Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW

Die Seite wird erstellt Klara-Maria Schulte
 
WEITER LESEN
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
Datenschutz und Schule -
zwischen gesetzlichen Vorgaben
und dem Erhalt von Handlungsfähigkeit

Köln, 15.02.2020
Dirk Allhoff

   Köln, 28.05.2019
   Max Mustermann

                                        | Seite
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
Begriffsbestimmung

                                                                                        Foto: Pixabay, kein Nachweis erforderlich
 Datenschutz                                              Urheberrecht
  schützt Personen                                            schützt Werke

                     Datensicherheit
                     schützt Daten (Assets)

                                                                             Erklärfilme

                                              Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 2
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
Datenschutz

                     ist digital

        0                                         1
 Datenverarbeitung                    Datenverarbeitung
        ist                                   ist
     unzulässig                            zulässig

                                            Art. 6 DSGVO:
                                   „Rechtmäßigkeit der Verarbeitung“
                                      ⟹ Verarbeitungsgrundlagen

                                                Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 3
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
Verarbeitungsgrundlagen      für Schulen

                                                                            Foto: Pixabay, kein Nachweis erforderlich
                                      2. wirksame Einwilligungen

       1. Rechtsgrundlagen

                                             Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 4
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
keine Verarbeitungsgrundlagen

                                                                                        Fotos: Pixabay, kein Nachweis erforderlich
       pädagogische Freiheit

                                schon immer so gemacht

                                     Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 5
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
Rechtsgrundlagen

  GG           Grundrecht auf informationelle
               Selbstbestimmung

  DSGVO        Rechtmäßigkeit der Verarbeitung
               Pflichten der Verantwortlichen
               Rechte der Betroffenen, Einwilligungen
               Aufgaben der DSB

  SchulG NRW   Bildungs- und Erziehungsauftrag der      Schule
               §§120-122 datenschutzrechtliche Aspekte

  VO-DV I      Daten von Schüler*innen, Eltern
               Anlage 3: auf Privatgeräten
               genehmigungsfähige Daten
  VO-DV II     Daten von Lehrer*innen

  DSG NRW      Externe

                                                  Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 6
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
wirksame Einwilligungen

                                                                                            Foto: Pixabay, kein Nachweis erforderlich
                  eindeutige, bewusste Handlung - „opt-in“

                  informiert -     Datenschutzerklärung
                  freiwillig -     Machtgefälle?
                  widerrufbar -    jederzeit ohne Gründe

                       im pädagogischen Kontext heikel

                                         Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 7
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
Sicherheit der Verarbeitung

                                                                                                             Foto: Pixabay, kein Nachweis erforderlich
         Datenschutz                         Informationssicherheit

        Gewährleistungsziele*                     Schutzziele

 Fokus: Daten mit Personenbezug               Fokus: Werte    (Assets)

       Datenminimierung

       Verfügbarkeit                           Verfügbarkeit
       Integrität                              Integrität
       Vertraulichkeit                         Vertraulichkeit

       Nichtverkettung
       Transparenz
       Intervenierbarkeit

   * gem. Standard-Datenschutzmodell (SDM)
                                                          Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 8
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
Maßnahmen zur Datensicherheit

technische Maßnahmen (Beispiele)            organisatorische Maßnahmen (Beispiele)

   Rechte-Rollen-Konzept                        Vier-Augen-Prinzip
   Virenscanner                                 Dienstanweisung
   Firewall                                     Belehrung
   Zwei-Faktor-Authentifizierung                Administratoren-Verpflichtung
   Netztrennung                                 Schulung
   Pseudonymisierung                            Pseudonymisierung

Umsetzung i.d.R. durch                         Umsetzung i.d.R. durch

Schulträger   im Rahmen der Ausstattung        Schule/Schulleitung
Lehrkräfte    bei Nutzung priv. Endgeräte      Schulaufsicht

                 Verantwortung: Schulleiter*in (vgl. §1 (3) VO-DV I)
                                                               Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 9
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
Maßnahmen zur Datensicherheit

                                                                                                 Foto: Pixabay, kein Nachweis erforderlich
  Berücksichtigung

     des Stands der Technik
     der Implementierungskosten
     von Art, Umfang, Umständen und Zwecken der Verarbeitung
     der unterschiedlichen Eintrittswahrscheinlichkeit und
     Schwere des Risikos für Rechte und Freiheiten der Betroffenen

                                             ⟹ Risikoabschätzung

                                              Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 10
Risikoabschätzung   (Beispiel)

                                 angemessenes Schutzniveau
                                 durch
                                 angemessene Maßnahmen
                                 auf Basis
                                 realistischer (!) Szenarien

                                         Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 11
Datensicherheit auf privaten Endgeräten

- eigene Daten in den Händen anderer
- Sicherheit privater Daten
- Beweggründe
                                       Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 12
Datensicherheit auf privaten Endgeräten

                               -   Passwortschutz
                               -   automatische Sperre
                               -   dienstliches Benutzerkonto
                               -   Verschlüsselung

                               - aktuelles Betriebssystem*
                               - Virenschutz, Firewall

                               - Software-Aktualisierung
                               - Daten-Backup

                               - keine unzulässigen Clouds

                               * Sicherheitsupdates verfügbar

 Hilfestellung
                                            Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 13
Verarbeitungstätigkeiten …

- Welche Verarbeitungen finden in Schule denn nun konkret statt?

