Datenschutz in Schulen

Transkript

1 Datenschutz in Schulen Fortbildungsveranstaltung am Sabine Feustel, Roswitha Iburg und Norbert Scharf - Referat 2 -

2 Kurzvorstellung Art 62 NV in Person vom Landtag gewählt; zugl. Leiterin der gleichnamigen Behörde Barbara Thiel Aufgaben Behörde unabhängige oberste Landesbehörde zugl. Aufsichtsbehörde nach 38 BDSG Beratung & Kontrolle bei öffentlichen Stellen Aufsicht über Unternehmen der Wirtschaft, Vereine, Verbände 2

3 Organisationsplan Büro der LfD/ Presse-, Öffentlichkeitsarbeit Herr Dr. Fischer 4551 Datenschutz Vorsitz der im DSK -Geschäftsstelle- Herr Ossenkopp 4554 Die Landesbeauftragte für den (LfD) Barbara Thiel Vertretung der LfD Dr. Christoph Lahmann Zentrale Angelegenheiten Haushalt, Beschaffung Innere Dienste, IKT, DsIN Organisation, Personal Informationssicherheit Referat 1 in Referat 2 Referat 3 Referat 4 Referat 5 Referat 6 Referatsteil 1.1 Verfassungsschutz, Polizei, Staatsanwaltschaft, Videoüberwachung im öffentlichen Bereich (öb), Verkehr, Ordnungswidrigkeitenrecht, Gewerberecht Referatsteil 1.2 Verwaltungsmodernisierung, Grundsatzfragen des allgemeinen s im öb, Beschäftigtendatenschutz Datenschutz für den öb, imjustiz, Strafvollzug, Kommunales, Kammern, Finanz- u. Vollstreckungs-wesen Referatsteil 2.1 Schulen, Hochschulen, Bildung, Wissenschaft und Forschung, Glücksspiel, Statistik, Melderecht, Passund Ausweisrecht, Baurecht, Abfallrecht, Ausländer- und Staatsangehörigkeitsrecht, Geodaten, Vermessung und Kataster, Landwirtschaft und Verbraucherschutz, Umwelt, Archive, Wahlen, sonstige Bereiche im öb ohne anderweitige Zuordnung Referatsteil 2.2 Gesundheit und Soziales Referatsteil 3.1 Technischorganisatorischer nichtöffentlichen Bereich, IT-Labor für Beratung und Kontrolle übergreifend Referatsteil 3.2 Technischorganisatorischer öffentlichen Bereich Referatsteil 4.1 Informationsfreiheit, Informationszugang, E-Government, Telekommunikationsrecht, Telemedienrecht, Rundfunkrecht Referatsteil 4.2 Europäisches, Internationaler Datenverkehr Referatsteil 5.1 Finanzbereich (Banken, Kreditinstitute, Finanzdienstleister), Inkassounternehmen, Gewerbe, Handwerk, Handel, Versicherungen, Versorgungsunternehmen, Industrie Referatsteil 5.2 Beschäftigtendatenschutz für den nicht-öffentlichen Bereich, Detekteien und private Sicherheitsdienste Ordnungswidrigkeitenverfahren (Bußgeldstelle) Videoüberwachung im nichtöffentlichen Bereich (nöb), auch bei Beschäftigten; Verkehrsbetriebe, Wohnungswirtschaft; Auskunfteien, Adresshandel, Werbewirtschaft, Markt-u. Meinungsforschung; Parteien, Vereine, Verbände; Freiberufler, Presse, Touristik, sonstige Unternehmen ohne anderweitige Zuordnung, Bewertungs-portale, Betriebliche Datenschutzbeauftragte, Auftragsdatenverarbeitung im nöb, Melderegister nach 4d BDSG, Verfahrensverzeichnisse Herr Klauke 4520 Frau Iburg 4514 Herr Robra 4530 Herr Dr. Lahmann 4562 Frau Weichsel 4606 Herr Lüttgau

