Beiträge :: Kategorie @Löschung und Aufbewahrung
Folgende Beiträge wurden gefunden:
Welche Auswirkung hat die EU-Datenschutz-Grundverordnung (DSGVO) auf die personenbezogene Datenverarbeitung der Elternvertretungen?
Die Elternvertreterinnen und Elternvertreter sind nach § 76 Absatz 1 Schulgesetz (SchulG) ehrenamtlich tätig und nach den §§ 95 und 96 Landesverwaltungsgesetz (LvWG) zur Verschwiegenheit verpflichtet. Weitergehende Ausführungen zum rechtlichen Status der einzelnen Elternvertreterinnen und der Elternvertreter macht das Schulgesetz nicht. Dasselbe gilt für die Gremien (Schulelternbeirat, Kreiselternbeirat, Landeselternbeirat).
Elternvertreterinnen und Elternvertreter nehmen ihre Aufgaben als natürliche Personen wahr.
Sofern es um die Verarbeitung personenbezogener Daten z. B. der Eltern geht, gelten für die Elternvertretungen und die Gremien somit zunächst die Grundsätze der DSGVO.
Artikel 4 Nr. 7 DSGVO definiert die Verantwortlichen für die Verarbeitung personenbezogener Daten. Danach sind „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Damit kann auch eine natürliche Person "Verantwortlicher" im Sinne der DSGVO sein.
Die Schul-Datenschutzverordnung (SchulDSVO) trifft für die personenbezogene Datenverarbeitung in § 16 folgende Regelung
Datenverarbeitung der Elternvertretungen
(1) Die Elternvertretungen verarbeiten personenbezogene Daten eigenständig und eigenverantwortlich entsprechend den datenschutzrechtlichen Bestimmungen. Die Mitwirkung an der Elternvertretung ist freiwillig; Eltern sind nicht verpflichtet, gegenüber Elternvertretungen personenbezogene Angaben zu machen.
(2) Zur Unterstützung für ihre Arbeit erhalten die Klassenelternbeiräte und der Schulelternbeirat personenbezogene Daten der Eltern und Lehrkräfte gemäß § 9 Absatz 4 von der Schule.
(3) An die Kreiselternbeiräte und an den Landeselternbeirat werden die für ihre Arbeit erforderlichen Namen und Anschriften nicht durch die Schule, sondern gemäß § 15 Absatz 2 der Wahlverordnung für Elternbeiräte vom 7. Mai 2012 (NBl. MBK. Schl.-H. S. 113), geändert durch Verordnung vom 31. Mai 2017 (NBl. MBWK. Schl.-H. S. 176), durch die Schulelternbeiratsvorsitzende oder den Schulelternbeiratsvorsitzenden übermittelt.
Die personenbezogene Datenverarbeitung hat sich somit im Grundsatz nach den Bestimmungen der DSGVO zu richten, da die Elternvertreterinnen und Elternvertreter als natürliche Personen für die personenbezogene Datenverarbeitung "Verantwortlicher" sind.
Bei der Verarbeitung personenbezogener Daten haben die Elternvertreterinnen und Elternvertreter nicht nur die Verschwiegenheitsverpflichtung zu beachten, sondern auch Maßnahmen zu ergreifen, um die von ihnen (elektronisch oder konventionell (Papier)) verarbeiteten personenbezogenen Daten der betroffenen Personen (Daten von Eltern, Schülerinnen und Schülern) vor dem Zugriff und Zugang Unbefugter zu schützen (Artikel 25 Abs. 2 DSGVO).
Ferner haben sie sicherzustellen, dass die personenbezogenen Daten der betroffenen Personen unverzüglich gelöscht/vernichtet werden, wenn diese nicht mehr zur Aufgabenerfüllung benötigt werden (Artikel 25 Abs. 2 Satz 2 DSGVO).
Die Bestellung eines Datenschutzbeauftragten ist für die o. g. Gremien nicht erforderlich. Diese Gremien sind lediglich ein Zusammenschluss natürlicher Personen, deren Aufgabenstellung im Schulgesetz zur unabhängigen Wahrnehmung in eigener Verantwortung definiert ist. Solche Gremien sind in Artikel 37 DSGVO nicht benannt.