 Die Datenverarbeitung im Rahmen der
 Beantragung, Bereitstellung und Nutzung automatisierter Verfahren
 lässt sich im Kern fünf Verarbeitungstätigkeiten zuordnen.

                                                          Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 14
… und deren Verarbeitungsgrundlagen

• Erfüllung des Bildungs- und Erziehungsauftrags der Schule
  •   Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV I, VO-DV II
  •   Lehrkräfte, Schüler*innen, Eltern

• Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe
  •   Art. 6 Abs. 1 lit. e), Abs. 3 b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW
  •   (externe) Funktionsträger*innen

• wirksame Einwilligungen           für Daten, die nicht unter die obigen Verarbeitungsgrundlagen fallen
  •   Art. 6 Abs. 1 lit. a) DSGVO

                                                                        Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 15
Schule datenschutzkonform aufstellen

 sensibilisieren
   ⟹ Beratung / Schulung durch zuständige beh. Datenschutzbeauftragte

 zulässige Datenverarbeitungen ermöglichen statt verbieten
   ⟹ Verantwortung wahrnehmen
   ⟹ Nutzung privater Endgeräte der Lehrkräfte

 Verarbeitungsprozesse analysieren und dokumentieren
   ⟹ nicht alles was gewünscht wird gehört zum Auftrag der Schule

                                                                                                            Foto: Pixabay, kein Nachweis erforderlich
   ⟹ Referenz-Verzeichnis der Verarbeitungstätigkeiten des MSB verwenden

 externe Verarbeitungen vertraglich vereinbaren
   ⟹ Vereinbarung zu Auftragsverarbeitungen schließen (s. LOGINEO NRW)
   ⟹ Anbieter in die Pflicht nehmen

                                                        Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 16
Wo steht, dass …?

                         gem.
                    Art. 30 DSGVO

                                    Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 17
Verzeichnis der Verarbeitungstätigkeiten

      dokumentiert:

          -   Verarbeitungstätigkeiten
          -   Verarbeitungszwecke
          -   Rechtsgrundlagen
          -   Datenkategorien
          -   Betroffene (Kategorien)
          -   Zugriffsberechtigte intern / extern
          -   Löschfristen

 zentrales Dokument für datenschutzkonformes Handeln

                                                    Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 18
Referenz-Verzeichnis der Verarbeitungstätigkeiten

     - erarbeitet von der Medienberatung NRW
     - in Abstimmung mit dem MSB
     - unter Einbeziehung von Schulen

     - zwei Excel-Dateien
     - Teil I: von der Schule auszufüllen
     - Teil II: vom MSB/Medienberatung als Referenz vorgeschlagen

                                                                          Referenz-Verzeichnis
                                               Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 19
Referenz-Verzeichnis der Verarbeitungstätigkeiten

  Teil II – Referenz: im Grundsatz alle Verarbeitungstätigkeiten enthalten

                                                      Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 20
Referenz-Verzeichnis der Verarbeitungstätigkeiten

  Teil I: konkrete schulische Systeme auflisten

                                                  Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 21
FAQs

  Top 1:   …
  Top 2:   Darf eine App „elektronischer roter Lehrerkalender“
           verwendet werden?
  Top 3:   Sind WhatsApp-Klassenchats zulässig?

                                                                            FAQs
                                          Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 22
TOP 2 FAQ

   Darf eine App „elektronischer roter Lehrerkalender“
   verwendet werden?

   Kommt drauf an!
      - Genehmigung für privates Endgerät eingeholt?
      - Nur zulässige Daten verarbeitet? (s. Anlage 3 VO-DV I)
      - Keine Speicherung auf / Synchronisierung
          über unzulässige Server?
      - Keine Backups des Gerätes z. B. in iCloud, googleDrive etc.?
      - Lokales (!) Datenbackup eingerichtet?

                                               Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 23
TOP 3 FAQ

     Sind WhatsApp-Klassenchats zulässig?

   Kommt drauf an!
      - Betreiben von Klassenchats gehört nicht zum
          Bildungs- und Erziehungsauftrag der Schule!
      - Zugang zu WhatsApp allein Verantwortung der Eltern!
      - Nutzung von WhatsApp allein in Verantwortung der Eltern!
      - Lehrkräfte in Chats niemals (!) privat, sondern immer dienstlich!
      - Bildungsauftrag der Schule: Medienkompetenzförderung
          ⟹ WhatsApp/SocialMedia als Unterrichtsgegenstand
             (MKR z.B. 3.2, 5.4)

                                               Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 24
Unterstützungsangebot der Medienberatung NRW

     Themenfeld
    Urheberrecht
    in Vorbereitung

                                                       Schule und Daten

                                 Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 25
Publikationen

                Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 26
Sie können auch lesen