Datenschutzformalia für Schulen in Niedersachsen

Ich habe ein­mal ein wenig recher­chiert und zusam­men­ge­tra­gen, was nach mei­ner Auf­fas­sung eine Schu­le an Papie­ren hier in Nie­der­sach­sen pro­du­zie­ren muss, um grund­le­gen­de Daten­schutz­auf­la­gen zu erfül­len – die juris­ti­schen Kom­men­ta­re zu den Vor­schrif­ten habe ich noch nicht alle gelesen:

1. Daten­schutz­be­auf­trag­ter

Ein Daten­schutz­be­auf­trag­ter muss benannt sein (§8a NDSG).

  1. Er muss nicht der Schu­le angehören
  2. Er muss über Sach­kennt­nis und Zuver­läs­sig­keit verfügen
  3. Er darf durch die Bestel­lung kei­nem Inter­es­sens­kon­flikt aus­ge­setzt sein
  4. Er muss sei­ne Arbeit jeder­mann ver­füg­bar machen

Der Sys­tem­ad­mi­nis­tra­tor kann also nicht Daten­schutz­be­auf­trag­ter sein, da ein Inter­es­sens­kon­flikt besteht – schließ­lich müss­te er sich selbst kontrollieren.

2. Ver­fah­ren­be­schrei­bun­gen

Jedes Ver­fah­ren, bei dem Daten Drit­ter in der Schu­le ver­ar­bei­tet wer­den, bedarf einer Ver­fah­rens­be­schrei­bung gemäß §8 NDSG.

Typi­scher­wei­se wird das in der Schu­le gel­ten für:

  1. Schü­ler­ver­wal­tungs­pro­gram­me (DANIS, Sibank …)
  2. Office­pro­gram­me (Lis­ten, Kol­le­gi­ums­da­ten etc.)
  3. Ober­stu­fen­ver­wal­tung (Apol­lon)
  4. Stun­den­pla­nung­pro­gramm (UNTIS etc.)
  5. Zeug­nis­pro­gram­me (Win­ZEP etc.)
  6. usw. (hängt von den Ver­wal­tungs­struk­tu­ren ab)

3. Ver­pflich­tungs­er­klä­run­gen von Kol­le­gin­nen und Kol­le­gen gemäß Erlass „Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten auf pri­va­ten Infor­ma­ti­ons­tech­ni­schen Sys­te­men (IT Sys­te­men) von Lehr­kräf­ten“

Die Ver­pflich­tungs­er­klä­rung ERSETZT hier die sonst not­wen­di­ge Ver­fah­rens­be­schrei­bung – schließ­lich ist das ja durch die Erlass­vor­ga­be eine Rechts­norm. Es ist NICHT not­wen­dig Ver­fah­rens­be­schrei­bun­gen für jedes denk­ba­re Ver­fah­ren auf einem pri­va­ten Gerät zu erstellen.

4. Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Dritte

Bei­spie­le:

  • Lern­stands­er­he­bun­gen durch Verlage
  • durch Anbie­ter gehos­te­te Lernplattformen
  • digi­ta­le Klassenbücher
  • etc.

Hier haben wir zwei Konstrukte:

a) Es gibt ein Ver­trags­ver­hält­nis zwi­schen Schu­le und Anbie­ter. Dafür braucht man einen Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung. Zusätz­lich ist eine Ver­fah­ren­be­schrei­bung     notwendig.

b) Es gibt nach wie vor ein Für­sor­ge­ver­hält­nis zwi­schen Schu­le und Schü­lern bzw. Eltern. Wenn z.B. der Nach­weis nicht erbracht wer­den kann, dass es erfor­der­lich ist (und das ist lt. Schul­ge­setz z.Zt. juris­tisch fast immer wack­lig), dass die Daten im Auf­trag ver­ar­bei­tet     wer­den, braucht man eine Ein­wil­li­gungs­er­klä­rung der Betroffenen.

