Datenschutz in Schulen | Lektion: EDV in der Schulverwaltung

  1. Fallbeispiele
  2. Begründungszusammenhang
  3. Beschreibung der Aspekte
    1. Organisatorische Maßnahmen
      1. Nutzerdienstanweisung
      2. Dienstanweisung für die Administration
      3. Dienstanweisung für den Datenschutzbeauftragten
    2. Technische Maßnahmen
      1. Datensicherheit im Verwaltungsnetz
  4. Arbeitsanweisung
  5. Weiterführende Materialien
Zum Lesen und Drucken der im Folgenden angebotenen PDF-Dateien benötigen Sie einen PDF-Betrachter. Den Adobe® Reader® können Sie HIER kostenlos abrufen. Wenn Sie einen anderen PDF-Betrachter wählen wollen, finden Sie HIER eine Seite mit Vorschlägen passend zu Ihrem Betriebssystem.
Worterklärungen finden Sie im Glossar.
1. Fallbeispiel

Ein Kollege bittet im Sekretariat um eine Liste der männlichen katholischen Abiturienten für ein Werbeschreiben seiner akademischen Verbindung.

Ein Vater bittet den Klassenlehrer um eine Klassenliste für die Einladung zur Geburtstagsfeier seiner Tochter.

2. Begründungszusammenhang

Es gelten auch hier in Bezug auf die technisch-organisatorischen Maßnahmen die grundlegenden Ausführungen aus der Lektion „Schulnetz“.

Ergänzend ist aber zu beachten, dass die in Schulverwaltungsnetzen verarbeiteten personenbezogenen Daten in aller Regel eine größere Sensitivität besitzen und daher ein höherer Aufwand für die technisch-organisatorischen Maßnahmen zu erwarten ist.
Da neben Schüler- und Elterndaten auch Daten der Lehrkräfte betroffen sind, kommen neben dem §31 Nds. Schulgesetz und dem NDSG die Regelungen des Niedersächsischen Beamtengesetzes (§§ 88 ff. NBG) zum Tragen.

3. Beschreibung der Aspekte

Bei der datenschutzrechtlichen Beurteilung von Schulverwaltungsnetzen sind die zur Entwicklung eines Sicherungskonzeptes erforderlichen Schritte in geeigneter Weise umzusetzen. Hierzu gehören insbesondere

Erfassung der verarbeiteten personenbezogenen Daten (pbD). Dies erfolgt in aller Regel im Rahmen der Erstellung von Verfahrensbeschreibungen gem. §8 NDSG
Risikobewertung dieser Daten unter Berücksichtigung von möglichem Schadensausmaß sowie der Eintrittswahrscheinlichkeit
Festlegung des erforderlichen Schutzniveaus und der sich daraus ableitenden technisch-organisatorischen Maßnahmen (bei Verarbeitung pbD stets am Grundschutzniveau orientiert)
Wichtige Quellen:
Niedersächsisches Datenschutzgesetz (NDSG)
Niedersächsisches Beamtengesetz (NBG)
Muster-Verfahrensbeschreibungen für DaNiS
Orientierungshilfe des LfD Niedersachsen
Vortrag zum technisch-organisatorischen Datenschutz (Lektion 1)
Grundschutzkataloge des BSI

Zusätzliche Schwierigkeiten könnten sich in Fällen ergeben, in denen das Schulverwaltungsnetz vom Schulträger bereitgestellt und administriert wird. Hier sind der Schule unter Umständen nur geringe Einflussmöglichkeiten hinsichtlich der Ausgestaltung technisch-organisatorischer Maßnahmen gegeben. Auch könnten die Kontrollkompetenzen des schulischen Datenschutzbeauftragten durch entsprechende Regelungen des Schulträgers eingeschränkt sein. Ein solcher Zuständigkeitskonflikt wird nur durch vertrauensvolle Zusammenarbeit zwischen den Datenschutzbeauftragten von Schule und Schulträger zu lösen sein.

Bei der folgenden Darstellung der wesentlichen Aspekte haben wir uns auf die Darstellung schultypischer Gegebenheiten beschränkt.

A. Organisatorische Maßnahmen

Wenn ein vorschriftsgemäßer Umgang mit den personenbezogenen Daten erreicht werden soll, müssen alle Beteiligten ihre Pflichten genau kennen. Daher sollten feste (schriftliche) Vereinbarungen für die üblichen Prozesse des Alltags geschlossen werden.

i. Nutzerdienstanweisung

Eine solche Dienstanweisung bezieht sich auf alle für Schulverwaltungsaufgaben verwendeten Computer, mit deren Hilfe personenbezogene Daten verarbeitet werden (Verwaltungs-PC). Sie gilt für alle Mitarbeiter der Schule. Um die personenbezogenen Daten vor unbefugtem Zugriff zu schützen, sind geeignete technische Maßnahmen zu ergreifen; geeignete Beispiele finden sich in den Maßnahmenkatalogen des BSI .

