Datenschutz und Schule - zwischen gesetzlichen Vorgaben und dem Erhalt von Handlungsfähigkeit - Medienberatung NRW
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz und Schule -
zwischen gesetzlichen Vorgaben
und dem Erhalt von Handlungsfähigkeit
Köln, 15.02.2020
Dirk Allhoff
Köln, 28.05.2019
Max Mustermann
| Seite
Begriffsbestimmung
Foto: Pixabay, kein Nachweis erforderlich
Datenschutz Urheberrecht
schützt Personen schützt Werke
Datensicherheit
schützt Daten (Assets)
Erklärfilme
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 2
Datenschutz
ist digital
0 1
Datenverarbeitung Datenverarbeitung
ist ist
unzulässig zulässig
Art. 6 DSGVO:
„Rechtmäßigkeit der Verarbeitung“
⟹ Verarbeitungsgrundlagen
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 3
Verarbeitungsgrundlagen für Schulen
Foto: Pixabay, kein Nachweis erforderlich
2. wirksame Einwilligungen
1. Rechtsgrundlagen
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 4
keine Verarbeitungsgrundlagen
Fotos: Pixabay, kein Nachweis erforderlich
pädagogische Freiheit
schon immer so gemacht
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 5
Rechtsgrundlagen
GG Grundrecht auf informationelle
Selbstbestimmung
DSGVO Rechtmäßigkeit der Verarbeitung
Pflichten der Verantwortlichen
Rechte der Betroffenen, Einwilligungen
Aufgaben der DSB
SchulG NRW Bildungs- und Erziehungsauftrag der Schule
§§120-122 datenschutzrechtliche Aspekte
VO-DV I Daten von Schüler*innen, Eltern
Anlage 3: auf Privatgeräten
genehmigungsfähige Daten
VO-DV II Daten von Lehrer*innen
DSG NRW Externe
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 6
wirksame Einwilligungen
Foto: Pixabay, kein Nachweis erforderlich
eindeutige, bewusste Handlung - „opt-in“
informiert - Datenschutzerklärung
freiwillig - Machtgefälle?
widerrufbar - jederzeit ohne Gründe
im pädagogischen Kontext heikel
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 7
Sicherheit der Verarbeitung
Foto: Pixabay, kein Nachweis erforderlich
Datenschutz Informationssicherheit
Gewährleistungsziele* Schutzziele
Fokus: Daten mit Personenbezug Fokus: Werte (Assets)
Datenminimierung
Verfügbarkeit Verfügbarkeit
Integrität Integrität
Vertraulichkeit Vertraulichkeit
Nichtverkettung
Transparenz
Intervenierbarkeit
* gem. Standard-Datenschutzmodell (SDM)
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 8
Maßnahmen zur Datensicherheit
technische Maßnahmen (Beispiele) organisatorische Maßnahmen (Beispiele)
Rechte-Rollen-Konzept Vier-Augen-Prinzip
Virenscanner Dienstanweisung
Firewall Belehrung
Zwei-Faktor-Authentifizierung Administratoren-Verpflichtung
Netztrennung Schulung
Pseudonymisierung Pseudonymisierung
Umsetzung i.d.R. durch Umsetzung i.d.R. durch
Schulträger im Rahmen der Ausstattung Schule/Schulleitung
Lehrkräfte bei Nutzung priv. Endgeräte Schulaufsicht
Verantwortung: Schulleiter*in (vgl. §1 (3) VO-DV I)
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 9
Maßnahmen zur Datensicherheit
Foto: Pixabay, kein Nachweis erforderlich
Berücksichtigung
des Stands der Technik
der Implementierungskosten
von Art, Umfang, Umständen und Zwecken der Verarbeitung
der unterschiedlichen Eintrittswahrscheinlichkeit und
Schwere des Risikos für Rechte und Freiheiten der Betroffenen
⟹ Risikoabschätzung
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 10Risikoabschätzung (Beispiel)
angemessenes Schutzniveau
durch
angemessene Maßnahmen
auf Basis
realistischer (!) Szenarien
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 11Datensicherheit auf privaten Endgeräten
- eigene Daten in den Händen anderer
- Sicherheit privater Daten
- Beweggründe
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 12Datensicherheit auf privaten Endgeräten
- Passwortschutz
- automatische Sperre
- dienstliches Benutzerkonto
- Verschlüsselung
- aktuelles Betriebssystem*
- Virenschutz, Firewall
- Software-Aktualisierung
- Daten-Backup
- keine unzulässigen Clouds
* Sicherheitsupdates verfügbar
Hilfestellung
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 13Verarbeitungstätigkeiten …
- Welche Verarbeitungen finden in Schule denn nun konkret statt?
