Beiträge :: Schlagwort #Technische und organisatorische Maßnahmen (TOM)
Folgende Beiträge wurden gefunden:
Was ist beim Einsatz von Lernprogrammen, Apps, und Onlinediensten zu beachten, wenn bei der Nutzung personenbezogene Daten verarbeitet werden?
Die zunehmende Digitalisierung an den Schulen und die Anforderungen an zeitgemäßen, ansprechenden und wirklichkeitsnahen Unterricht führen zu einem stark steigenden Bedarf nach dem Einsatz unterschiedlichster digitaler Werkzeuge. Die Bandbreite erstreckt sich vom lokalen Einsatz von Office-Anwendungen, einfacher Simulationsprogramme und interaktiven Apps bis hin zur Nutzung kommerzieller, zentral betriebenen Lernplattformen, Videokonferenz- und Lernmanagementsystemen. Für die Nutzung kommen Endgeräte verschiedener Hersteller, Betriebssysteme und Leistungsklassen zum Einsatz, die sowohl im Eigentum und in Verantwortung der Schule betrieben werden, als auch schülereigene Endgeräte in beliebigen Konfigurationsvarianten. Die Nutzung kann ausschließlich in der Schule, aber auch ergänzend im privaten Umfeld stattfinden (Distanzlernen, Hausaufgaben etc.).
Für die Beantwortung der Fragen, ob ein bestimmtes, von Schule nachgefragtes, Produkt oder ein Onlineangebot überhaupt in Schule rechtmäßig eingesetzt werden kann, ist zunächst ein Nutzungskonzept zu entwerfen, in dem Zwecke und Ziele, beteiligte Personengruppen, die Verwendungsorte und die Herkunft der Endgeräte (schulisch/privat) festgelegt wird.
Für die Klärung der Frage, ob die Anwendung vor der Nutzung einer datenschutzrechtlichen Prüfung unterzogen werden muss und welche Dokumentationserfordernisse daraus für die Schule erwachsen, ist entscheidend, ob das geplante Verfahren mit einer Verarbeitung personenbezogener Daten einhergeht. Findet die Verarbeitung darüber hinaus nicht lokal, sondern bei einem Dienstleister (Programmanbieter, Hostingdienstleister) statt, ist zusätzlich ein Auftragsverarbeitungsvertrag (AVV) zwischen Schule und Dienstleister zu schließen.
Schulen können sich bei Fragen und Unsicherheiten auch vom IQSH (Helpdesk) und dem zentralen Datenschutzbeauftragten beraten lassen. Hierfür sind im Vorwege das Nutzungsszenario zu definieren und Unterlagen zur Beschreibung des geplanten Verfahrens (Herstellerunterlagen, AVV etc.) zu beschaffen. Eine Beratung nur unter Nennung des Produktes und der Frage, ob dies an der Schule eingesetzt werden darf, ist nicht möglich.
Lehrkräfte sollten nicht eigenmächtig Apps oder Onlinedienste, die mit der Verarbeitung personenbezogener Daten einher gehen, einführen oder gar Schülerinnen und Schüler zur Installation verpflichten. Hier ist immer eine Absprache/Genehmigung mit/durch die Schulleitung erforderlich, da diese die Gesamtverantwortung für die Einhaltung und Organisation des Datenschutzes trägt (§ 2 SchulDSVO). Aus diesem Grund erteilt auch weder das MBWFK (mit Ausnahme der Landeslösunge) noch der Datenschutzbeauftragte Freigaben oder Nutzungserlaubnisse.
Die diesem Beitrag beigefügten Unterlagen sollen Ihnen erste Informationen zu diesem Themenkomplex und Hilfestellungen bei der Auswahl geben sowie die erforderliche Verarbeitungsdokumentation mit Mustern unterstützen.
Zugehörige Dateien
→ Verarbeitungsdokumentation_Muster [ZIP]
→ Checkliste_Auftragsverarbeitung_I [DOCX]
→ Checkliste_Auftragsverarbeitung_II [DOCX]
→ Checkliste_Dokumentationspflichten [DOCX]
→ Schnellüberblick zum Auswahl-, Prüf- und Einführungsverfahren für digitale Medien [PDF]
Nutzung privater Endgeräte - Was ist bei der Beantragung, Genehmigung und Nutzung zu beachten?
