Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Freitag, 26. Februar 2016

7: FAQ - Häufig gestellte Fragen

Lehrkräfte verarbeiten oft bei sich zu Hause personenbezogene Schülerdaten auf ihrem privaten PC

Welche Voraussetzungen müssen erfüllt sein und welche Datensicherheitsmaßnahmen sind nötig?

 

Diese Frage ist Teil der FAQ "Häufig gestellte Fragen zum Bereich Schule"

 

Die dienstliche Verarbeitung personenbezogener Daten von Schülerinnen, Schülern und Eltern (Betroffene) mit privaten informationstechnischen Geräten ist mittlerweile ein fester Bestandteil der (Verwaltungs-)Arbeit der Lehrkräfte. Während in der jüngeren Vergangenheit hierfür in der Regel Desktop-PC im häuslichen Bereich der Lehrkräfte genutzt wurden, werden heute zunehmend transportable informationstechnische Geräte wie Notebook, Tablet und Smartphone eingesetzt. Der Einsatz solcher transportablen Geräte erhöht die Anforderungen an die Sicherheit der damit verarbeiteten Daten der Betroffenen.

Schon seit 1998 ist die Verarbeitung personenbezogener Daten der Betroffenen auf privaten informationstechnischen Geräten der Lehrkräfte von der Genehmigung der Schulleiterin oder des Schulleiters abhängig. Die Entwicklung der Informationstechnik und die Gefahren für die Sicherheit der personenbezogenen Daten der Betroffenen, wenn die informationstechnischen Geräte den Zugang zum Internet haben, machten eine rechtliche Neuausrichtung des Genehmigungsverfahrens erforderlich.

Nach § 18 SchulDSVO dürfen Lehrkräfte ihre privaten informationstechnischen Geräte zur automatisierten Verarbeitung von personenbezogenen Daten der Betroffenen einsetzen, soweit ihnen hierfür zuvor eine schriftliche Genehmigung der Schulleiterin oder des Schulleiters erteilt worden ist. Die Vorschrift lässt absichtlich offen, welche informationstechnischen Geräte eingesetzt werden dürfen.

Bevor jedoch eine solche Genehmigung erteilt werden kann, muss die Lehrkraft gegenüber der Schulleitung bestimmte in dieser Vorschrift benannte Zusicherungen abgeben.

Diese Form des Genehmigungsverfahrens ist wegen der besonderen Arbeitsweise von Lehrkräften erforderlich. In den meisten öffentlichen Stellen werden personenbezogene Daten ausschließlich in den Diensträumen verarbeitet. Die für die Datenverarbeitung Verantwortlichen haben jederzeit die Möglichkeit, den ordnungsgemäßen Umgang mit den personenbezogenen Informationen zu kontrollieren und auf die Datensicherheit Einfluss zu nehmen. Diese Möglichkeiten sind bei der Nutzung privater informationstechnischer Geräte der Lehrkräfte, insbesondere im häuslichen Bereich, nur sehr eingeschränkt gegeben. Nichtsdestotrotz bleibt die Schulleitung für die Datenverarbeitung hauptverantwortlich, die Lehrkräfte sind allerdings mitverantwortlich für die ordnungsgemäße Datenverarbeitung (vgl. § 3 Abs. 2 SchulDSVO).

Für die Lehrkräfte ergeben sich im Fall der von ihnen gewünschten Nutzung privater informationstechnischer Geräte für die dienstliche Verarbeitung personenbezogener Daten der Betroffenen insbesondere folgende Verpflichtungen:

  1. Sie müssen im Rahmen des Genehmigungsverfahrens gegenüber der Schulleiterin oder dem Schulleiter die in § 18 Abs. 2 SchulDSVO genannten Zusicherungen geben. Hierbei handelt es sich um eine dienstliche Erklärung.

Geben sie diese Erklärung nicht ab, erhalten sie keine Genehmigung, personenbezogene Daten der Betroffenen mittels privater informationstechnischer Geräte zu verarbeiten.

  1. Verstoßen sie gegen ihre Zusicherungen oder gegen die weiteren Vorgaben der §§ 18 und 19 SchulDSVO , muss ihnen die Schulleitung die Genehmigung wieder entziehen und die Verstöße dem Bildungsministerium melden.

Damit der Genehmigungsvorgang für alle Beteiligten nachvollziehbar ist, müssen die Zusicherungen der Lehrkraft und die Erlaubnis der Schulleiterin oder des Schulleiters schriftlich erfolgen.

Hierfür haben wir Vordrucke entwickelt, die Sie hier herunterladen können.

§ 18 Abs. 2 c) SchulDSVO verlangt u. a. die Verschlüsselung der personenbezogenen Daten der Betroffenen. Diese Forderung ergibt sich aus § 6 Abs. 3 LDSG. Danach sind personenbezogene Daten, die von der datenverarbeitenden Stelle (hier die Schule) mit Hilfe informationstechnischer Geräte (auch) außerhalb ihrer Räumlichkeiten (hier außerhalb des Schulgebäudes, z. B. im häuslichen Bereich der Lehrkraft) verarbeitet werden, primär zu verschlüsseln sind.

Die Lehrkraft muss generell sicherstellen, dass die personenbezogenen Daten der Betroffenen vor unbefugten Zugriffen (Kenntnisnahme, Veränderung, Löschung) geschützt sind. Wird z. B. der Rechner der Lehrkraft im häuslichen Bereich auch von anderen Familienmitgliedern genutzt oder ist eine Verbindung zum Internet vorhanden, müssen höhere Sicherheitsmaßnahmen ergriffen werden. Hier kommen folgende Maßnahmen in Betracht:

  1. Alle personenbezogenen Daten werden auschließlich auf externen Datenträgern (z. B. USB-Festplatten oder USB-Sticks) verschlüsselt gespeichert, und nur dort werden die Daten bearbeitet. Die externen Datenträger werden nach Gebrauch vom PC getrennt.
  2. Auf der internen Festplatte werden die personenbezogenen Daten nur in verschlüsselter Form abgelegt.
    Beipielhaft sei hier auf das kostenlose OpenSource-Programm TrueCrypt hingewiesen. Dieses Programm gilt soweit jedoch nur in der Version 7.1a als sicher.
    Alterntiv kann auch VeraCrypt verwendet werden.
    Bietet das Betriebssystem des PC eine eigene Verschlüsselungsroutine an (z. B. Bitlocker bei Microsoft-Betriebssystemen) könnte auch dies verwendet werden.

Das IQSH hat das TrueCrypt-Programm so modifiziert, dass ein verschlüsselter Datencontainer auf einem USB-Stick erzeugt werden kann, ohne dass das Programm auf einem PC installiert sein muss.

Die entsprechende Datei und eine Anleitung finden Sie unter

http://fit.lernnetz.de/doku.php?id=themen:mobiler-datensafe Extern

Diese Variante eignet sich insbesondere für Schulen, die die Zeugniserstellung mit Hilfe von der Schülerverwaltung ausgegebenen dienstlichen USB-Sticks organisieren. Administratorrechte auf dem betreffenden PC werden allerdings vorausgesetzt.