Beiträge :: Kategorie @Datensicherheit und Datenpannen

Folgende Beiträge wurden gefunden:

Unter welchen Voraussetzungen dürfen digitale Klassen- und Notizbücher geführt werden und ist dies auch mit einem Webservice zulässig?

Nach § 13 SchulDSVO dürfen digitale Klassenbücher anstelle von papierenen Klassen- oder Kursbüchern geführt werden. Diese Vorschrift erlaubt es den Schulen, ihre bisher in Papierform geführten Klassenbücher ausschließlich elektronisch zu führen. Eine parallele Führung schließt die Regelung aus.

Entschließt sich eine Schule für die digitale Führung des Klassenbuches und damit zum Einsatz eines elektronischen Verfahrens, darf sie darin auch personenbezogene Daten der Schülerinnen, Schüler und Eltern speichern (§ 13 Abs. 3 SchulDSVO), wenn dies erforderlich ist. In diesem Fall muss das Verfahren umfänglich dokumentiert werden und die Schulleiterin oder der Schulleiter ist verpflichtet, eindeutige Regelungen zur Nutzung des Verfahrens für die Lehrkräfte und ggf. andere Nutzerinnen und Nutzer (Dienstanweisung) zu treffen und diese in Kraft zu setzen (Rechenschafts- und Dokumentationspflicht nach Art. 5 Abs. 2 DSGVO i. V. m. Art. 32 DSGVO). 

Ferner ist das digitale Klassenbuch, sofern es sich nicht um die Dokumentation von Fehlzeiten und des erteilten Unterrichts handelt, zwingend durch einen zweiten Sicherungsmechanismus (sog. Zwei-Faktor-Authentisierung - 2FA) vor dem Zugang Unbefugter zu sichern (§ 13 Abs. 2 Nr. 3 SchulDSVO).

Zugang zum digitalen Klassenbuch dürfen nur die in § 6 SchulDSVO genannten sowie die zur Schulsozialarbeit eingesetzten Personen erhalten. Darüber hinaus sind alle Daten zentral (Server der Schule oder des Dienstleisters) abzulegen und dürfen nicht lokal auf Endgeräten gespeichert werden.

Wird das digitale Klassenbuch nicht auf informationstechnischen Geräten der Schule, sondern unter Zuhilfenahme eines Dienstleisters geführt, handelt es sich um Auftragsverarbeitung nach Art. 28 DSGVO. In diesem Fall kann die Schulleitung eine solche Datenverarbeitung (unabhängig vom eingesetzten Verfahren) generell nur mit Genehmigung des Bildungsministeriums in Auftrag geben (§ 12 SchulDSVO).

Ergänzend zu den genutzten Funktionen zum Ersatz des papiernen Klassenbuchs bieten die Produkte häufig auch die Möglichkeit, das Lehrkräfte darin persönliche Notizen ablegen und somit die analogen Lehrerkalender in eine digitale Form zu überführen.

Die zum Schuljahr 2022/2023 durch das MBWFK erlassene Änderung der SchulDSVO (siehe Nachrichtenblatt Ausgabe Nr. 6/7/2022 – Schule –)  ermöglicht es auch, losgelöst von digitalen Klassenbüchern, sogenannte digitale Lehrkräftekalender zu führen. Unter welchen Bedingungen dies möglich ist, wird in einem eigenen FAQ-Eintrag erläutert.

Tags →  @Datensicherheit und Datenpannen, →  @EDV, Internet und Endgeräte, →  @Auftragsverarbeitung, → #Digitales Klassenbuch, → #Notizbuch, → #Webservice, → #Lehrkräfte, → #Lehrkräftekalender.
Stand 18.07.2023 15:05:21 [12010] → PermaLink


Welche Sicherheitsmaßnahmen zur Gewährleistung von Datenschutz und Datensicherheit kann Schule ergreifen?

