprüfung der Datenschutzbeauftragten gem. 8 a Abs. 3 Satz 3 NDSG 20 Änderungen durch DS-GVO: Homepage LfD

21 Technisch-organisatorischer Datenschutz 8 NDSG Verfahrensbeschreibung 8 a Abs. 2 NDSG Verfahrensverzeichnis Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung festzulegen: in 1. Bezeichnung und Zweckbestimmung 2. Art der Daten und Rechtsgrundlage 3. Kreis der Betroffenen 4. Datenübermittlung an Dritte 5. Datenübermittlung außerhalb des europ. Wirtschaftsraums 6. Fristen für Sperrung und Löschung 7. techn.-org. Maßnahmen nach 7 8. technische Einzelheiten zur Verfahrensdurchführung jedem auf Anfrage zugänglich intern 21 Änderungen durch DS-GVO: Homepage LfD

22 Auftragsdatenverarbeitung, 6 NDSG Def.: Verarbeitung personenbezogener Daten im Auftrag öffentlicher Stellen Nur bei Hilfstätigkeiten ohne eigenen Entscheidungsspielraum Bsp: externes Rechenzentrum, Wartung, Cloud-Dienst Folgen: in Auftraggeber (AG) bleibt datenverarbeitende Stelle Auftragnehmer (AN) ist kein Dritter ; weisungsgebunden Sorgfältige Auswahl des AN, Kontrollen durch AG Wichtig: schriftlicher Vertrag zw. AG und AN Details: LfD-Homepage Abzugrenzen von Funktionsübertragung (Weisungsfreiheit) Bsp: Auslagerung der Beihilfebearbeitung Datenweitergabe nur im Rahmen der gesetzlichen Übermittlungsvorschriften 22 Änderungen durch DS-GVO: Homepage LfD

23 Schulspezifisches in in Schulen in die speziellen rechtlichen Grundlagen 23

24 Schulspezifisches Für die Beurteilung von datenschutzrechtlichen Bestimmungen in der Schule ist zwischen zwei Gruppen zu unterscheiden: in 1. Verarbeitung von personenbezogenen Daten der Schülerinnen und Schüler sowie ihrer Erziehungsberechtigten 2. Verarbeitung von personenbezogenen Daten der Lehrkräfte. 24

25 Schulspezifisches Schülerinnen und Schüler sowie Eltern Gem. Datenschutz im31 Abs. 1 Niedersächsisches Schulgesetz (NSchG) dürfen personenbezogene Daten der Schülerinnen und Schüler und ihrer Erziehungsberechtigten verarbeitet werden, soweit dies in zur Erfüllung des Bildungsauftrages der Schule ( 2), zur Erfüllung der Fürsorgeaufgaben, zur Erziehung oder Förderung der Schülerinnen und Schüler oder zur Erforschung oder Entwicklung der Schulqualität erforderlich ist. 25

26 Schulspezifisches Schülerinnen und Schüler sowie Eltern Datenverarbeitende Stellen nach dem 31 Abs. 1 NSchG sind die Schulen, die Schulbehörden und Schulträger, in die Schüler- und Elternvertretungen, sowie - unter Beschränkung auf bestimmte Aufgaben die Gesundheitsämter und die Träger der Schülerbeförderung. Nicht die Schulinspektion!!! 26

27 Schulspezifisches Schülerinnen und Schüler sowie Eltern Gem. 31 Abs. 2 NSchG dürfen Schulen auch personenbezogene Daten von Kindern in Kindergärten und deren Erziehungsberechtigten ( 55 Abs. 1) verarbeiten. Voraussetzung dafür ist, dass die Daten in in den Kindergärten bei der Wahrnehmung vorschulischer Förderaufgaben erhoben und an die Schulen übermittelt werden und die Verarbeitung zur Erziehung oder Förderung der Kinder in der Schule erforderlich ist. Die Rechte auf Auskunft, Einsicht in Unterlagen, Berichtigung, Sperrung oder Löschung von Daten sowie das Widerspruchsrecht nach 17 a NDSG werden gem. 31 Abs. 3 NSchG für die minderjährigen Schülerinnen und Schüler durch deren Erziehungsberechtigte ( 55 Abs. 1) ausgeübt. 27 Änderungen durch DS-GVO: Homepage LfD