Vorbemerkung:
Private Endgeräte dürfen für die dienstliche Verarbeitung personenbezogener Daten nur verwendet werden, wenn hierfür eine Genehmigung auf Antrag der Lehrkraft durch die Schulleitung erteilt wurde. Eine solche Genehmigung stellt nach der Neuerung der SchulDSVO im Juli 2022 nur noch die Ausnahme dar. Durch die vom Land sukzessive Bereitstellung dienstlicher Endgeräte für die Arbeitsverrichtung werden zunehmend keine Genehmigungen mehr für private Endgeräte erteilt. Des Weiteren erlischt die bisher erteilte Genehmigung nach §14 Abs. 7 SchulDSVO sobald ein dienstliches Endgerät zur Verfügung steht. Für den Ausnahmefall bleibt das alte Verfahren vorerst dennoch bestehen. Die Antragstellung erfolgt eigenverantwortlich durch die Lehrkraft (Bringschuld). Die Genehmigung ist maximal 4 Jahre gültig. Sie muss erneut beantragt werden, wenn sich Änderungen am Antragsgegenstand ergeben (neue Programme, neues Endgerät).
Antrags- und Genehmigungsverfahren:
Die Rahmenbedingungen zur Nutzung privater Endgeräte ergeben sich formal aus dem § 14 SchulDSVO. Die Lehrkraft sichert in Ihrem Antrag (Musterformular im Anhang) verschiedene organisatorische Maßnahmen (nur dienstliche Verarbeitung, keine Offenlegung gegenüber Dritten, Wahrung der Vertraulichkeit, Ermöglichung der Einsichtnahme zu Kontrollzwecken gegenüber der Datenschutzaufsichtsbehörde und der Schulleitung, Mitteilung bei Änderungen des Antragsgegenstands) zu und verpflichtet sich darüber hinaus, angemessene Sicherheitsmaßnahmen (Artikel 32 DSGVO und § 15 SchulDSVO) zu ergreifen und nur Programme zu verwenden, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten das erforderliche und angemessene Maß an Vertraulichkeit sicherstellen.
Damit beschränkt sich der Prüfaufwand durch die Schulleitung für die Erteilung der Genehmigung auf die im Antrag angegebenen Programme, mit denen die Lehrkraft personenbezogene Daten verarbeiten möchte (bspw. Office-Anwendungen für Listen, Zeugnisentwürfe, Gutachten etc., digitale Lehrerkalender) und das Betriebssystem des Endgerätes. Weitere Programme, die die Lehrkraft bspw. zur Unterrichtsvor- und Nachbereitung (Erstellung von Arbeitsblättern, Präsentationen, Klassenarbeiten etc.) oder im Unterricht (bspw. Simulationen, Visualisierung) einsetzen möchte und in denen keine personenbezogenen Daten bearbeitet werden, sind davon ausgenommen.
Prüfung folgender Punkte durch die Schulleitung auf Grund des Antrags:
- die installierte Betriebssystemversion muss aktuell sein
- die installierte Office Anwendung muss aktuell sein, damit sie noch mit Sicherheitsupdates versorgt wird. Sie muss lokal installiert sein.
- Beispiele:
- LibreOffice (de.libreoffice.org)
- OpenOffice (openoffice.org/de)
- Microsoft Office 2016 (Supportende 14.10.2025)
- Microsoft Office 2019 (14.10.2025)
- Microsoft Office 2021 LTSC (13.10.2026)
- Microsoft Office 2019 for Mac (10.10.2023), keine Nachfolgeversion für rein lokale Nutzung
- LibreOffice (de.libreoffice.org)
- -> Quelle: https://docs.microsoft.com/de-de/lifecycle/products/?products=office&terms=Microsoft%20Office
- Office 365/Microsoft 365 darf für die Verarbeitung personenbezogener Daten nicht verwendet werden, da die Dokumentenbearbeitung/-speicherung bei Clouddiensten nicht zulässig ist (§14 Absatz 6 SchulDSVO). Hier muss die Lehrkraft dann parallel bspw. LibreOffice installieren.
