Freitag, 20. März 2015

§ 30 SchulG

§ 30
Erhebung und Verarbeitung von Daten

(1) Personenbezogene Daten der Schülerinnen, Schüler und Eltern dürfen von den Schulen, den Schulträgern und Schulaufsichtsbehörden erhoben und verarbeitet werden, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

Es sind dies

  1. bei Schülerinnen und Schülern:
    Vor- und Familienname,
    Tag und Ort der Geburt,
    Geschlecht,
    Adressdaten (einschließlich Telefon und E-Mail-Adresse),
    Lichtbild,
    Staatsangehörigkeit,
    Aussiedlereigenschaft,
    Herkunfts- und Verkehrssprache,
    Konfession,
    Krankenversicherung,
     Leistungs- und Schullaufbahndaten,
    Daten über das allgemeine Lernverhalten und das Sozialverhalten,
    Daten über sonderpädagogischen Förderbedarf, soweit sie für den Schulbesuch von Bedeutung sein können,
    die Ergebnisse der schulärztlichen, schulpsychologischen und sonderpädagogischen Untersuchungen,

    bei Berufsschülerinnen und Berufsschülern

    die Daten über Vorbildung,
    Berufsausbildung,
    Berufspraktikum und Berufstätigkeit sowie
    die Adressdaten (einschließlich Telefon) des Ausbildungsbetriebes oder der Praktikumsstelle;
     
  2. bei Eltern: Name, Adressdaten (einschließlich Telefon und E-Mail-Adresse).

Schülerinnen, Schüler und Eltern haben die erforderlichen Angaben zu machen. Sie sind auf die Rechtsgrundlage für die Erhebung und Verarbeitung der Daten aufmerksam zu machen. Die Erhebung und die Verarbeitung eines Lichtbildes sind nur mit schriftlicher Einwilligung der Eltern oder der volljährigen Schülerin oder des volljährigen Schülers zulässig.

(2) Die Daten der Schulverwaltung dürfen grundsätzlich nur mit Datenverarbeitungsgeräten des Schulträgers oder des Regionalen Bildungszentrums verarbeitet werden. Ausnahmen hiervon regelt das für Bildung zuständige Ministerium durch Verordnung.

(3) Die Übermittlung personenbezogener Daten zwischen den in Absatz 1 genannten Stellen und an andere öffentliche Stellen sowie der Datenaustausch mit Schulen in freier Trägerschaft ist zulässig, soweit dies zur jeweiligen Aufgabenerfüllung erforderlich ist. Die Übermittlung personenbezogener Daten an Einzelpersonen oder private Einrichtungen ist nur mit Einwilligung der oder des Betroffenen zulässig, sofern nicht ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft gemacht wird und kein Grund zu der Annahme besteht, dass schutzwürdige Belange der oder des Betroffenen überwiegen; § 29 Abs. 2 Satz 2 bleibt unberührt. Die
Übermittlungsvorgänge sind aktenkundig zu machen. Bei der Datenübermittlung an Schulen in freier Trägerschaft und Übermittlungen nach Satz 2 hat die übermittelnde Stelle die empfangende Stelle zu verpflichten, die Daten nur zu dem Zwecke zu verwenden, zu dem sie übermittelt wurden.

(4) Für Zwecke der Schulverwaltung und der Schulaufsicht können durch das für Bildung zuständige Ministerium und das Statistische Amt für Hamburg und Schleswig-Holstein statistische Erhebungen durchgeführt werden. Zur Erstellung von Bildungsverlaufsanalysen auf wissenschaftlicher Grundlage können die Daten auch in pseudonymisierter Form unter den nachfolgenden Bedingungen erhoben und verarbeitet werden:

1. Die Nutzung erfolgt ausschließlich durch Verwendung einer zweiten Datenbank, die nur pseudonymisierte Daten enthält.

2. Die zweite Datenbank ist mit den in den §§ 5 und 6 des Landesdatenschutzgesetzes vom 9. Februar 2000 (GVOBl. Schl.-H. S. 169), geändert  
    durch Gesetz vom 15. Februar 2005 (GVOBl. Schl.-H. S. 168), genannten technisch-organisatorischen Sicherheitsmaßnahmen zu schützen.

