Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit Köln, 15.02.2020 Dirk Allhoff Köln, 28.05.2019 Max Mustermann | Seite
Begriffsbestimmung Foto: Pixabay, kein Nachweis erforderlich Datenschutz Urheberrecht schützt Personen schützt Werke Datensicherheit schützt Daten (Assets) Erklärfilme Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 2
Datenschutz ist digital 0 1 Datenverarbeitung Datenverarbeitung ist ist unzulässig zulässig Art. 6 DSGVO: „Rechtmäßigkeit der Verarbeitung“ ⟹ Verarbeitungsgrundlagen Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 3
Verarbeitungsgrundlagen für Schulen Foto: Pixabay, kein Nachweis erforderlich 2. wirksame Einwilligungen 1. Rechtsgrundlagen Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 4
keine Verarbeitungsgrundlagen Fotos: Pixabay, kein Nachweis erforderlich pädagogische Freiheit schon immer so gemacht Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 5
Rechtsgrundlagen GG Grundrecht auf informationelle Selbstbestimmung DSGVO Rechtmäßigkeit der Verarbeitung Pflichten der Verantwortlichen Rechte der Betroffenen, Einwilligungen Aufgaben der DSB SchulG NRW Bildungs- und Erziehungsauftrag der Schule §§120-122 datenschutzrechtliche Aspekte VO-DV I Daten von Schüler*innen, Eltern Anlage 3: auf Privatgeräten genehmigungsfähige Daten VO-DV II Daten von Lehrer*innen DSG NRW Externe Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 6
wirksame Einwilligungen Foto: Pixabay, kein Nachweis erforderlich eindeutige, bewusste Handlung - „opt-in“ informiert - Datenschutzerklärung freiwillig - Machtgefälle? widerrufbar - jederzeit ohne Gründe im pädagogischen Kontext heikel Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 7
Sicherheit der Verarbeitung Foto: Pixabay, kein Nachweis erforderlich Datenschutz Informationssicherheit Gewährleistungsziele* Schutzziele Fokus: Daten mit Personenbezug Fokus: Werte (Assets) Datenminimierung Verfügbarkeit Verfügbarkeit Integrität Integrität Vertraulichkeit Vertraulichkeit Nichtverkettung Transparenz Intervenierbarkeit * gem. Standard-Datenschutzmodell (SDM) Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 8
Maßnahmen zur Datensicherheit technische Maßnahmen (Beispiele) organisatorische Maßnahmen (Beispiele) Rechte-Rollen-Konzept Vier-Augen-Prinzip Virenscanner Dienstanweisung Firewall Belehrung Zwei-Faktor-Authentifizierung Administratoren-Verpflichtung Netztrennung Schulung Pseudonymisierung Pseudonymisierung Umsetzung i.d.R. durch Umsetzung i.d.R. durch Schulträger im Rahmen der Ausstattung Schule/Schulleitung Lehrkräfte bei Nutzung priv. Endgeräte Schulaufsicht Verantwortung: Schulleiter*in (vgl. §1 (3) VO-DV I) Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 9
Maßnahmen zur Datensicherheit Foto: Pixabay, kein Nachweis erforderlich Berücksichtigung des Stands der Technik der Implementierungskosten von Art, Umfang, Umständen und Zwecken der Verarbeitung der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für Rechte und Freiheiten der Betroffenen ⟹ Risikoabschätzung Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 10
Risikoabschätzung (Beispiel) angemessenes Schutzniveau durch angemessene Maßnahmen auf Basis realistischer (!) Szenarien Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 11
Datensicherheit auf privaten Endgeräten - eigene Daten in den Händen anderer - Sicherheit privater Daten - Beweggründe Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 12
Datensicherheit auf privaten Endgeräten - Passwortschutz - automatische Sperre - dienstliches Benutzerkonto - Verschlüsselung - aktuelles Betriebssystem* - Virenschutz, Firewall - Software-Aktualisierung - Daten-Backup - keine unzulässigen Clouds * Sicherheitsupdates verfügbar Hilfestellung Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 13