Die EU-Datenschutzgrundverordnung (DSGVO) fordert zum Schutz der Daten und damit zur Gewährleistung des Datenschutzes (Schutz der Personen und Ihrer Rechte und Freiheiten) und der Datensicherheit (Schutz der Daten vor Verlust, Veränderung, Offenlegung) die Ergreifung sogenannter technischer und organisatorischer Maßnahmen (TOM). Hierbei handelt es sich um einen der Grundsätze der Verarbeitung nach Artikel 5 DSGVO. Wie TOMs ausgewählt werden und welche Kriterien dabei zu beachten sind, ergibt sich aus Artikel 32 DSGVO.

Auswahl und Implementierung von TOMs sollen zu einer Risikominimierung beitragen und berücksichtigen sowohl die Eintrittswahrscheinlichkeit für eine bestimmte Situation als auch die Schwere des zu erwartenden Schadens für die betroffenen Personen. Die TOMs sollen dem Stand der Technik entsprechen und regelmäßig überprüft werden.

Die Schulleitung ist verantwortlich für die Dokumentation der TOMs und die Überwachung der Einhaltung sowie die regelmäßige Evaluation.

Für die Schulen wurde zentral ein Basis-IT-Sicherheitskonzept entwickelt, welches gleichzeitig eine Bestandsaufnahme (IST-Situation) ermöglicht und im ausgefüllten Zustand auch als Nachweis im Sinne der DSGVO fungiert. Weitere Erläuterungen können dem Konzept entnommen werden. Das Muster ist dieser FAQ beigefügt.

Risikominimierung kann darüber hinaus neben technischen Maßnahmen auch durch organisatorische Maßnahmen erreicht werden, wobei technische Maßnahmen immer vorzuziehen sind. Einfach anzuwendende und praktikable Erstmaßnahmen können dem beigefügten Infoblatt "Sicheres Arbeiten" entnommen werden.

Darüber hinaus sind technische und organisatorische Maßnahmen spezifisch an die Gegebenheiten vor Ort anzupassen.

Wichtig ist, dass organisatorische Maßnahmen verbindlich (bspw. durch eine Belehrung oder Dienstanweisung), allen Beteiligten bekannt und praktikabel umzusetzen sind, damit die nötige Sensibilität und auch Akzeptanz erreicht werden kann.

Zugehörige Dateien
→ Sicheres_Arbeiten_Basics [PDF]
→ Muster-Basis-IT-Sicherheitskonzept [DOCX]

Tags →  @Datensicherheit und Datenpannen, →  @Dokumentationspflichten, →  @Handreichungen, Muster und Checklisten, → #Technische und organisatorische Maßnahmen (TOM).
Stand 30.08.2022 16:43:04 [11111] → PermaLink


Welche Auswirkung hat die EU-Datenschutz-Grundverordnung (DSGVO) auf die personenbezogene Datenverarbeitung der Elternvertretungen?

Die Elternvertreterinnen und Elternvertreter sind nach § 76 Absatz 1 Schulgesetz (SchulG) ehrenamtlich tätig und nach den §§ 95 und 96 Landesverwaltungsgesetz (LvWG) zur Verschwiegenheit verpflichtet. Weitergehende Ausführungen zum rechtlichen Status der einzelnen Elternvertreterinnen und der Elternvertreter macht das Schulgesetz nicht. Dasselbe gilt für die Gremien (Schulelternbeirat, Kreiselternbeirat, Landeselternbeirat).

Elternvertreterinnen und Elternvertreter nehmen ihre Aufgaben als natürliche Personen wahr.

Sofern es um die Verarbeitung personenbezogener Daten z. B. der Eltern geht, gelten für die Elternvertretungen und die Gremien somit zunächst die Grundsätze der DSGVO.

Artikel 4 Nr. 7 DSGVO definiert die Verantwortlichen für die Verarbeitung personenbezogener Daten. Danach sind „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Damit kann auch eine natürliche Person "Verantwortlicher" im Sinne der DSGVO sein.

Die Schul-Datenschutzverordnung (SchulDSVO) trifft für die personenbezogene Datenverarbeitung in § 16 folgende Regelung

Datenverarbeitung der Elternvertretungen

(1) Die Elternvertretungen verarbeiten personenbezogene Daten eigenständig und eigenverantwortlich entsprechend den datenschutzrechtlichen Bestimmungen. Die Mitwirkung an der Elternvertretung ist freiwillig; Eltern sind nicht verpflichtet, gegenüber Elternvertretungen personenbezogene Angaben zu machen.