3. Das Pseudonym ist so zu gestalten, dass ein Bezug zu Datensätzen der zweiten Datenbank herstellbar, die Identifikation einer Schülerin oder
    eines Schülers aber ausgeschlossen ist.

4. Die Ergebnisse der pseudonymisierten Untersuchungen dürfen keine Einzelmerkmale enthalten, die einen Rückschluss auf die Identität
    einzelner Schülerinnen und Schüler zulassen.

(5) Um die Erfüllung der Schulpflicht zu gewährleisten, übermittelt die Meldebehörde der zuständigen Grundschule folgende Daten der im jeweiligen Schulbezirk gemeldeten Kinder, die in dem folgenden Jahr erstmals schulpflichtig werden:

1. Vor- und Familiennamen,

2. Tag und Ort der Geburt,

3. Geschlecht,

4.  gesetzliche Vertreterin oder gesetzlicher Vertreter (Vor- und Familiennamen sowie Anschrift), abweichend hiervon in Fällen des § 27 Abs. 8
     Nr. 2 des Landesmeldegesetzes Vor- und Familiennamen nur der Personen, bei denen das Kind wohnt,

5. Staatsangehörigkeiten und

6. Anschrift.

(6) Ferner übermittelt die Meldebehörde der zuständigen Schule zu dem in Absatz 5 genannten Zweck die dort genannten Daten sowie den Tag des Einzugs von schulpflichtigen Kindern und Jugendlichen (§§ 20, 22 und 23), die nach Schleswig-Holstein gezogen sind. Bei ausländischen schulpflichtigen Kindern und Jugendlichen sind die in Satz 1 genannten Daten der zuständigen Schule auch dann zu übermitteln, wenn die Kinder und Jugendlichen aus dem Bezirk einer anderen Meldebehörde in Schleswig-Holstein zugezogen sind.

(7) Um die Erfüllung der Berufsschulpflicht zu gewährleisten, übermitteln die weiterführenden allgemein bildenden Schulen und die Förderzentren der zuständigen Berufsschule die folgenden Daten der minderjährigen Schülerinnen und Schüler, die die Schule oder das Förderzentrum nach Erfüllung der Vollzeitschulpflicht verlassen:

1. Vor- und Familienname

2. Tag und Ort der Geburt

3.  gesetzliche Vertreterin oder gesetzlicher Vertreter (Vor- und Familienname sowie Anschrift)

4. Anschrift

5. Gesamtnoten und Ergebnisse der letzten beiden erteilten Zeugnisse

6. Zeitpunkt und Ergebnis der Abschlussprüfung.

(8) Schülerinnen, Schüler und Eltern haben ein Recht auf Einsicht in die sie betreffenden Unterlagen und auf unentgeltliche Auskunft über die sie betreffenden Daten sowie die Stellen, an die Daten übermittelt worden sind; für minderjährige Schülerinnen und Schüler wird das Recht durch die Eltern ausgeübt. Die Einsichtnahme und die Auskunft können eingeschränkt oder versagt werden, wenn der Schutz der betroffenen Schülerin oder des betroffenen Schülers, der Eltern oder Dritter dieses erforderlich macht.

(9) Persönliche Zwischenbewertungen des allgemeinen Lernverhaltens und des
Sozialverhaltens in der Schule sowie persönliche Notizen der Lehrkräfte über Schülerinnen, Schüler und Eltern sind von dem Recht auf Einsichtnahme und Auskunft ausgenommen.

(10) Die mit Einwilligung der Schülerinnen, Schüler und Eltern erhobenen Daten dürfen nur zu dem Zweck benutzt werden, zu dem sie von den Betroffenen mitgeteilt worden sind. Eine anderweitige Verwendung bedarf einer erneuten Einwilligung.