28 Schulspezifisches personenbezogene Daten der Lehrkräfte in Personaldaten DV zulässig nach 88 Abs. 1 NBG 31 Abs. 4 NSchG insbes.: erforderlich zu org. Zwecken Beispiele: Name dienstliche Adresse dienstliche Telefonnummer Personalaktendaten DV zulässig nach 50 Satz 2 BeamtStG 88 Abs. 2 ff NBG nur für Personalverwaltung oder bei Einwilligung Beispiele: private Telefonnummer private adresse Beförderungen Lehrgänge weitere siehe VV-NBG (Seite 43 f) 28! Mitbestimmung nach 67 NPersVG beachten!

29 Schulspezifisches Veröffentlichung von Bildern oder Filmen (auf der Homepage) in BeamtStG, NBG (idr unzulässig) 22 KunstUrhG Einwilligung (freiwillig?) Lehrkräfte Schülerinnen und Schüler 31 NSchG (idr unzulässig, weil nicht erforderlich) 22 KunstUrhG Einwilligung (freiwillig?) 29

30 Schulspezifisches in RGL: 25 a NDSG Ort: öffentlich zugängliche Räume Erforderlichkeit: Schutz von Personen oder Sachen Rechtsgüterabwägung: Keine Anhaltspunkte für ein Überwiegen schutzwürdiger Interessen der Betroffenen 62 NSchG: Persönliche Aufsichtspflicht, daher Videoüberwachung während der Schulzeit: idr unzulässig 30 Videoüberwachung in Schulen außerhalb der Schulzeit: idr zulässig Änderungen durch DS-GVO: Homepage LfD Daneben zu beachten: Vorabkontrolle Verfahrensbeschreibung technisch-organisatorische Schutzmaßnahmen Löschungsfristen festlegen Hinweisbeschilderung Beteiligung bdsb

31 Schulspezifisches Unterstützende Verordnungen und Erlasse Veröffentlichung von Beschäftigtendaten im Internet Gem. Bek. d. MI, d. StK u. d. übr. Min. v (Nds. MBl. 04/2012 S. 114) Sicherheits- und Gewaltpräventionsmaßnahmen in Schulen in Zusammenarbeit mit Polizei und Staatsanwaltschaft in Gem. RdErl. des MK, MI und MJ vom (SVBl. 08/2016 S. 433) Verarbeitung personenbezogener Daten auf privaten für Informationstechnischen Schulen in Systemen (IT-Systemen) von Lehrkräften RdErl. des MK vom (SVBl. 06/2012 S. 312) Aufbewahrung von Schriftgut in Schulen; Löschung personenbezogener Daten RdErl. des MK vom (Nds. MBl. 03/2012 S. 81) 31

32 Schulspezifisches Umfragen und Erhebungen in Schulen Erl. des MK vom (SVBl. 1/2014, S. 4) Zusammenarbeit von Kindergarten und Schule Weitergabe von Daten in (außer Kraft mit Ablauf des ); aber: neuer Erlass Die Arbeit in der Grundschule RdErl d. MK. V (SVBl. 8/2012 S. 404) 32

33 Schulspezifisches Umgang mit webbasierten sozialen Medien (Social Media) Bek. d. MI v (Nds. MBl. 39/2012 S. 885) in Wirtschaftliche Betätigung, Werbung, Informationen, Bekanntmachungen und Sammlungen in Schulen sowie Zuwendungen für Schulen RdErl. des MK vom (SVBl. 12/2012 S. 598) 33