4 Veranstaltung Grundlagen des Datenschutzes in Niedersächsisches für Schulen 4

5 Grundlagen in zum Thema Datenschutz in die Grundlagen 5

6 Das Volkszählungsurteil I Urteil des Bundesverfassungsgerichts - BVerfGE 65,1 - vom Jeder darf grundsätzlich selbst über die Preisgabe seiner personenbezogenen Daten entscheiden. (Recht auf informationelle Selbstbestimmung) in Dieses Recht darf im überwiegenden Allgemeininteresse eingeschränkt werden. Die Einschränkung darf nur auf Grund eines Gesetzes erfolgen, aus dem der Bürger Inhalt und Umfang der Einschränkung entnehmen kann. (Gebot der Normenklarheit) Der Bürger muss wissen, wer was von ihm bei welcher Gelegenheit weiß. (Transparenzgebot) Dieses Gesetz muss geeignet, erforderlich und angemessen sein. (Grundsatz der Verhältnismäßigkeit) 6

7 Das Mediengrundrecht Urteil des Bundesverfassungsgerichts - 1 BvR 370/07- vom zur Online-Durchsuchung In dieser Entscheidung hat das Bundesverfassungsgericht festgestellt, dass das allgemeine Persönlichkeitsrecht auch das Grundrecht auf in Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umfasst. 25 Jahre nach dem Volkszählungsurteil hat das Bundesverfassungsgericht damit den Datenschutz verfassungsrechtlich weiter gestärkt und ihn an die Herausforderungen des elektronischen Zeitalters angepasst. 7

8 Europarecht Charta der Grundrechte der Europäischen Union Artikel 8: Schutz personenbezogener Daten (ABl. EU v C 83/389 ) Europäische Datenschutzrichtlinie in Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EU Nr. L 281 vom 23/11/1995 S ); durch die Datenschutzgrundverordnung (EU) DSGVO aufgehoben Datenschutz-Grundverordnung (EU) 2016/679 vom Datenschutz Anwendung im ab In der Übergangszeit gilt noch das bisherige, nationale Recht. - Die Mitgliedstaaten müssen ihre bestehenden Regelungen anpassen. 8

9 Die Säulen des Datenschutzes Zulässigkeit (Verbot mit Erlaubnisvorbehalt) Erforderlichkeit Zweckbindung in Transparenz (Datenvermeidung/-sparsamkeit) (Bindung an den Erhebungszweck) (Auskunfts- und Akteneinsichtsrecht) Korrekturrechte Datensicherung (Berichtigung, Sperrung, Löschung) (Schutz vor Verlust, Sabotage, unbefugte Zugriffe) Kontrolle (extern/intern) Sanktionen (Bußgeld, Strafe, Schadensersatz) 9

10 - Grundbegriffe Geltungsbereiche nationalen s Für alle öffentlichen Stellen der Bundesverwaltung und für die Privatwirtschaft gilt das Bundesdatenschutzgesetz (BDSG). in Für die öffentlichen Stellen der Länder gelten die Landesdatenschutzgesetze, in also das Niedersächsische Datenschutzgesetz (NDSG). Öffentliche Stellen sind u.a. Behörden und sonstige Stellen der unmittelbaren Landesverwaltung (z.b. Behörden, Polizeidienststellen, Schulen) Kommunale Gebietskörperschaften (Gemeinden und Landkreise) Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts (z.b. Ärztekammer, Tierseuchenkasse) 10

11 - Grundbegriffe Spezielle Rechtsvorschriften Bereichsspezifische datenschutzrechtliche Vorschriften Rechtsvorschriften, die dem Niedersächsischen Datenschutzgesetz (NDSG) vorgehen, ( 2 Abs. 6 NDSG) sind u.a.: das Sozialgesetzbuch für Sozialbehörden (SGB) in die Abgabenordnung für Finanzbehörden (AO) das Meldegesetz für Meldebehörden (BMG) das Beamtengesetz für Personalstellen (NBG) das Schulgesetz für Schulen (NSchG) Wichtig: ergänzend gilt NDSG! 11

12 Niedersächsisches Grundlagen in Das Niedersächsische Datenschutzgesetz (NDSG) in die Grundlagen 12

13 Niedersächsisches Strukturen Das Niedersächsische Datenschutzgesetz (NDSG)ist gegliedert in: 1. Abschnitt: Allgemeine Bestimmungen in 1 Aufgabe des Gesetzes 2 Anwendungsbereich 3 Begriffsbestimmungen 4 Zulässigkeit der Datenverarbeitung Abschnitt: Rechtsgrundlagen der Datenverarbeitung ( 9 ff.) 3. Abschnitt: Rechte der Betroffenen ( 16 ff.) 4. Abschnitt: Landesbeauftragte/r für den Datenschutz ( 21 ff.) 5. Abschnitt: Besonderer Datenschutz ( 25 ff.) 6. Abschnitt: Übergangs- und Schlussvorschriften 13