Bei den festzulegenden Regelungen sind besonders die Sicherungs- und Gestaltungsziele des technisch-organisatorischen Datenschutzes auf der Grundlage des § 7 NDSG zu beachten:

Vertraulichkeit

Durch geeignete Maßnahmen ist sicherzustellen, dass nur die berechtigten Benutzer Zugang zum Verwaltungs-PC und zu den personenbezogenen Daten erhalten, z. B. durch

Zugriffskontrolle (wissens- und hardwarebasiert) und
Verschlüsselung.

Integrität

Personenbezogene Daten müssen in allen Verarbeitungsphasen unversehrt, vollständig, gültig und widerspruchsfrei bleiben. Sie sind vor unerlaubter Veränderung zu schützen. Geeignete Maßnahmen hierfür sind

Zugriffsrechte,
Verschlüsselung,
elektronische Signatur.

Authentizität

Die Urheberschaft personenbezogener Daten muss jederzeit festgestellt werden können. Geeignete Maßnahmen sind u. a.

Passwort / Chipkarte / Biometrie,
elektronische Signatur.

Verfügbarkeit

Daten müssen in angemessener Zeit Berechtigten, Nutzern und Kontrolleuren zur Verfügung stehen. Personenbezogen Daten sind durch technische und organisatorische Maßnahmen gegen zufällige Zerstörung oder Verlust zu schützen, insbesondere durch

Maßnahmen zur Datensicherung und
Notfallmaßnahmen

Transparenz

Die automatische Verarbeitung personenbezogener Daten muss so dokumentiert werden, dass sie in zumutbarer Zeit nachvollzogen werden kann. Z. B. durch

vollständige Dokumentation der Verarbeitung personenbezogener Daten (z. B. Verfahrensbeschreibung § 8 NDSG) und
Hinweis auf das Auskunftsrecht

Revisionsfähigkeit

Es ist zu gewährleisten, dass nachträglich festgestellt werden kann, wer, wann welche personenbezogene Daten in welcher Weise verarbeitet hat. Daraus ergeben sich

Dokumentationspflichten und
Anforderungen für die Protokollierung.

ii. Dienstanweisung für die Administration

Wesentliche Inhalte einer geeigneten Dienstanweisung für die Administration eines Schulnetzes sind

Anweisung für die Erstellung und Umsetzung des Betriebs- und Sicherungskonzepts mit Prioritätensetzung
Klare Definition der Aufgaben, Rechte und Pflichten des Administrators
Rahmenvorgaben für die Konfiguration des Netzes und der dabei zu beachtenden Sicherheitsstandards
Festlegung der Dokumentationspflichten hinsichtlich Netzkomponenten, Infrastruktur, IuK-Technik, Konfigurationen, Anwendungen
Festlegung der Verantwortlichkeiten für Rechtevergabe
Regeln für den Einsatz von Fremdpersonal und Fernwartung
Regelungen für die Erzeugung und Nutzung von Protokolldaten

iii. Dienstanweisung für den Datenschutzbeauftragten

Konkretisierung der Aufgabenstellung aus dem §8 a NDSG
Klarstellung von Kontroll- und Berichtspflichten
Festlegung zur Verfügung stehender Zeitanteile
Aus- und Fortbildung der Lehrerschaft durch den DSB

B. Technische Maßnahmen

i. Datensicherheit im Schulnetz

Datensicherheit im Schulnetz ist im wesentlichen abhängig von den getroffenen Maßnahmen in den Bereichen

zentraler Server,
lokaler Arbeitsplatzcomputer sowie
aktiver und passiver Netzwerkkomponenten.

Ziel der technischen Maßnahmen ist es, die Sicherungs- und Gestaltungsziele gegenüber personenbezogenen Daten wirksam umzusetzen.

Für die jeweiligen lokalen Gegebenheiten geeignete technische Maßnahmen werden in den Maßnahmenkatalogen der BSI Grundschutzkataloge ausführlich dargestellt. Bei umfassender Realisierung der dort angeführten Maßnahmen kann im allgemeinen ein Schutzniveau erreicht werden, dass die meisten Anforderungen eines Schulverwaltungsnetzes abdeckt.

4. Arbeitsanweisung
Aufgabe 1: Führen Sie anhand der Checkliste eine Recherche in Ihrer eigenen Schule durch.
Aufgabe 2: Ist die Gestaltung Ihres Schulnetzes als datenschutzgerecht zu betrachten? Bitte begründen Sie Ihre Auffassung.
Aufgabe 3: Falls Sie Verbesserungsbedarf vermuten, schlagen Sie aus Ihrer Sicht geeignete Maßnahmen vor.
5. Weiterführende Materialien
IT-Grundschutz-Kataloge:
Überblick, Nutzungsmöglichkeiten, Methodik, Gefährdungs- und Maßnahmenkataloge
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/StartseiteITGrundschutz/startseiteitgrundschutz_node.html
Webkurs IT-Grundschutz https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/itgrundschutzschulung_node.html
Informationen für Bürger www.bsi-fuer-buerger.de
Hinweise zum Datenschutz auf der Seite des LfD Niedersachsen www.lfd.niedersachsen.de

Stand: 31.10.2013