View
0
Download
0
Category
Preview:
Citation preview
Marit HansenLandesbeauftragte für Datenschutz
Schleswig-Holstein
Kiel, 10.11.2018
Der neue Datenschutz für die Schule kommt aus Europa
–
Das kleine 1x1 der Datenschutz-Grundverordnung in der Schulpraxis
www.datenschutzzentrum.de
Überblick
1. Die Datenschutz-Grundverordnung
2. Die wichtigsten Pflichten, die wichtigsten Chancen
3. Auswirkungen auf die Schule
4. Fazit
DSGVO in der Schulpraxis 2
Bild: athree23 via Pixabay
www.datenschutzzentrum.de
Sicherheit
DSGVO in der Schulpraxis
Bild: Das Wortgewand via Pixabay
3
www.datenschutzzentrum.de
Beim Datenschutz geht es um Daten
DSGVO in der Schulpraxis
Menschenmit ihrenRechten
Prüffragen:
• Auswirkungen auf Menschen?
• Auswirkungen auf die Gesellschaft?
Bild: Ashtyn ReneeUnter CC BY 2.0-Lizenz https://creativecommons.org/licenses/by/2.0/ 4
www.datenschutzzentrum.de
DSGVO in der Schulpraxis
Datenschutznötig:
Machtgefällezwischen
Individuenund
Organisationen
Bild: beludise via Pixabay
5
www.datenschutzzentrum.de
DSGVO:Vereinheitlichung und Modernisierung
• Idee: Eine für alleund
alle für eine
• Ziel:echte Harmonisierung
• Rechtssicherung durch Gleichklang der Aufsicht
• Aber: 70 Öffnungsklauselnfür die Mitgliedstaaten
DSGVO in der Schulpraxis
Bild: skylarvision via Pixabay
6
www.datenschutzzentrum.de
Was sagt die Datenschutz-Grundverordnung?
Art. 5 DSGVO – immer zu erfüllen bei personenbezogenen DatenAbs. 1:
a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
b) Zweckbindungc) Datenminimierungd) Richtigkeite) Speicherbegrenzungf) Integrität und Vertraulichkeit
(Datensicherheit)
Abs. 2: Rechenschaftspflicht
DSGVO in der Schulpraxis
Bild: skylarvision via Pixabay
7
www.datenschutzzentrum.de
Nachweis- und Meldepflichten• Verantwortlich ist der Verantwortliche• Ebenso der Auftragsverarbeiter in seinem Bereich• Ziel: Risikobeherrschung • Nachweis der Datenschutzkonformität
DSGVO in der Schulpraxis
Bild: geralt via Pixabay
Bild: Antranias via Pixabay
• „Datenpanne“: z.B. Daten gestohlen oder verloren
• Meldung an Aufsichtsbehörde (innerhalb von 72 Stunden)
• Wenn Risiko für Betroffenen:Benachrichtigung
8
www.datenschutzzentrum.de
Korrekte Datenverarbeitung nötig
DSGVO in der Schulpraxis
Bild: quinntheislander via Pixabay
9
www.datenschutzzentrum.de
Rechte der Betroffenen
Stärkung der Rechte der betroffenen Personen:
• Artikel 7: Einwilligung: freiwillig, informiert, widerrufbar• Artikel 12: Transparente Information […]• Artikel 13+14: Informationspflichten• Artikel 15: Auskunftsrecht der betroffenen Person• Artikel 16: Recht auf Berichtigung• Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden“)• Artikel 18: Recht auf Einschränkung der Verarbeitung• Artikel 19: Mitteilungspflicht im Zusammenhang mit Art. 17/18• Artikel 20: Recht auf Datenübertragbarkeit• Artikel 21: Widerspruchsrecht• Artikel 22: Automatisierte Entscheidungen im Einzelfall / Profiling
DSGVO in der Schulpraxis 10