Externe Inhalte
→ Infoseite des Bildungsministeriums zur Elternarbeit.
Wann müssen personenbezogene Daten in der Schulverwaltung und bei Lehrkräften gelöscht werden?
In der Schule werden regelmäßig personenbezogene Daten über Schülerinnen und Schüler sowie Eltern verarbeitet. Dies passiert sowohl in der Schulverwaltung (Schülerakte, Schulverwaltungssoftware, schulorganisatorische Belange etc.) als auch durch Lehrkräfte (persönliche Notizen über das Leistungs- und Sozialverhalten, Noten, Zeugnisentwürfe, Kontaktlisten etc.). Aus Datenschutzsicht ist es dabei unerheblich, ob die Daten digital oder in Papierform vorliegen.
Die Datenschutzgrundverordnung (DSGVO - EU-Verordnung 2016/679) versteht unter Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten...". Hierzu gehört auch das Löschen oder die Vernichtung (Artikel 4 Nr. 2).
Verarbeitung passiert kontinuierlich über die gesamte Verweildauer von SuS, bspw. bei der Aufnahme an der Schule, Versetzungen, Abschlussprüfungen und im regulären Schulbetrieb. Hinzu kommen weitere Dokumente, beispielsweise im Rahmen von schulärztlichen Untersuchungen, bei inklusiv beschulten SuS oder im Rahmen des Nachteilsausgleichs. Alle Dokumente mit Relevanz für das Schulverhältnis müssen ordnungsgemäß abgelegt werden - bei aktiven SuS üblicherweise in der Schulverwaltung (Sekretariat), nach Entlassung in einem zur Schule gehörenden Aktenaufbewahrungsraum. Der § 7 der SchulDSVO enthält hierzu Vorgaben, insbesondere zum Inhalt der Schülerakte. Damit Informationen schnell und vollständig gefunden werden können und die aus der DSGVO hervorgehenden Rechenschafts- und Dokumentationspflichten erfüllt sowie die Betroffenenrechte nach Artikel 15 - 22 DSGVO gewahrt werden können, muss die Schule ein datenschutzkonformes Speicher- und Löschkonzept vorweisen und umsetzen.
Der Grundsatz für die Löschung/Aufbewahrung von personenbezogenen Daten lautet: "Daten sind zu löschen, sofern Sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind, es sei denn, eine gesetzliche Vorschrift schreibt eine längere Aufbewahrungszeit/längere Löschfrist vor." (Artikel 5 Abs. 1 Buchst. e DSGVO sowie § 10 Abs. 1 Satz 6 SchulDSVO).
Für die Schulverwaltung regelt der § 10 der Schuldatenschutzverordnung die besonderen Löschfristen abschließend. Da für die verschiedenen in Schule anfallenden Unterlagen auch unterschiedliche Löschfristen festgelegt sind, bedarf es einer daran angepassten Schriftgutverwaltung, um bspw. am Schuljahresende einfach und schnell Unterlagen sortiert nach ihren Löschfristen in den Aktenaufbewahrungsraum zu überführen bzw. dort gelagerte Unterlagen dem zuständigen Archiv zur Übernahme anzubieten bzw. diese, bei Verzicht auf das Anbieten (Klärung mit dem zuständigen Kommunalarchiv im Vorwege), datenschutzkonform zu löschen (siehe dieser FAQ-Eintrag). Ein mögliches Verfahren und weitere Informationen zur Schriftgutverwaltung sind der beigefügten Datei zu entnehmen.
Für Lehrkräfte erfolgt die Regelung durch den § 15 SchulDSVO. Hiernach sind - dem Grundsatz der DSGVO folgend - Unterlagen ebenfalls unverzüglich, datenschutzkonform zu löschen, sobald sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind. Einzige Ausnahme sind Unterlagen, die zur Dokumentation von Leistungsbewertungen in gerichtlichen Verfahren notwendig sein können. Diese sind noch 2 Jahre über das Schuljahresende hinaus aufzubewahren.