- ältere Betriebssystemversionen (bspw. Windows 7) oder Officeanwendungen (bspw. MS Office 2010) dürfen nicht mehr eingesetzt werden, da hier der Support mit wichtigen Sicherheitsupdates ausgelaufen ist und somit auf Grund von Sicherheitslücken ein erhöhtes Risiko besteht.
- Bei Internetbrowsern, die
bspw. für den Zugang zum E-Mailpostfach (…@schule-sh.de -> verpflichtend zu nutzen für dienstliche Kommunikation), Schulportal, Lernmanagementsystem oder für Videokonferenzen eingesetzt werden, ist ebenfalls
darauf zu achten, dass eine aktuelle Version installiert ist und aktuell
gehalten wird:
- Beispiele:
- Edge (https://www.microsoft.com/de-de/edge)
- Firefox (https://www.mozilla.org/de/firefox/new/)
- Chrome (https://www.google.com/intl/de/chrome/)
- weitere von der Lehrkraft angegebene Programme müssen ebenfalls hinsichtlich der Aktualität und Sicherheit bewertet werden.
- Insbesondere für digitale Lehrerkalender gelten die in der Ergänzung zum Antragsformular aufgeführten Rahmenbedingungen/Einschränkungen.
Hinweise zur Nutzung privater Endgeräte für Lehrkräfte, die geeignet sind, die Forderungen des §14 SchulDSVO zu erfüllen und insgesamt, auch bei der privaten Nutzung, ein erhöhtes Sicherheitsniveau zu erreichen:
- Das Endgerät muss mit einem Zugangsschutz versehen sein (Fingerabdruck, Passwort mit min. 8 Zeichen -> Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen).
- Das Gerät muss auch bei kurzfristiger Abwesenheit gesperrt werden (Tastenkombination Windows+L, [ctrl]+Touch-ID-Sensor).
- Idealerweise wird ein zweites
Benutzerkonto (dienstlich) angelegt, um die Vermischung privater und
dienstlicher Daten zu verhindern.
- Dateien mit personenbezogenen Inhalten, das können auch E-Mailanhänge sein, sollten auf einem verschlüsselten, externen Datenträger (USB-Stick, Wechselfestplatte) abgelegt werden. Alternativ kann ein separater Ordner (verschlüsselter Container) auf dem Endgerät angelegt werden (bspw. der kostenlosen Open-Source-Verschlüsselungssoftware VeraCrypt -> https://www.veracrypt.fr/en/Downloads.html).
- Wenn vorhanden, sollte eine Festplattenverschlüsselung (bspw. Bitlocker bei Windows 10, FileVault bei MacOS) aktiviert sein.
- Eine Speicherung
personenbezogener Daten bei Clouddiensten (insb. ICloud, GoogleDrive, Dropbox,
OneDrive) ist nicht zulässig (vgl. §14 Abs. 6 SchulDSVO).
- Die installierte oder im Betriebssystem integrierte Antiviren-/Malware-/Firewallsoftware (bspw. Windows Defender) sollte regelmäßig, automatisch vollständige Scans des Rechners durchführen.
- Automatische Updates für das Betriebssystem, die Schutzsoftware und die genutzten Programme müssen aktiviert sein.
- Die Verbindung zum Internet sollte nur über vertrauenswürdige Netzwerke erfolgen z. B. über das Netzwerk der Schule, das eigene WLAN zuhause oder einen Hotspot des eigenen Mobiltelefons. Bestehen Zweifel über die Sicherheit der zur Verfügung stehenden Netzwerke (z.B. öffentliche Netzwerke in Bahnhöfen oder Städten), sollte keine Internetverbindung aufgebaut werden.
- Die Datenschutzeinstellungen des Betriebssystems sollten überprüft und angepasst werden (Tipps: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenschutz-bei-windows-10-erhoehen-12154).
- Gleiches gilt für die
Sicherheitseinstellungen des Internetbrowsers.