14 Niedersächsisches Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. in ( 3 Abs. 1 NDSG) Einzelangaben über persönliche Verhältnisse sind z. B.: Name, Titel, Anschrift, Geburtsdatum, Alter, Familienstand, Konfession, Staatsangehörigkeit, Schulnoten etc.. Zu Einzelangaben über sachliche Verhältnisse gehören Informationen über Eigentum, Einkommen, Vermögen, Schulden, Grundbesitz etc.. 14

15 Niedersächsisches Datenschutzgesetz Zulässigkeit der Verarbeitung Im NDSG ist das Verbotsprinzip verankert, d. h., die Verarbeitung personenbezogener Daten und deren Nutzung sind grundsätzlich verboten. ( 4 Abs. 1 NDSG) in Die Verarbeitung ist nur dann ausnahmsweise zulässig, wenn das NDSG oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der Betroffene vorab nach umfassender Aufklärung eingewilligt hat. ( 4 Abs. 2 und 3 NDSG) 15

16 Niedersächsisches Datenschutzgesetz Definition und Zulässigkeit der Verarbeitung Definition der Datenverarbeitung in 3 Abs. 2 NDSG. Sie umfasst: Erheben Speichern Verändern in Nutzen Übermitteln Berichtigen Löschen Sperren (= Beschaffen), (= Erfassen oder Aufbewahren) (= Inhaltlich umgestalten), (= jede sonstige Verwendung), (= Weitergeben), (= Ändern), (= Unkenntlich machen) und (= Kennzeichnen der Einschränkung der weiteren Verarbeitung) personenbezogener Daten, ungeachtet der dabei angewendeten Verfahren. Die Zulässigkeit der Datenverarbeitung ergibt sich aus den 9 ff NDSG bzw. Spezialnormen. 16

17 Niedersächsisches Die oder der Datenschutzbeauftragte an Schulen Die Rechte und Pflichten der Datenschutzbeauftragten sind gesetzlich geregelt. ( 8a NDSG) in Die Datenschutzbeauftragten der Schulen (DSB) wirken auf die Einhaltung datenschutzrechtlicher Vorschriften hin, führen Vorabkontrollen von Verfahren durch, unterrichten Bedienstete über spezifische Datenschutzerfordernisse, bearbeiten Eingaben Betroffener (diese können sich unmittelbar an den DSB wenden), sind in ihrer Funktion weisungsfrei und dürfen keiner Interessenkollision ausgesetzt sein. 17

18 Niedersächsisches Die Rechte der Betroffenen ( NDSG) in RECHT AUF Auskunft, Akteneinsicht Berichtigung Sperrung Löschung Widerspruch Schadensersatz Anrufung der behördlichen Datenschutzbeauftragten Anrufung der oder des Landesbeauftragten für den ( 16 NDSG) ( 17 Abs. 1 NDSG) ( 17 Abs. 3 NDSG) ( 17 Abs. 2 NDSG) ( 17 a NDSG) ( 18 NDSG) ( 8 a Abs. 3 NDSG) ( 19 Abs. 1 NDSG) 18

19 Technisch-organisatorischer Datenschutz Unterscheidung Recht / Technik in Datenschutz rechtlich Verarbeitung p.-b. Daten rechtlich zulässig? Datenschutz techn.-org. Verarbeitung p.-b. Daten techn.-org. sicher gestaltet? Darf ich überhaupt verarbeiten? Wie oder unter welchen Bedingungen? 19

20 Technisch-organisatorischer Datenschutz Rechtliche Grundlagen Niedersächsisches Datenschutzgesetz (NDSG) 7 technische und organisatorische Maßnahmen in (1) Grundsatz, Verhältnismäßigkeit, Aktualität (2) Aufzählung der Maßnahmen ( Kontrollen ) (3) Vorabkontrolle (4) Datenvermeidung, Datensparsamkeit (5) Sonderfall Akten 8 Verfahrensbeschreibung 20