(2) Zur Unterstützung für ihre Arbeit erhalten die Klassenelternbeiräte und der Schulelternbeirat personenbezogene Daten der Eltern und Lehrkräfte gemäß § 9 Absatz 4 von der Schule.

(3) An die Kreiselternbeiräte und an den Landeselternbeirat werden die für ihre Arbeit erforderlichen Namen und Anschriften nicht durch die Schule, sondern gemäß § 15 Absatz 2 der Wahlverordnung für Elternbeiräte vom 7. Mai 2012 (NBl. MBK. Schl.-H. S. 113), geändert durch Verordnung vom 31. Mai 2017 (NBl. MBWK. Schl.-H. S. 176), durch die Schulelternbeiratsvorsitzende oder den Schulelternbeiratsvorsitzenden übermittelt.

Die personenbezogene Datenverarbeitung hat sich somit im Grundsatz nach den Bestimmungen der DSGVO zu richten, da die Elternvertreterinnen und Elternvertreter als natürliche Personen für die personenbezogene Datenverarbeitung "Verantwortlicher" sind.

Bei der Verarbeitung personenbezogener Daten haben die Elternvertreterinnen und Elternvertreter nicht nur die Verschwiegenheitsverpflichtung zu beachten, sondern auch Maßnahmen zu ergreifen, um die von ihnen (elektronisch oder konventionell (Papier)) verarbeiteten personenbezogenen Daten der betroffenen Personen (Daten von Eltern, Schülerinnen und Schülern) vor dem Zugriff und Zugang Unbefugter zu schützen (Artikel 25 Abs. 2 DSGVO).

Ferner haben sie sicherzustellen, dass die personenbezogenen Daten der betroffenen Personen unverzüglich gelöscht/vernichtet werden, wenn diese nicht mehr zur Aufgabenerfüllung benötigt werden (Artikel 25 Abs. 2 Satz 2 DSGVO).

Die Bestellung eines Datenschutzbeauftragten ist für die o. g. Gremien nicht erforderlich. Diese Gremien sind lediglich ein Zusammenschluss natürlicher Personen, deren Aufgabenstellung im Schulgesetz zur unabhängigen Wahrnehmung in eigener Verantwortung definiert ist. Solche Gremien sind in Artikel 37 DSGVO nicht benannt.

Externe Inhalte
→ Infoseite des Bildungsministeriums zur Elternarbeit.

Tags →  @Datensicherheit und Datenpannen, →  @Datenerhebung, →  @Elternvertretungen, →  @Löschung und Aufbewahrung, → #Technische und organisatorische Maßnahmen (TOM), → #Kontaktdaten, → #Elternbeirat, → #Klassenelternbeirat, → #Verschwiegenheit.
Stand 14.10.2022 16:32:41 [9896] → PermaLink


Was ist bei der E-Mail-Kommunikation zwischen Kolleginnen und Kollegen sowie mit Eltern und Schülerinnen/Schülern zu beachten?

Für die E-Mailkommunikation steht allen Lehrkräften eine E-Mailadresse (…@schule-sh.de) für die dienstliche Nutzung zur Verfügung. Die Rahmenbedingungen hierfür wurden in einer Dienstvereinbarung festgelegt und ergeben sich im Übrigen aus der Richtlinie zur Nutzung von Internet und E-Mail vom Januar 2021 sowie dem § 9 Abs. 5 SchulDSVO. Andere, beispielsweise über den Hosting-Anbieter der Schulhomepage (Adressen der Form name@schulname.de) bereitgestellte Mailadressen dürfen zukünftig nicht mehr für die dienstliche Kommunikation verwendet werden. Ausnahme bildet die zwingend erforderliche pädagogische Kommunikation im unterrichtlichen Kontext mit den Schülerinnen und Schülern (bspw. bei der Nutzung von IServ).