- Dateien sollten unter Beachtung des § 15 SchulDSVO regelmäßig gelöscht werden – auch aus dem Papierkorb.
- Für aufbewahrungspflichtige Daten (bspw. persönliche Notizen zur Dokumentation von Leistungsbewertungen) sollten regelmäßig Sicherungskopien auf verschlüsselten Wechseldatenträgern angefertigt werden.
- Digitale Lehrerkalender dürfen nur wie im Antrag vorgegeben genutzt werden (insb. Datenminimierung, Backups, Aufbewahrungspflichten, Verbot von Cloudspeicherung, keine Mehrgerätenutzung)
- Weitere Informationen zum Schutz von Endgeräten erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Rubrik „Basistipps zur IT-Sicherheit“.
- Wenn das Endgerät entsorgt werden soll, dann sollte sichergestellt sein, dass alle Daten auf der Festplatte sicher gelöscht sind. Ein einfaches Löschen in den „Papierkorb“ oder im Windows Explorer ist hierfür nicht ausreichend. Auf der BSI-Webseite „BSI für Bürger“ finden Sie Hilfestellungen und kostenfreie Werkzeuge zum sicheren Löschen Ihrer Daten: https://www.bsi-fuer-buerger.de/BSIFB/richtig_loeschen.
Zugehörige Dateien
→ Antrag zur Genehmigung der Nutzung privater Endgeräte durch Lehrkräfte [DOCX]
Welche Auswirkung hat die EU-Datenschutz-Grundverordnung (DSGVO) auf die personenbezogene Datenverarbeitung der Elternvertretungen?
Die Elternvertreterinnen und Elternvertreter sind nach § 76 Absatz 1 Schulgesetz (SchulG) ehrenamtlich tätig und nach den §§ 95 und 96 Landesverwaltungsgesetz (LvWG) zur Verschwiegenheit verpflichtet. Weitergehende Ausführungen zum rechtlichen Status der einzelnen Elternvertreterinnen und der Elternvertreter macht das Schulgesetz nicht. Dasselbe gilt für die Gremien (Schulelternbeirat, Kreiselternbeirat, Landeselternbeirat).
Elternvertreterinnen und Elternvertreter nehmen ihre Aufgaben als natürliche Personen wahr.
Sofern es um die Verarbeitung personenbezogener Daten z. B. der Eltern geht, gelten für die Elternvertretungen und die Gremien somit zunächst die Grundsätze der DSGVO.
Artikel 4 Nr. 7 DSGVO definiert die Verantwortlichen für die Verarbeitung personenbezogener Daten. Danach sind „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Damit kann auch eine natürliche Person "Verantwortlicher" im Sinne der DSGVO sein.
Die Schul-Datenschutzverordnung (SchulDSVO) trifft für die personenbezogene Datenverarbeitung in § 16 folgende Regelung
Datenverarbeitung der Elternvertretungen
(1) Die Elternvertretungen verarbeiten personenbezogene Daten eigenständig und eigenverantwortlich entsprechend den datenschutzrechtlichen Bestimmungen. Die Mitwirkung an der Elternvertretung ist freiwillig; Eltern sind nicht verpflichtet, gegenüber Elternvertretungen personenbezogene Angaben zu machen.
(2) Zur Unterstützung für ihre Arbeit erhalten die Klassenelternbeiräte und der Schulelternbeirat personenbezogene Daten der Eltern und Lehrkräfte gemäß § 9 Absatz 4 von der Schule.
(3) An die Kreiselternbeiräte und an den Landeselternbeirat werden die für ihre Arbeit erforderlichen Namen und Anschriften nicht durch die Schule, sondern gemäß § 15 Absatz 2 der Wahlverordnung für Elternbeiräte vom 7. Mai 2012 (NBl. MBK. Schl.-H. S. 113), geändert durch Verordnung vom 31. Mai 2017 (NBl. MBWK. Schl.-H. S. 176), durch die Schulelternbeiratsvorsitzende oder den Schulelternbeiratsvorsitzenden übermittelt.