21 Technisch-organisatorischer Datenschutz Verhältnismäßigkeit Schutzstufenkonzept E - Gefährdung für Leben oder Freiheit in D - Gefährdung der Existenz C - Gefährdung des Ansehens B - geringe Beeinträchtigung A - frei zugängliche Daten 21

22 Technisch-organisatorischer Datenschutz Rechtliche Grundlagen 7 Abs. 3 NDSG Vorabkontrolle Ein automatisiertes Verfahrens darf nur eingesetzt oder wesentlich geändert werden, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien in entstehen können, wirksam beherrscht werden können. Diese Feststellungen sind schriftlich festzuhalten. = Vorabprüfung der Datenschutzbeauftragten gem. 8 a Abs. 3 Satz 3 NDSG 22

23 Technisch-organisatorischer Datenschutz Rechtliche Grundlagen 8 NDSG Verfahrensbeschreibung 8 a Abs. 2 NDSG Verfahrensverzeichnis Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung festzulegen: in 1. Bezeichnung und Zweckbestimmung 2. Art der Daten und Rechtsgrundlage 3. Kreis der Betroffenen 4. Datenübermittlung an Dritte 5. Datenübermittlung außerhalb des europ. Wirtschaftsraums 6. Fristen für Sperrung und Löschung 7. techn.-org. Maßnahmen nach 7 8. technische Einzelheiten zur Verfahrensdurchführung jedem auf Anfrage zugänglich intern 23

24 Technisch-organisatorischer Datenschutz Konkrete Handlungsempfehlungen BSI IT-Grundschutzkataloge: in Inhalt: IT-Grundschutz Basis für Informationssicherheit Schichtenmodell und Modellierung Rollen Glossar Bausteine Gefährdungskataloge Maßnahmenkataloge Hilfsmittel 24

25 Auftragsdatenverarbeitung, 6 NDSG Def.: Verarbeitung personenbezogener Daten im Auftrag öffentlicher Stellen Nur bei Hilfstätigkeiten ohne eigenen Entscheidungsspielraum Bsp: externes Rechenzentrum, Wartung, Cloud-Dienst Folgen: in Auftraggeber (AG) bleibt datenverarbeitende Stelle Auftragnehmer (AN) ist kein Dritter ; weisungsgebunden Sorgfältige Auswahl des AN, Kontrollen durch AG Wichtig: schriftlicher Vertrag zw. AG und AN Details: LfD-Homepage Abzugrenzen von Funktionsübertragung (Weisungsfreiheit) Bsp: Auslagerung der Beihilfebearbeitung Datenweitergabe nur ir der gesetzlichen Übermittlungsvorschriften 25

26 Schulspezifisches in in Schulen in die speziellen rechtlichen Grundlagen 26

27 Schulspezifisches Rechtsgrundlagen Bereichswahl Für die Beurteilung von datenschutzrechtlichen Bestimmungen in der Schule ist zwischen zwei Gruppen zu unterscheiden: in 1. Verarbeitung von personenbezogenen Daten der Schülerinnen und Schüler sowie ihrer Erziehungsberechtigten 2. Verarbeitung von personenbezogenen Daten der Lehrkräfte. 27

28 Schulspezifisches Rechtsgrundlagen Bereich Schüler und Eltern Gem. Datenschutz im31 Abs. 1 Niedersächsisches Schulgesetz (NSchG) dürfen personenbezogene Daten der Schülerinnen und Schüler und ihrer Erziehungsberechtigten verarbeitet werden, soweit dies in zur Erfüllung des Bildungsauftrages der Schule ( 2), der Fürsorgeaufgaben, zur Erziehung oder Förderung der Schülerinnen und Schüler, sowie zur Erforschung oder Entwicklung der Schulqualität erforderlich ist. 28

29 Schulspezifisches Rechtsgrundlagen Bereich Schüler und Eltern Datenverarbeitende Stellen nach dem 31 Abs. 1 NSchG sind die Schulen, die Schulbehörden und Schulträger, in die Schüler- und Elternvertretungen, sowie - unter Beschränkung auf bestimmte Aufgaben die Gesundheitsämter und die Träger der Schülerbeförderung. Nicht die Schulinspektion!!! 29