Folgende ergänzende Hinweise sind zu beachten:

  • Die landesnetzinterne Kommunikation mit personenbezogenen Informationen im Mailtext ist ohne Einschränkungen zulässig. Hierzu gehören neben der Domäne "landsh.de" auch andere, im Landesnetz befindliche E-Mail-Domänen. Eine Übersicht findet sich unter diesem Link (nur aus dem Landesnetz erreichbar!)
  • Die Kommunikation mit anderen Personen (extern, Eltern usw.) ist uneingeschränkt zulässig, wenn es sich beim Mailinhalt um organisatorische Belange und allgemeine Informationen handelt.
  • Beim Versand von personenbezogenen Informationen muss, abhängig von der Sensibilität und dem Schutzbedarf, ggf. verschlüsselt kommuniziert werden (bspw. verschlüsselte Dokumente im Anhang). Idealerweise wird in solchen Fällen auf andere Kommunikationsformen (Anruf, Gespräch, Brief) zurückgegriffen.
  • Bei E-Mails, die an mehrere Empfänger gerichtet sind (Rundschreiben etc.), müssen alle Empfänger in Bcc gesetzt werden.
  • Keine Weiterleitung auf private Mailadressen
  • Keine private Kommunikation über dienstliche Mailadressen
  • Keine Speicherung auf nicht genehmigten privaten Endgeräten
  • Regelmäßige Bereinigung des Mailaccounts (Nachrichten und Adressbuch, vgl. § 15 SchulDSVO)
  • Aktenrelevante Nachrichten sind zur entsprechenden (Schüler-)Akte zu nehmen (vgl. § 7 SchulDSVO)

Zugehörige Dateien
→ DS-Basics_Mailkommunikation [PDF]

Tags →  @Datensicherheit und Datenpannen, →  @Datenübermittlung, → #E-Mail, → #Eltern, → #Kommunikation, → #Lehrkräfte.
Stand 28.03.2023 11:39:06 [7989] → PermaLink


Wer ist der Datenschutzbeauftragte meiner Schule und welche Aufgaben hat dieser?

Mit Inkrafttreten der EU-Datenschutzgrundverordnung am 25.05.2018 wurden alle öffentlichen Stellen verpflichtet, einen Datenschutzbeauftragten zu bennen. Das Bildungsministerium hat in Abstimmung mit der Aufsichtsbehörde entschieden, hierfür eine zentrale Position im Ministerium zu schaffen. Somit existiert für allle öffentlichen Schulen ein zentraler Ansprechpartner, der auch alleinig an die Aufsichtsbehörde gemeldet wurde.

Schulen benennen daher keinen eigenen Datenschutzbeauftragten gegenüber der Aufsichtsbehörde (ULD).

Nichtsdestotrotz ist es empfehlenswert, eigene Datenschutzkompetenz an Schule aufzubauen und ggf. einen weiteren Ansprechpartner neben der nach § 2 Schuldatenschutzverordnung (SchulDSVO) für die Organisation und Einhaltung des Datenschutzes verantwortliche Schulleitung zu haben. Diese Datenschutzkoordinatoren können dann auch als Bindeglied zum zentralen Datenschutzbeauftragten für die öffentlichen Schulen fungieren.


In allen Belangen, bei denen die Nennung des Datenschutzbeauftragten erforderlich ist (bspw. Datenschutzhinweise auf der Schulhomepage, Anmeldeformulare, Einwilligungen gegenüber der Schule etc.) sind folgende Angaben aufzunehmen:

Die/Der Datenschutzbeauftragte der Schule ist

Zentraler Datenschutzbeauftragter des Bildungsministeriums für die öffentlichen Schulen
DatenschutzbeauftragterSchule@bimi.landsh.de
Telefon: +49 431 988 2452


Die Aufgaben des Datenschutzbeauftragten sind insbesondere:

  • Ansprechpartner in Datenschutzfragen für alle an Schule Beteiligten
  • Beratung auf Anfrage
  • Durchführung von Schulungen und Sensibilisierungsveranstaltungen (bspw. Schulentwicklungstage, IQSH-Fortbildungen)
  • Bereitsstellung von allgemeinen Informationen zum Datenschutz (dieses Infoportal, Muster, Handreichungen etc.)
  • Unterstützung bei der Kommunikation mit der Aufsichtsbehörde im Falle von Datenpannen
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Überprüfung der Einhaltung der datenschutzrechtlichen Vorschriften und Vorgaben

Zugehörige Dateien
→ Informationen des Bildungsministeriums zum Inkrafttreten der DSGVO [PDF]

Tags →  @Datensicherheit und Datenpannen, →  @Dokumentationspflichten, → #Homepage, → #Informationspflicht, → #Webseite, → #Datenschutzerklärung, → #Datenschutzbeauftragter.
Stand 18.10.2023 13:02:25 [7450] → PermaLink


Wann liegt eine Datenpanne vor und was ist in einem solchen Fall zu unternehmen?