Zugehörige Dateien
→ Hinweise zur Schriftgutverwaltung - Muster für ein Ablage- und Löschkonzept [PDF]
In welcher Weise sind nicht mehr benötigte personenbezogene Unterlagen über Schülerinnen und Schüler (z.B. Klausurenhefte, Klassenlisten, Zeugnislisten usw.) datenschutzgerecht zu vernichten?
§ 10 SchulDSVO schreibt vor, dass personenbezogene Schülerdaten zu bestimmten Fristen zu vernichten sind. Die Vernichtung papierener Unterlagen hat dabei so zu erfolgen, dass Unbefugte keine Kenntnis von diesen Daten erlangen können. Eine Entsorgung über Altpapiercontainer ist nicht zulässig. Vor einer Vernichtung sind allerdings alle Unterlagen dem zuständigen Archiv zur Übernahme anzubieten (§ 10 SchulDSVO).
Für eine datenschutzgerechte Vernichtung dieser Unterlagen gibt es folgende Möglichkeiten:
- Beauftragung eines nach DIN 66399 zertifizierten Betriebes, der sich auf die Vernichtung solcher Unterlagen spezialisiert hat. Diese Firmen stellen sicher, dass die Unterlagen vor ihrer Vernichtung (Verbrennung, Zerkleinerung u. ä.) nicht durch eigene Mitarbeiter oder andere unbefugte Dritte zur Kenntnis genommen werden können. Hierbei handelt es sich datenschutzrechtlich um Auftragsverarbeitung. Hierfür sind die Vorgaben des Art. 28 DSGVO zu beachten. Die Auftragsverarbeitung verlangt eine sorgfältige Auswahl des Auftragnehmers sowie die schriftliche Festlegung der Art und Weise der Aktenvernichtung und deren Kontrolle.
- Vernichtung der Unterlagen durch eigene Mitarbeiterinnen oder Mitarbeiter der Schule oder des Schulträgers mittels vorhandener Papierschredder. In diesem Falle muss sichergestellt sein, dass bis zur endgültigen Vernichtung zwischengelagerte Unterlagen nicht für Unbefugte zugänglich sind und die Schredder die erforderliche Schutzklasse und Sicherheitsstufe nach DIN 66399 erfüllen. Empfehlung: Schutzklasse 2, Sicherheitsstufe 4-5.
- Vernichtung über vom Schulträger bereitgestellte Sammelcontainer ("Silberlinge").
In jedem Falle ist die Zuständigkeit für die Aktenvernichtung innerhalb der Schule durch die Schulleitung schriftlich zu regeln (wer sortiert die zu vernichtenden Unterlagen aus, wer erteilt den Auftrag zur Vernichtung, wer kontrolliert die ordnungsgemäße Durchführung).
Haben ehemalige Schülerinnen und Schüler ein Recht auf Einsicht in ihre Abschlussarbeiten und ab wann steht ihnen dieses Recht zu?
Nach Artikel 15 Abs. 1 DSGVO hat die betroffene Person ein Recht auf Auskunft. Gemäß § 9 Abs. 4 Landesdatenschutzgesetz (LDSG) kann der betroffenen Person (z. B. Abiturientin oder Abiturient) anstelle einer Auskunft auch Akteneinsicht gewährt werden, wenn die Daten in Akten (also in Papierform) enthalten sind.
Abschlussarbeiten werden in papierener Form gespeichert. Somit findet diese Vorschrift Anwendung. Ehemalige Schülerinnen und Schüler können somit nach Abschluss des (Prüfungs-)Verfahrens, also nach Aushändigung des Abschlusszeugnisses, dieses Akteneinsichtsrecht geltend machen.
Darüber hinaus verpflichtet Artikel 15 Abs. 3 DSGVO den Verantwortlichen (die Schule), der betroffenen Person eine (kostenfreie) Kopie der personenbezogene Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen, wenn die betroffene Person dies verlangt.