Datenschutz in Schulen

Transkript

1 Datenschutz in Schulen von Markus Kohlstädt Dienstag, 11. Juni 2013 Wir integrieren Innovationen krz Minden-Ravensberg/Lippe 1

2 Agenda Einführung Datenschutzbeauftragte/r der Schule Sicherheitskonzept Vorabkontrolle Verfahrensverzeichnis Auftragsdatenverarbeitung Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz krz Minden-Ravensberg/Lippe 2

3 Datenschutz in Schulen Aufgabe des Datenschutzes in der Schule ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung personenbezogener Daten durch die öffentliche Stellen in unzulässiger Weise in seinem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen (informationelles Selbstbestimmungsrecht). Datenschutz hat Verfassungsrang. Artikel 4 Abs. 2 LV krz Minden-Ravensberg/Lippe 3

4 Datenschutz in Schulen Ermächtigungsgrundlagen für die Datenverarbeitung im Schulbereich in NRW sind zum einen die 120 und 121 des Schulgesetzes (SchulG NRW). Die Vorschriften beziehen sich auf die Verarbeitung personenbezogener Daten von Schülern, Erziehungsberechtigten und Lehrern. Zum anderen verweist 122 SchulG NRW auf ergänzende Vorschriften zum Datenschutz: Abs. 1 verweist auf die allgemeinen Vorschriften, also insbesondere auf das DSG NRW für öffentlich-rechtliche Schulen. Abs. 4 enthält in Verbindung mit 131 Abs. 1 SchulG NRW die Rechtsgrundlage für die Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Erziehungsberechtigten (VO-DV I NRW), sowie der Lehrer und Lehrerinnen (VO-DV II) krz Minden-Ravensberg/Lippe 4

5 Datenschutz in Schulen Ein wesentlicher Grundsatz ist dabei, dass sich die Verarbeitung auf den erforderlichen Umfang beschränken muss und dass Daten grundsätzlich nur für die Zwecke verarbeitet werden dürfen, für die sie (erstmalig) erhoben wurden. Wesentlich ist auch das Recht der oder des Betroffenen auf Auskunft, Berichtigung, Sperrung und Löschung. Die Schulleiterin oder der Schulleiter ist für den Schutz der Daten und die Einhaltung der datenschutzrechtlichen Bestimmungen in der Schule verantwortlich krz Minden-Ravensberg/Lippe 5

6 Datenschutzbeauftragte/r der Schule Rechtsgrundlagen: 32 a DSG NRW (RL 95/46 EG) Der behördliche Datenschutzbeauftragte (DSB) wird für alle öffentlichen Stellen in NRW verbindlich eingeführt Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für den Datenschutz sowie einen Vertreter förmlich zu bestellen. Es können auch mehrere Beauftragte bestellt werden krz Minden-Ravensberg/Lippe 6

7 Datenschutzbeauftragte/r der Schule Rechtsgrundlagen: 32 a DSG NRW (RL 95/46 EG) Der behördliche Datenschutzbeauftragte (DSB) wird für alle öffentlichen Stellen in NRW verbindlich eingeführt Zur Sicherstellung des Datenschutzes bestellen öffentliche Stellen, die personenbezogene Daten verarbeiten, einen internen Beauftragten für Datenschutz. Dies gilt auch für die Schulen der Gemeinden und Gemeindeverbände, soweit sie in personenbezogene Daten verarbeiten. inneren Schulangelegenheiten Für Schulen in kommunaler und staatlicher Trägerschaft bestellt das Schulamt eine Person, die die Aufgaben des Datenschutzbeauftragten wahrnimmt krz Minden-Ravensberg/Lippe 7

8 Datenschutzbeauftragte/r der Schule Die Zuständigkeit der/des behördlichen DSB beschränkt sich auf den Aufgabenbereich der Kommune / des Schulträgers gem. 2, 32a DSG NRW selbst. Im Bereich der Schulen in kommunaler Trägerschaft gilt die Zweiteilung: Äußerer Schulangelegenheiten sind Trägersache (z.b. Videoüberwachung des Gebäudes) Innere Schulangelegenheiten befinden sich in der Zuständigkeit der Schule (z.b. Verarbeitung der Schülerdaten) Gem. 1 (3) VO-DV I ist für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften in Bezug auf Daten der Schülerinnen, Schüler und Eltern der DSB der Schulen zuständig krz Minden-Ravensberg/Lippe 8