Verarbeitungstätigkeiten … - Welche Verarbeitungen finden in Schule denn nun konkret statt? Die Datenverarbeitung im Rahmen der Beantragung, Bereitstellung und Nutzung automatisierter Verfahren lässt sich im Kern fünf Verarbeitungstätigkeiten zuordnen. Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 14
… und deren Verarbeitungsgrundlagen • Erfüllung des Bildungs- und Erziehungsauftrags der Schule • Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV I, VO-DV II • Lehrkräfte, Schüler*innen, Eltern • Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe • Art. 6 Abs. 1 lit. e), Abs. 3 b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW • (externe) Funktionsträger*innen • wirksame Einwilligungen für Daten, die nicht unter die obigen Verarbeitungsgrundlagen fallen • Art. 6 Abs. 1 lit. a) DSGVO Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 15
Schule datenschutzkonform aufstellen sensibilisieren ⟹ Beratung / Schulung durch zuständige beh. Datenschutzbeauftragte zulässige Datenverarbeitungen ermöglichen statt verbieten ⟹ Verantwortung wahrnehmen ⟹ Nutzung privater Endgeräte der Lehrkräfte Verarbeitungsprozesse analysieren und dokumentieren ⟹ nicht alles was gewünscht wird gehört zum Auftrag der Schule Foto: Pixabay, kein Nachweis erforderlich ⟹ Referenz-Verzeichnis der Verarbeitungstätigkeiten des MSB verwenden externe Verarbeitungen vertraglich vereinbaren ⟹ Vereinbarung zu Auftragsverarbeitungen schließen (s. LOGINEO NRW) ⟹ Anbieter in die Pflicht nehmen Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 16
Wo steht, dass …? gem. Art. 30 DSGVO Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 17
Verzeichnis der Verarbeitungstätigkeiten dokumentiert: - Verarbeitungstätigkeiten - Verarbeitungszwecke - Rechtsgrundlagen - Datenkategorien - Betroffene (Kategorien) - Zugriffsberechtigte intern / extern - Löschfristen zentrales Dokument für datenschutzkonformes Handeln Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 18
Referenz-Verzeichnis der Verarbeitungstätigkeiten - erarbeitet von der Medienberatung NRW - in Abstimmung mit dem MSB - unter Einbeziehung von Schulen - zwei Excel-Dateien - Teil I: von der Schule auszufüllen - Teil II: vom MSB/Medienberatung als Referenz vorgeschlagen Referenz-Verzeichnis Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 19
Referenz-Verzeichnis der Verarbeitungstätigkeiten Teil II – Referenz: im Grundsatz alle Verarbeitungstätigkeiten enthalten Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 20
Referenz-Verzeichnis der Verarbeitungstätigkeiten Teil I: konkrete schulische Systeme auflisten Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 21
FAQs Top 1: … Top 2: Darf eine App „elektronischer roter Lehrerkalender“ verwendet werden? Top 3: Sind WhatsApp-Klassenchats zulässig? FAQs Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 22
TOP 2 FAQ Darf eine App „elektronischer roter Lehrerkalender“ verwendet werden? Kommt drauf an! - Genehmigung für privates Endgerät eingeholt? - Nur zulässige Daten verarbeitet? (s. Anlage 3 VO-DV I) - Keine Speicherung auf / Synchronisierung über unzulässige Server? - Keine Backups des Gerätes z. B. in iCloud, googleDrive etc.? - Lokales (!) Datenbackup eingerichtet? Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 23
TOP 3 FAQ Sind WhatsApp-Klassenchats zulässig? Kommt drauf an! - Betreiben von Klassenchats gehört nicht zum Bildungs- und Erziehungsauftrag der Schule! - Zugang zu WhatsApp allein Verantwortung der Eltern! - Nutzung von WhatsApp allein in Verantwortung der Eltern! - Lehrkräfte in Chats niemals (!) privat, sondern immer dienstlich! - Bildungsauftrag der Schule: Medienkompetenzförderung ⟹ WhatsApp/SocialMedia als Unterrichtsgegenstand (MKR z.B. 3.2, 5.4) Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 24
Unterstützungsangebot der Medienberatung NRW Themenfeld Urheberrecht in Vorbereitung Schule und Daten Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 25
Publikationen Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 26
Sie können auch lesen