Die EU-Datenschutzgrundverordnung (DSGVO) fordert in den Grundsätzen der Verarbeitung (Artikel 5), dass die personenbezogenen Daten durch technische und organisatorische Maßnahmen (Erläuterungen im Artikel 32) vor Verlust, Missbrauch, Manipulation und Offenlegung geschützt werden müssen.

Trotz guter Schutzmaßnahmen ist es nicht ausgeschlossen, dass beispielsweise durch menschliches Fehlverhalten, Diebstahl oder Hackerangriffe oder Schadsoftware dieser Schutz verletzt wird. Gehen dann personenbezogene Daten verloren, werden manipuliert oder werden öffentlich, liegt eine Datenpanne nach Artikel 33 DSGVO vor.

Ereignisse, die eine Datenpanne im Sinne der DSGVO darstellen:

  • Versand einer E-Mail an eine große Zahl Empfänger, die nicht in Bcc in die Mail eingefügt wurden
    -> Offenlegung einer großen Zahl von Kontaktinformationen
  • Verlust eines unverschlüsselten USB-Sticks mit Zeugnissen, Klassenlisten oder Gutachtenentwürfen
    -> Mögliche missbräuchliche Nutzung durch den "Finder" und ggf. nachteilige Auswirkungen auf die Personen, deren Daten auf dem USB-Stick gespeichert waren
  • Durch einen technischen Defekt oder falsche Konfiguration der Benutzerrechte besteht für einen unbeschränkten Personenkreis die Möglichkeit, auf Dateien im Schulverwaltungsnetz zuzugreifen
    -> Offenlegung sensibler Informationen oder Beschäftigtendaten
  • Durch eine Sicherheitslücke bekommen Unbefugte Zugriff auf die Benutzerdaten eines Online-Lernsystems
    -> Identitätsdiebstahl, Manipulation von Daten
  • Der Schulverwaltungsserver wird bei einem Einbruch gestohlen
    -> Schüler*innen und Elterndaten inklusive sensibler Gesundheitsdaten können missbräuchlich genutzt werden
    -> Existiert keine Sicherungskopie sind Daten nicht wiederherstellbar -> keine Zeugniserstellung möglich etc.
  • Altakten werden nach Ablauf der Aufbewahrungsfrist in den Altpapiercontainer entsorgt
    -> Datenschutzkonforme Löschung nicht gegeben, Daten könnten öffentlich werden

Im Falle einer Datenpanne sollten folgende Schritte unternommen werden:

  1. Information des zentralen Datenschutzbeauftragten für die öffentlichen Schulen um das weitere Vorgehen abzustimmen (datenschutzbeauftragterschule@bimi.landsh.de)
  2. Bei Datenpannen mit Schulverwaltungsrechnern/Im Landenetz-Bildung (LanBSH) zusätzlich Meldung an das IQSH
  3. Meldung der Datenpanne innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde (Unabhängiges Landeszentrum für Datenschutz - ULD) mit beigefügtem Muster per Mail an mail@datenschutzzentrum.de und in Kopie an datenschutzbeauftragterschule@bimi.landsh.de; Ergänzend Versand per Post an ULD
  4. ggf. Information der Betroffenen über Art und Umfang der Datenpanne
  5. Beseitigung von Ursachen, die zur Panne geführt haben, bspw. durch technische Sicherheitsmaßnahmen, Belehrung des Personals

Zugehörige Dateien
→ Muster-Datenpannenmeldung [RTF]

Tags →  @Datensicherheit und Datenpannen.
Stand 30.08.2022 16:55:41 [3263] → PermaLink


Unter welchen Voraussetzungen darf ich einen digitalen Lehrkräftekalender nutzen?