Die Datenverarbeitung im Rahmen der
Beantragung, Bereitstellung und Nutzung automatisierter Verfahren
lässt sich im Kern fünf Verarbeitungstätigkeiten zuordnen.
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 14… und deren Verarbeitungsgrundlagen
• Erfüllung des Bildungs- und Erziehungsauftrags der Schule
• Art. 6 Abs. 1 lit e), Abs. 3 lit b) DSGVO in Verbindung mit SchulG NRW, VO-DV I, VO-DV II
• Lehrkräfte, Schüler*innen, Eltern
• Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe
• Art. 6 Abs. 1 lit. e), Abs. 3 b) DSGVO in Verbindung mit § 3 Abs. 1 DSG NRW
• (externe) Funktionsträger*innen
• wirksame Einwilligungen für Daten, die nicht unter die obigen Verarbeitungsgrundlagen fallen
• Art. 6 Abs. 1 lit. a) DSGVO
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 15Schule datenschutzkonform aufstellen
sensibilisieren
⟹ Beratung / Schulung durch zuständige beh. Datenschutzbeauftragte
zulässige Datenverarbeitungen ermöglichen statt verbieten
⟹ Verantwortung wahrnehmen
⟹ Nutzung privater Endgeräte der Lehrkräfte
Verarbeitungsprozesse analysieren und dokumentieren
⟹ nicht alles was gewünscht wird gehört zum Auftrag der Schule
Foto: Pixabay, kein Nachweis erforderlich
⟹ Referenz-Verzeichnis der Verarbeitungstätigkeiten des MSB verwenden
externe Verarbeitungen vertraglich vereinbaren
⟹ Vereinbarung zu Auftragsverarbeitungen schließen (s. LOGINEO NRW)
⟹ Anbieter in die Pflicht nehmen
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 16Wo steht, dass …?
gem.
Art. 30 DSGVO
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 17Verzeichnis der Verarbeitungstätigkeiten
dokumentiert:
- Verarbeitungstätigkeiten
- Verarbeitungszwecke
- Rechtsgrundlagen
- Datenkategorien
- Betroffene (Kategorien)
- Zugriffsberechtigte intern / extern
- Löschfristen
zentrales Dokument für datenschutzkonformes Handeln
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 18Referenz-Verzeichnis der Verarbeitungstätigkeiten
- erarbeitet von der Medienberatung NRW
- in Abstimmung mit dem MSB
- unter Einbeziehung von Schulen
- zwei Excel-Dateien
- Teil I: von der Schule auszufüllen
- Teil II: vom MSB/Medienberatung als Referenz vorgeschlagen
Referenz-Verzeichnis
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 19Referenz-Verzeichnis der Verarbeitungstätigkeiten
Teil II – Referenz: im Grundsatz alle Verarbeitungstätigkeiten enthalten
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 20Referenz-Verzeichnis der Verarbeitungstätigkeiten
Teil I: konkrete schulische Systeme auflisten
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 21FAQs
Top 1: …
Top 2: Darf eine App „elektronischer roter Lehrerkalender“
verwendet werden?
Top 3: Sind WhatsApp-Klassenchats zulässig?
FAQs
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 22TOP 2 FAQ
Darf eine App „elektronischer roter Lehrerkalender“
verwendet werden?
Kommt drauf an!
- Genehmigung für privates Endgerät eingeholt?
- Nur zulässige Daten verarbeitet? (s. Anlage 3 VO-DV I)
- Keine Speicherung auf / Synchronisierung
über unzulässige Server?
- Keine Backups des Gerätes z. B. in iCloud, googleDrive etc.?
- Lokales (!) Datenbackup eingerichtet?
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 23TOP 3 FAQ
Sind WhatsApp-Klassenchats zulässig?
Kommt drauf an!
- Betreiben von Klassenchats gehört nicht zum
Bildungs- und Erziehungsauftrag der Schule!
- Zugang zu WhatsApp allein Verantwortung der Eltern!
- Nutzung von WhatsApp allein in Verantwortung der Eltern!
- Lehrkräfte in Chats niemals (!) privat, sondern immer dienstlich!
- Bildungsauftrag der Schule: Medienkompetenzförderung
⟹ WhatsApp/SocialMedia als Unterrichtsgegenstand
(MKR z.B. 3.2, 5.4)
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 24Unterstützungsangebot der Medienberatung NRW
Themenfeld
Urheberrecht
in Vorbereitung
Schule und Daten
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 25Publikationen
Bildungskongress 2020, 15.02.2020, D. Allhoff | Seite 26Sie können auch lesen