(11) Soweit es zur Erfüllung der sich aus diesem Gesetz ergebenden Aufträge der Schule und der Schulaufsicht sowie zur Wahrnehmung gesetzlicher Mitwirkungsrechte erforderlich und unter Wahrung der überwiegenden schutzwürdigen Belange der Betroffenen möglich ist, regelt das für Bildung zuständige Ministerium durch Verordnung:

  1. den zulässigen Umfang der Verarbeitung von Daten,
  2. die Datenübermittlung einschließlich der Übermittlung zu statistischen Zwecken,
  3. die Sperrung, Löschung und Aufbewahrung von Daten,
  4. die Datensicherung,
  5. die Daten der Schulverwaltung und sonstigen personenbezogenen Daten, die durch Lehrkräfte außerhalb der Schule verarbeitet werden dürfen,
  6. die automatisierte Datenverarbeitung,
  7. die für statistische Erhebungen maßgebenden Erhebungs- und Hilfsmerkmale, den Berichtszeitraum und die Periodizität,
  8. die für die Aufgabe nach Absatz 4 Satz 2 zuständige Stelle,
  9. Zeitpunkt und Stand der nach Absatz 5 zu übermittelnden Daten.

(12) Regelungen in anderen Rechtsvorschriften über die Erhebung und Verarbeitung von Daten bleiben unberührt, soweit sich nicht aus den vorstehenden Bestimmungen etwas anderes ergibt.

 

Dienstag, 10. März 2015

3: Vorträge, Vorlesungen, Aufsätze

Europäische Datenschutzgrundverordnung unter besonderer Berücksichtigung von Gesundheitsdaten

Der Vortrag des ULD-Leiters auf der Rechtsberatertagung der Bundesärztekammer befasst sich mit dem aktuellen Stand der Beratung der Europäischen Datenschutz-Grundverordnung unter besonderer Berücksichtigung der für die Ärzteschaft und den Medizinbereich relevanten Fragestellungen.

"Europäische Datenschutzgrundverordnung unter besonderer Berücksichtigung von Gesundheitsdaten" vollständig lesen
Montag, 9. März 2015

7: FAQ - Häufig gestellte Fragen

Namentliche Nennung von Personen in Gremienprotokollen

Das ULD hat zu diesem Thema bereits im 33. Tätigkeitsbericht (TB) unter Ziff. 4.1.4 zur namentlichen Nennung von Einwohnern in Gremienprotokollen Stellung genommen. Für die Protokollierung von Einwohnern, die sich in Gremiensitzungen zu Wort melden, fehlt es – anders als für die gewählten Mitglieder der jeweiligen Gremien – an einer Rechtsgrundlage für die Aufnahme der Namen in das Protokoll. Erst recht ist eine anschließende Veröffentlichung im Internet unzulässig. Daher bedarf es hierfür einer wirksamen Einwilligung der Betroffenen.

"Namentliche Nennung von Personen in Gremienprotokollen" vollständig lesen
Donnerstag, 19. Februar 2015

7: FAQ - Häufig gestellte Fragen

Mehrstufige Schweigepflichtentbindungserklärungen für Datenübermittlungen zwischen Krankenhäusern und Auftragnehmern

Werden Patientendaten von Krankenhäusern an externe Dienstleister übermittelt, stellt dies eine Offenbarung im Sinne der ärztlichen Schweigepflicht dar und bedarf daher einer wirksamen Einwilligung. Dieser Beitrag befasst sich mit der Frage, wie ein Einwilligungstext sowohl kurz und verständlich, als auch vollständig und rechtswirksam gestaltet werden kann.

"Mehrstufige Schweigepflichtentbindungserklärungen für Datenübermittlungen zwischen Krankenhäusern und Auftragnehmern" vollständig lesen
Donnerstag, 19. Februar 2015

3: Vorträge, Vorlesungen, Aufsätze

Big Data zwischen Heilerwartung, Horror und Mythos

Der Vortrag des ULD-Leiters auf einem IuK-Wirtschaftsforum in Hannover befasst sich mit Chancen und Risiken von Big-Data-Anwendungen. Dabei werden insbesondere aus Datenschutzsicht die rechtlichen Rahmenbedingungen beleuchtet und die Voraussetzungen herausgearbeitet, die für einen rechtmäßigen Einsatz dieser Technik erfüllt sein müssen.