9 Datenschutzbeauftragte/r der Schule Wer kann Schul-DSB werden? Lehrer/in für eine oder mehrere Schulen Anforderungsprofil: Zuverlässigkeit / Unabhängigkeit Sachkenntnis (=rechtlich - organisatorisch technisch) Jurist - Betriebswirt/Organisator - Informatiker? krz Minden-Ravensberg/Lippe 9

10 Sicherheitskonzept Pflicht der verantwortlichen Stelle Die Ausführung der Datenschutzvorschriften sind durch technische und organisatorische Maßnahmen sicherzustellen ( 10 Abs. 1 DSG NRW) und in einem Sicherheitskonzeptes zu dokumentieren und fortzuschreiben krz Minden-Ravensberg/Lippe 10

11 Sicherheitskonzept Enthalten sind Summe aller Regeln (materielles Recht) über den Umgang mit personenbezogenen Daten und alle technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes ( 10 Abs. 1 DSG NRW) krz Minden-Ravensberg/Lippe 11

12 Sicherheitskonzept Vorabkontrolle Vorabkontrolle bei neuen und wesentlich geänderten Verfahren Prüfung, ob von dem Verfahren Gefahren für das Recht auf informationelle Selbstbestimmung ausgehen. Werden die Grundsätze beachtet? Kann das Verfahren die Rechte der Betroffenen gewährleisten? Die Ergebnisse der Vorabkontrolle sind Bestandteil des Verfahrensverzeichnisses und des Sicherheitskonzeptes krz Minden-Ravensberg/Lippe 12

13 Sicherheitskonzept Verfahrensverzeichnis Enthält 11 Einzelangaben, u. a.: Name, Anschrift der datenverarbeitenden Stelle Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung die Art der gespeicherten Daten Kreis der Betroffenen Art der regelmäßig zu übermittelnden Daten, die zugriffsberechtigten Personen die technischen und organisatorischen Maßnahmen die Technik des Verfahrens ( Hard- und Software ) krz Minden-Ravensberg/Lippe 13

14 Sicherheitskonzept Auftragsdatenverarbeitung Spezialgesetzlich nicht geregelt es gelten die Vorschriften des 11 DSG NRW Werden personenbezogene Daten im Auftrag einer öffentlichen Stelle verarbeitet, bleibt der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich krz Minden-Ravensberg/Lippe 14

15 Sicherheitskonzept Auftragsdatenverarbeitung Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung seiner Eignung für die Gewährleistung der nach 10 notwendigen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen einer schriftlichen Vereinbarung. Die Rechte der Betroffenen sind gegenüber dem Auftraggeber geltend zu machen. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren krz Minden-Ravensberg/Lippe 15

16 Sicherheitskonzept Auftragsdatenverarbeitung Schüler-Online Reines Hosting der Anwendung und Daten im krz Datenverarbeitung findet ausschließlich in der Schule und bei dem/der Schüler/in statt krz stellt Verfahrensverzeichnis sowie den Entwurf zur Vorabkontrolle für Schüler-Online zur Verfügung Schul-DSB hat vor der Einführung die Vorabkontrolle durchzuführen das Verfahrensverzeichnis zu erstellen und zu pflegen die Angaben im Sicherheitskonzept zu hinterlegen krz Minden-Ravensberg/Lippe 16

17 Pflichten der verantwortlichen Stelle die Sicherstellung des Datenschutzes ( 7 DSG NRW). Technische und organisatorische Maßnahmen Erstellung und Dokumentation eines Sicherheitskonzeptes Erstellung und Führung von Verfahrensverzeichnissen Durchführung von Vorabkontrollen Bestellung eines DSB und Stellvertreters Gewährung von Auskunft bzw. Einsicht an / für Betroffenen krz Minden-Ravensberg/Lippe 17

18 Forum Informationssicherheit 14:00 Uhr 1. Vortrag: Cyberwar Informationssicherheit Notfallvorsorge bis 14:50 Uhr 2. Vortrag: Datenschutz und Sicherheit im Bürgerbüro 15:10 Uhr 3. Vortrag: Der externe IT-SB; Informationssicherheit durch das krz bis 16:00 Uhr 4. Vortrag: Social Media Was sagen die Datenschützer zum Thema? Alle Vorträge finden im Amtsgericht, Sitzungssaal 102 statt krz Minden-Ravensberg/Lippe 18

19 Vielen Dank für Ihre Aufmerksamkeit Markus Kohlstädt, stv. Abteilungsleiter Revision, Sicherheit und Datenschutz Kommunales Rechenzentrum Minden-Ravensberg/Lippe Am Lindenhaus 21, Lemgo Besuchen Sie das krz auch auf und Wir integrieren Innovationen krz Minden-Ravensberg/Lippe 19