Die personenbezogene Datenverarbeitung hat sich somit im Grundsatz nach den Bestimmungen der DSGVO zu richten, da die Elternvertreterinnen und Elternvertreter als natürliche Personen für die personenbezogene Datenverarbeitung "Verantwortlicher" sind.
Bei der Verarbeitung personenbezogener Daten haben die Elternvertreterinnen und Elternvertreter nicht nur die Verschwiegenheitsverpflichtung zu beachten, sondern auch Maßnahmen zu ergreifen, um die von ihnen (elektronisch oder konventionell (Papier)) verarbeiteten personenbezogenen Daten der betroffenen Personen (Daten von Eltern, Schülerinnen und Schülern) vor dem Zugriff und Zugang Unbefugter zu schützen (Artikel 25 Abs. 2 DSGVO).
Ferner haben sie sicherzustellen, dass die personenbezogenen Daten der betroffenen Personen unverzüglich gelöscht/vernichtet werden, wenn diese nicht mehr zur Aufgabenerfüllung benötigt werden (Artikel 25 Abs. 2 Satz 2 DSGVO).
Die Bestellung eines Datenschutzbeauftragten ist für die o. g. Gremien nicht erforderlich. Diese Gremien sind lediglich ein Zusammenschluss natürlicher Personen, deren Aufgabenstellung im Schulgesetz zur unabhängigen Wahrnehmung in eigener Verantwortung definiert ist. Solche Gremien sind in Artikel 37 DSGVO nicht benannt.
Externe Inhalte
→ Infoseite des Bildungsministeriums zur Elternarbeit.
Welche Sicherheitsmaßnahmen zur Gewährleistung von Datenschutz und Datensicherheit kann Schule ergreifen?
Die EU-Datenschutzgrundverordnung (DSGVO) fordert zum Schutz der Daten und damit zur Gewährleistung des Datenschutzes (Schutz der Personen und Ihrer Rechte und Freiheiten) und der Datensicherheit (Schutz der Daten vor Verlust, Veränderung, Offenlegung) die Ergreifung sogenannter technischer und organisatorischer Maßnahmen (TOM). Hierbei handelt es sich um einen der Grundsätze der Verarbeitung nach Artikel 5 DSGVO. Wie TOMs ausgewählt werden und welche Kriterien dabei zu beachten sind, ergibt sich aus Artikel 32 DSGVO.
Auswahl und Implementierung von TOMs sollen zu einer Risikominimierung beitragen und berücksichtigen sowohl die Eintrittswahrscheinlichkeit für eine bestimmte Situation als auch die Schwere des zu erwartenden Schadens für die betroffenen Personen. Die TOMs sollen dem Stand der Technik entsprechen und regelmäßig überprüft werden.
Die Schulleitung ist verantwortlich für die Dokumentation der TOMs und die Überwachung der Einhaltung sowie die regelmäßige Evaluation.
Für die Schulen wurde zentral ein Basis-IT-Sicherheitskonzept entwickelt, welches gleichzeitig eine Bestandsaufnahme (IST-Situation) ermöglicht und im ausgefüllten Zustand auch als Nachweis im Sinne der DSGVO fungiert. Weitere Erläuterungen können dem Konzept entnommen werden. Das Muster ist dieser FAQ beigefügt.
Risikominimierung kann darüber hinaus neben technischen Maßnahmen auch durch organisatorische Maßnahmen erreicht werden, wobei technische Maßnahmen immer vorzuziehen sind. Einfach anzuwendende und praktikable Erstmaßnahmen können dem beigefügten Infoblatt "Sicheres Arbeiten" entnommen werden.
Darüber hinaus sind technische und organisatorische Maßnahmen spezifisch an die Gegebenheiten vor Ort anzupassen.
Wichtig ist, dass organisatorische Maßnahmen verbindlich (bspw. durch eine Belehrung oder Dienstanweisung), allen Beteiligten bekannt und praktikabel umzusetzen sind, damit die nötige Sensibilität und auch Akzeptanz erreicht werden kann.
Zugehörige Dateien
→ Sicheres_Arbeiten_Basics [PDF]
→ Muster-Basis-IT-Sicherheitskonzept [DOCX]