Dienstag, 17. Februar 2015

7: FAQ - Häufig gestellte Fragen

Datenschutz bei Gemeindeversammlungen, § 54 GO

Bei Kleinstgemeinden mit bis zu 70 Einwohnern tritt in Schleswig-Holstein nach § 54 der Gemeindeordnung Schleswig-Holstein (GO) an die Stelle einer gewählten Gemeindevertretung eine aus allen Bürgern bestehende Gemeindeversammlung. Für den Informationsanspruch der Mitglieder der Gemeindeversammlung gelten die Maßgaben der GO für die Auskunftspflicht der Verwaltung in angepasster Form (unten I.) neben denen des Informationszugangs- und Datenschutzrechts nach dem IZG und LDSG (unten II.). Hinsichtlich eines Auskunfts-, Akteneinsichts- oder sonstigen Begehrens auf Bereitstellung von Informationen sind die möglichen Anspruchsgrundlagen jeweils parallel anwendbar. Es kommt die Regelung zur Geltung, die den jeweils weitesten Informationsanspruch bei den gegebenen Voraussetzungen gewährt (Bracker/Borchet et al. in PdKEL. 2014 § 30 GO Rn. 1). Die resultierenden datenschutzrechtlichen Folgerungen werden als Fazit dargestellt (unten III.). Von einer Betrachtung des gleichsam parallel neben der GO und dem IZG bestehenden Akteneinsichtsrechts für Beteiligte eines Verwaltungsverfahrens nach § 88 LVwG wird abgesehen.
"Datenschutz bei Gemeindeversammlungen, § 54 GO" vollständig lesen
Freitag, 13. Februar 2015

5: Stellungnahmen

ULD-Stellungnahme zum IT-Sicherheitsgesetz-Entwurf

Zusammenfassung:

IT-Sicherheit ist eine Grundvoraussetzung für die Sicherung der Grundrechte auf informationeller Selbstbestimmung und auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Angesichts der modernen Risiken für informationstechnische Strukturen sind vorgesehene Maßnahmen wie der Ausbau des Bundesamtes für die Informationssicherheit (BSI) zu einer nationalen Zentrale für IT-Sicherheit, die Festlegung von Sicherheitsstandards, die Pflicht zur Sicherheitsvorsorge in Unternehmen, Melde- und Benachrichtigungspflichten bei sicherheitsrelevanten Vorfällen wichtige Bausteine einer nationalen Strategie für mehr IT-Sicherheit. IT-Sicherheitsmaßnahmen setzen in vielen Fällen die Verarbeitung personenbeziehbarer Daten voraus. Die damit verbundenen Eingriffe in das Recht auf informationelle Selbstbestimmung sowie in das Telekommunikationsgeheimnis bedürfen einer normenklaren, spezifischen, auf das Erforderliche und Verhältnismäßige sich beschränkenden gesetzlichen Grundlage, die für die Betroffenen normenklar erkennen lässt, wie welche Maßnahmen durchgeführt werden. Diesen Anforderungen genügt der vorliegende Entwurf noch nicht. Verarbeitungsregeln für die verpflichteten Unternehmen fehlen vollständig. Zweckbindungsregeln sind nur für das BSI vorgesehen. Vorgaben zur Wahrung der Datensparsamkeit, etwa durch Anonymisierung, Pseudonymisierung, frühzeitige Löschung und Abschottung, bei Maßnahmen der IT-Sicherheit sind bisher nicht geplant. Vorkehrungen für die IT-Sicherheit sollten in gleicher Weise für Telekommunikations- wie für Telemedienbetreiber gültig sein. Die Datenschutzaufsichtsbehörden müssen als auch für IT-Sicherheit zuständige Behörden bei der Festlegung von Sicherheitsstandards, bei den Meldewegen und bei der Beratung der Beteiligten rechtlich eingebunden werden. IT-Sicherheit darf nicht alleine Behörden im Direktionsbereich des Bundesministeriums des Innern überlassen bleiben, die bei einer Abwägung zwischen IT-Sicherheit und klassischer Gefahrenabwehr und Strafverfolgung sich im Zweifelsfall möglicherweise einseitig zugunsten Letzterer entscheiden. Die Bestrebungen nach mehr IT-Sicherheit können sich nicht auf die Verabschiedung eines IT-Sicherheitsgesetzes beschränken. Der tatsächliche Aufbau vertrauenswürdiger und sicherer IT-Infrastrukturen und die Förderung solcher Techniken ist Aufgabe des Staates. Dabei kommt der Weiterentwicklung und Implementierung von Verschlüsselungsverfahren eine zentrale Funktion zu.