30 Schulspezifisches Rechtsgrundlagen Bereich Schüler und Eltern Gem. 31 Abs. 2 NSchG dürfen Schulen auch personenbezogene Daten von Kindern in Kindergärten und deren Erziehungsberechtigten ( 55 Abs. 1) verarbeiten. Voraussetzung dafür ist, dass die Daten in in den Kindergärten bei der Wahrnehmung vorschulischer Förderaufgaben erhoben und an die Schulen übermittelt werden und die Verarbeitung zur Erziehung oder Förderung der Kinder in der Schule erforderlich ist. Die Rechte auf Auskunft, Einsicht in Unterlagen, Berichtigung, Sperrung oder Löschung von Daten sowie das Widerspruchsrecht nach 17 a NDSG werden gem. 31 Abs. 3 NSchG für die minderjährigen Schülerinnen und Schüler durch deren Erziehungsberechtigte ( 55 Abs. 1) ausgeübt. 30

31 Schulspezifisches Rechtsgrundlagen personenbezogene Daten der Lehrkräfte in Personaldaten DV zulässig nach 88 Abs. 1 NBG 31 Abs. 4 NSchG insbes.: erforderlich zu org. Zwecken Beispiele: Name dienstliche Adresse / dienstliche Telefonnummer Personalaktendaten DV zulässig nach 50 Satz 2 BeamtStG 88 Abs. 2 ff NBG nur für Personalverwaltung oder bei Einwilligung Beispiele: private Telefonnummer private Adresse / Beförderungen Lehrgänge weitere siehe VV-NBG (Seite 43 f) 31! Mitbestimmung nach 67 NPersVG beachten!

32 Schulspezifisches Rechtsgrundlagen Veröffentlichung von Bildern oder Filmen (auf der Homepage) in BeamtStG, NBG (idr unzulässig) 22 KunstUrhG Einwilligung (freiwillig?) Lehrkräfte Schülerinnen und Schüler 31 NSchG (idr unzulässig, weil nicht erforderlich) 22 KunstUrhG Einwilligung (freiwillig?) 32

33 Schulspezifisches Videoüberwachung in Schulen RGL: 25 a NDSG Ort: öffentlich zugängliche Räume Erforderlichkeit: Schutz von Personen oder Sachen Rechtsgüterabwägung: Keine Anhaltspunkte für ein Überwiegen schutzwürdiger in Interessen der Betroffenen 62 NSchG: Persönliche Aufsichtspflicht, daher Videoüberwachung während der Schulzeit: idr unzulässig außerhalb der Schulzeit: idr zulässig Daneben zu beachten: Vorabkontrolle Verfahrensbeschreibung technisch-organisatorische Schutzmaßnahmen Löschungsfristen festlegen Hinweisbeschilderung Beteiligung bdsb 33

34 Schulspezifisches Rechtsgrundlagen Unterstützende Verordnungen und Erlasse Veröffentlichung von Beschäftigtendaten im Internet Gem. Bek. d. MI, d. StK u. d. übr. Min. v (Nds. MBl. 04/2012 S. 114) Sicherheits- und Gewaltpräventionsmaßnahmen in Schulen in Zusammenarbeit mit Polizei und Staatsanwaltschaft in Gem. RdErl. des MK, MI und MJ vom (SVBl. 08/2016 S. 433) Verarbeitung personenbezogener Daten auf privaten für Informationstechnischen Schulen in Systemen (IT-Systemen) von Lehrkräften RdErl. des MK vom (SVBl. 06/2012 S. 312) Aufbewahrung von Schriftgut in Schulen; Löschung personenbezogener Daten RdErl. des MK vom (Nds. MBl. 03/2012 S. 81) 34

35 Schulspezifisches Rechtsgrundlagen Umfragen und Erhebungen in Schulen Erl. des MK vom (SVBl. 1/2014, S. 4) Zusammenarbeit von Kindergarten und Schule Weitergabe von Daten in (außer Kraft mit Ablauf des ); aber: neuer Erlass Die Arbeit in der Grundschule RdErl d. MK. V (SVBl. 8/2012 S. 404) 35

36 Schulspezifisches Rechtsgrundlagen Umgang mit webbasierten sozialen Medien (Social Media) Bek. d. MI v (Nds. MBl. 39/2012 S. 885) in Wirtschaftliche Betätigung, Werbung, Informationen, Bekanntmachungen und Sammlungen in Schulen sowie Zuwendungen für Schulen RdErl. des MK vom (SVBl. 12/2012 S. 598) 36