Abso­lut unüber­sicht­lich wird es, wenn der Ver­lag z.B. die Test­soft­ware zur Lern­stands­er­he­bung nicht selbst hos­tet, son­dern sich wie­der­um bei einem Dienst­leis­ter ein­ge­mie­tet hat. Dann braucht man eine wei­te­re Ver­ein­ba­rung zur Auf­rags­da­ten­ver­ar­bei­tung (Unter­ver­ein­ba­rung) zwi­schen die­sem Dienst­leis­ter, z.B. dem Rechen­zen­trums­be­trei­ber und dem Ver­lag, die auch dem LfD auf Anfra­ge vor­ge­legt wer­den muss.

5. Ein­wil­li­gungs­er­klä­run­gen

Für ALLE Arten der Daten­ver­ar­bei­tung, die gemäß NSchG NICHT erfor­der­lich sind.

  1. Ver­wen­dung von Fotos (Schul­home­page, Leh­rer­ka­len­der, Noten­ver­wal­tung von Lehr­kräf­ten etc.)
  2. Wei­ter­ga­be von Adress­da­ten (Tele­fon, E‑Mail, Adres­se) an z.B. den Klas­sen­leh­rer aber auch Eltern
  3. Ver­wen­dung von Schü­ler­ar­bei­ten bei jeder Art von Veröffentlichung
  4. Schul­netz­werk (Nut­zungs­ver­ein­ba­rung, Auf­klä­rung über Art um Umfang der Daten­ver­ar­bei­tung im päd­ago­gi­schen Netz)
  5. WLAN-Nut­zungs­ver­ein­ba­rung, wenn durch Lehr­kräf­te und/oder SuS genutzt
  6. Gibt es ggf. wei­te­re Daten­ver­ar­bei­tungs- und Ver­öf­fent­li­chungs­pro­zes­se, die z.B. die Belan­ge des Per­so­nals betreffen?
  7. [ … ]

Tech­ni­scher Datenschutz

Wo ste­hen die IT-Sys­te­me mit sen­si­blen Daten?
Wer hat Zugriff auf die Pass­wör­ter? Wie kom­plex sind die Pass­wör­ter? Wann wer­den sie ausgestauscht?
Was pas­siert bei Dieb­stahl oder Beschä­di­gung der daten­ver­ar­bei­ten­den Systeme?
Was pas­siert bei einem z.B. krank­heits­be­ding­ten Aus­fall des Systemadministrators?
Wie kann ich den Aus­kunfts­an­spruch gem. §16 NSchG mit ver­tret­ba­rem Auf­wand in ver­tret­ba­rem Zeit­rah­men sicherstellen?

Tja. Die­se Lis­te ist garan­tiert weder voll­stän­dig noch kom­plett kor­rekt. Es feh­len noch diver­se Rege­lun­gen bezüg­lich des Urhe­ber­rechts, das ger­ne mal mit dem Daten­schutz ver­mischt wird. Wei­ter infor­mie­ren kann man sich auf dem Nibis anschauen.

Ich will das nicht wei­ter kom­men­tie­ren, fän­de es aber schön, wenn:

  • das Schul­ge­setz ver­bind­li­che und kon­kre­te Vor­ga­ben dar­über macht, wel­che Daten von SuS ver­ar­bei­tet wer­den dürfen
  • wei­te­re Ver­fah­rens­be­schrei­bun­gen durch den Dienst­herrn erstellt würden
  • Mus­ter­tex­te durch den Dienst­herrn erstellt wür­den (Nut­zungs­ord­nung, Ein­wil­li­gung in Ver­wen­dung von Fotos etc.)
  • all­ge­mein der Dienst­herr sich sei­ner Schu­len im Rah­men der Für­sor­ge­pflicht in Bezug auf den Daten­schutz noch mehr annimmt, als er das jetzt schon tut (das war doch jetzt diplo­ma­tisch, oder?)

Größ­ten­teils haben wir hier näm­lich For­ma­lis­men. Die Cur­ri­cu­la schrei­ben mehr und mehr die Nut­zung digi­ta­ler Medi­en vor oder legen sie nahe. Dann muss die Rechts­ord­nung das auch ermög­li­chen und eine kla­re Ori­en­tie­rung bie­ten. Schu­len sol­len nach mei­ner Wahr­neh­mung noch ande­re Din­ge zu tun haben, als sich um den Daten­schutz zu küm­mern. Zudem sit­zen dort eher Lehr­kräf­te als Volljuristen.