Für die Zulässigkeit eines digitalen Lehrkräftekalenders ist zwischen Angeboten zu unterscheiden, bei denen die Daten lokal auf dem dienstlich bereitgestellten Endgerät der Lehrkraft gespeichert werden und Angeboten, bei denen die Daten online bei einem Auftragsverarbeiter gespeichert werden.


Lokale Speicherung


Lehrkräftekalender, die die Daten lokal auf dem Endgerät der Lehrkraft speichern, können von der Schulleitung genehmigt werden. Die Schulleitung prüft, ob der Lehrkräftekalender datenschutzkonform eingesetzt werden kann und erlässt eine entsprechende Dienstanweisung, die den Umfang und die Grenzen der Nutzung regelt.


Damit die Schulleitung ihrer Prüfpflicht nachkommen kann, ist die Lehrkraft verpflichtet, vor Einsatz des Lehrkräftekalenders die Schulleitung zu informieren und sich die Nutzung genehmigen zu lassen.


Da der Einsatz eines digitalen Lehrkräftekalenders mit einem hohen Prüf- und Dokumentationsaufwand verbunden ist, kann die Schulleitung die Nutzung des Lehrkräftekalenders auf eine bestimmte Anwendung beschränken.


In jedem Fall ist die Nutzung eines Lehrkräftekalenders nur zulässig, wenn der Kalender auf dem dienstlich bereitgestellten oder dienstlich genehmigten Gerät eingesetzt wird und die Speicherung lokal auf dem Gerät erfolgt. Eine Sicherung der Daten bei Onlinediensten ist unzulässig.


Dafür ist sicherzustellen, dass

  • ein Cloud-Backup,
  • die Synchronisation zwischen Endgeräten und
  • die Möglichkeit der Datenweitergabe an andere Lehrkräfte

ausgeschlossen sind.


Zudem müssen dem Schutzbedarf der Daten angemessene Sicherheitsmaßnahmen getroffen werden. Dazu gehören:

  • ein zusätzlicher Passwortschutz für den Lehrkräftekalender
  • die Zugangsdaten für das Endgerät und den Lehrkräftekalender müssen sich unterscheiden
  • Daten der Anwendungen, Exportdateien und Backups müssen verschlüsselt werden

Der zulässige Umfang der personenbezogenen Daten, die hierfür verarbeitet werden dürfen, ergibt sich aus § 30 Abs. 10 S. 1 SchulG i.V.m. § 13 Abs. 3 bis 5 SchulDSVO.


Hierzu gehören:

  • Kontaktdaten,
  • Name, Vorname, Geburtsdatum, Geschlecht und ein rechtmäßig erhobenes Lichtbild,
  • Adressdaten, E-Mail-Adressen, Telefon- und vergleichbare Telekommunikationsverbindungen,
  • Angaben über für die Beschulung relevante gesundheitliche Beeinträchtigung in codierter Form,
  • Angaben zu Nachteilsausgleich, Notenschutz oder einer zurückhaltenden Gewichtung der Rechtschreibleistung,
  • persönliche Zwischenbewertungen von Unterrichtsbeiträgen und des allgemeinen Lernverhaltens sowie Zwischennoten für schriftliche Leistungsnachweise,
  • Angaben zum Sozialverhalten,
  • Namen, Telefonnummern, E-Mail-Adressen der Eltern,
  • Adressdaten von Ausbildungsbetrieben,
  • entschuldigte und unentschuldigte Fehlzeiten des laufenden Schuljahres,
  • eine bestehende Attestpflicht,
  • die Unterrichtsdokumentation.


Die Fehlzeiten, die Attestpflicht und die Unterrichtsdokumentation gehören grundsätzlich ins Klassenbuch und dürfen im Lehrkräftekalender nur zusätzlich gespeichert werden.


Sofern der Lehrkräftekalender die Möglichkeit bietet, ein Lichtbild der Schülerinnen und Schüler zu verarbeiten, ist zu beachten, dass dies erforderlich sein muss und die Lichtbilder rechtmäßig, d.h. mit Einwilligung gegenüber der Schule, erhoben wurden.