 

"ULD-Stellungnahme zum IT-Sicherheitsgesetz-Entwurf" vollständig lesen
Mittwoch, 11. Februar 2015

5: Stellungnahmen

ULD-Stellungnahme zum Referentenentwurf für ein "E-Health-Gesetz"

In der Stellungnahme des ULD wird die Diskussion um die elektronische Gesundheitskarte und die Telematik-Infrastruktur aufgegriffen und im Grundsatz begrüßt, dass das Bundesministerium für Gesundheit mit dem E-Health-Gesetz versucht, dieses Projekt voranzubringen und eine sichere informationstechnische Infrastruktur im deutschen Gesundheitswesen zu etablieren. Die Stellungnahme kritisiert jedoch, dass sich dieser Entwurf ausschließlich auf die Regelungen im Sozialgesetzbuch V beschränkt und nicht weitere gesetzlich dringend nötige Regelungen vorsieht, damit Informationstechnik im Gesundheitswesen funktional eingesetzt werden kann und zugleich auch durch die Wahrung der Vertraulichkeit zwischen Leistungserbringer und Patienten die öffentliche Akzeptanz findet.
"ULD-Stellungnahme zum Referentenentwurf für ein "E-Health-Gesetz"" vollständig lesen
Freitag, 6. Februar 2015

2: Pressemitteilungen

ULD: „Keine Beschäftigtendaten für Auftraggeber nötig zum Nachweis der Mindestlohnzahlung“

Mit dem Mindestlohngesetz sind Unternehmer gehalten, ihren Beschäftigten den gesetzlichen Mindestlohn zu zahlen. Für die Einhaltung dieser Verpflichtung haften verschuldensunabhängig auch Auftraggeber, die andere Unternehmen mit der Erbringung von Dienst- oder Werkleistungen betrauen. Zur Begrenzung des Haftungsrisikos ist der Auftraggeber gehalten, geeignete Maßnahmen zu ergreifen. Hierfür ist es weder nötig noch datenschutzrechtlich zulässig, sensible Beschäftigtendaten pauschal an Auftraggeber weiterzugeben. Darauf weist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in einer Stellungnahme mit dem Titel „Auftraggeberhaftung für den ´Mindestlohn` aus Datenschutzsicht“ hin.

"ULD: „Keine Beschäftigtendaten für Auftraggeber nötig zum Nachweis der Mindestlohnzahlung“" vollständig lesen
Freitag, 6. Februar 2015

5: Stellungnahmen

Auftraggeberhaftung für den "Mindestlohn" aus Datenschutzsicht

In dem Informationstext des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) wird dargelegt, dass es zur Vermeidung von Haftungsrisiken nach dem "Mindestlohngesetz" in der Regel weder erforderlich noch zulässig ist, Beschäftigtendaten von einem beauftragten Unternehmen an den Auftraggeber zu übermitteln.

 

"Auftraggeberhaftung für den "Mindestlohn" aus Datenschutzsicht" vollständig lesen