In allen Fällen ist zu beachten, dass nur die Daten verarbeitet werden, die für die Aufgabenerfüllung erforderlich sind (Grundsatz der Datenminimierung).


Für die im Lehrkräftekalender verarbeiteten Daten sind Aufbewahrungs- und Löschfristen zu beachten. Diese sind in § 15 SchulDSVO geregelt. Grundsätzlich gilt, dass Daten gelöscht werden müssen, sobald sie nicht mehr erforderlich sind um einer Aufgabe nachzukommen. Eine Ausnahme gilt für Daten, die für die Dokumentation einer Leistungsbewertung in einem gerichtlichen Verfahren erforderlich sein könnten. Diese müssen nach Ablauf des Schuljahres für zwei Jahre aufbewahrt werden und können auf Aufforderung der Schulleitung auch in der Schulverwaltung gespeichert werden.


Für das oben beschriebe Nutzungsszenario existieren Muster-Dokumentenpakete auf der Medienberatungswebseite des IQSH, die für die datenschutzrechtliche Dokumentation verschiedener Lehrkräftekalender als Vorlagen genutzt werden können.


Online-Speicherung


Unter sehr engen Voraussetzungen ist es zulässig, einen Lehrkräftekalender zu nutzen, bei dem die Daten online bei einem Auftragsverarbeiter gespeichert werden.


Grundsätzlich gelten hier dieselben Rahmenbedingungen wie bei lokal abgespeicherten Lehrkräftekalendern. Insoweit wird zu den Erläuterungen zur lokalen Speicherung verwiesen.


Darüber hinaus ist zu beachten, dass online genutzte Lehrkräftekalender immer eine Auftragsverarbeitung darstellen, soweit der Kalender nicht auf Servern der Schule gehostet wird.


Für die Auftragsverarbeitung muss die Schulleitung einen Auftragsverarbeitungsvertrag unterschreiben. Da es sich bei den Daten in einem Lehrkräftekalender zumindest teilweise um Schulverwaltungsdaten handelt, ist für den Abschluss der Auftragsverarbeitung eine Genehmigung des für Bildung zuständigen Ministeriums erforderlich. Einen Mustergenehmigungsantrag finden Sie auf der Medienberatungswebseite des IQSH.


Diese Genehmigung wird erteilt, wenn die Voraussetzungen des § 13 Abs. 2 und 3 SchulDSVO vorliegen. Dafür muss gewährleistet werden, dass nur die Lehrkraft Zugriff auf den Lehrkräftekalender hat, der er gehört und die Nutzung nur auf dienstlichen Geräten bzw. dienstlich genehmigten Geräten erfolgt. Zudem darf der Zugang zu den in § 13 Abs. 4 SchulDSVO aufgeführten Daten nur unter Nutzung einer 2-Faktor-Authentifizierung erfolgen.


Zu diesen in § 13 Abs. 4 SchulDSVO aufgeführten Daten gehören:

  • Name, Vorname, Geburtsdatum, Geschlecht und ein rechtmäßig erhobenes Lichtbild,
  • Adressdaten, E-Mail-Adressen, Telefon- und vergleichbare Telekommunikationsverbindungen,
  • Angaben über für die Beschulung relevante gesundheitliche Beeinträchtigung in codierter Form,
  • Angaben zu Nachteilsausgleich, Notenschutz oder einer zurückhaltenden Gewichtung der Rechtschreibleistung,
  • persönliche Zwischenbewertungen von Unterrichtsbeiträgen und des allgemeinen Lernverhaltens sowie Zwischennoten für schriftliche Leistungsnachweise,
  • Angaben zum Sozialverhalten,
  • Namen, Telefonnummern, E-Mail-Adressen der Eltern,
  • Adressdaten von Ausbildungsbetrieben.

Tags →  @Datensicherheit und Datenpannen, →  @EDV, Internet und Endgeräte, →  @Auftragsverarbeitung, → #Notizbuch, → #Genehmigung, → #Lehrkräftekalender.
Stand 19.12.2023 12:08:43 [2510] → PermaLink