www.datenschutzzentrum.de
Einwilligung
DSGVO in der Schulpraxis
Bild: Catkin via Pixabay
11
www.datenschutzzentrum.de
Widerruf der Einwilligung
DSGVO in der Schulpraxis
Bild: ivanacoi via Pixabay
12
www.datenschutzzentrum.de
Vertrag
DSGVO in der Schulpraxis
Bild: stux via Pixabay
Bild: geralt via Pixabay
13
www.datenschutzzentrum.de
Betroffenenrecht Information
DSGVO in der Schulpraxis
Bild: geralt via Pixabay
Bild: rawpixel via Pixabay
14
www.datenschutzzentrum.de
Betroffenenrecht Auskunft
DSGVO in der Schulpraxis
Bild: geralt via Pixabay
Bild: rawpixel via Pixabay
15
www.datenschutzzentrum.de
Betroffenenrecht Berichtigung
DSGVO in der Schulpraxis
Bild: stevepb via Pixabay
Bild: rawpixel via Pixabay
16
www.datenschutzzentrum.de
Betroffenenrecht Löschen
DSGVO in der Schulpraxis
Bild: Hans via Pixabay
Bild: rawpixel via Pixabay
17
www.datenschutzzentrum.de
Betroffenenrecht Übertragbarkeit
DSGVO in der Schulpraxis
Bild: webandi via Pixabay
Bild: rawpixel via Pixabay
18
www.datenschutzzentrum.de
Bei Einzelentscheidung: Information über Logik
DSGVO in der Schulpraxis
Bild: geralt via Pixabay
Bild: rawpixel via Pixabay
19
www.datenschutzzentrum.de
Betroffenenrecht Beschwerde bei den Datenschutz-Aufsichtsbehörden
DSGVO in der Schulpraxis
Bild: geralt via Pixabay
20
www.datenschutzzentrum.de
Wie geht‘s? –Rechenschaftspflicht
• Verantwortlich ist der Verantwortliche = Leitung
• Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO:„für die Einhaltung verantwortlich … Einhaltung nachweisen können …“
• Ähnlich Art. 24 DSGVO: „Maßnahmen […], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“„… erforderlichenfalls überprüft und aktualisiert“
• Art. 25 DSGVO: „wirksam umzusetzen … notwendigen Garantien in die Verarbeitung aufzunehmen …“
DSGVO in der Schulpraxis 21
Datenschutz-management!
www.datenschutzzentrum.de
Datenschutz „by Design“ & „by Default“
• Art. 25 DSGVO – mehr als „eingebaute Sicherheit“ (Art. 32 DSGVO)
• Richtet sich an: Datenverarbeiter (primär: Verantwortlicher)Indirekt: Dienstleister und Hersteller von IT-Systemen
• Ziel: Gestaltung von Systemen + Dienstenvon Anfang an über den gesamten Lebenszyklusa) datenminimierendb) mit möglichst datenschutzfreundlichen
Voreinstellungen
• Wichtig für jede Beschaffung + Nachweispflicht
DSGVO in der Schulpraxis 22
www.datenschutzzentrum.de
Überblick
1. Die Datenschutz-Grundverordnung
2. Die wichtigsten Pflichten, die wichtigsten Chancen
3. Auswirkungen auf die Schule
4. Fazit
DSGVO in der Schulpraxis 23
Bild: athree23 via Pixabay
www.datenschutzzentrum.de
First things first: Rechtsgrundlage(n)
• Schulgesetz S-H, insbesondere §§ 30 ff. SchulG• + Schul-Datenschutzverordnung
• Ergänzend Landesdatenschutzgesetz (LDSG) – siehe § 30 Abs. 2 SchulG
• Und immer: DSGVO,z.B. zur Realisierung einer Einwilligung
DSGVO in der Schulpraxis 24
www.datenschutzzentrum.de
Wie geht‘s? –Datenschutzbeauftragte(r)
• Benennung für jede öffentliche Stelle Pflicht [Art. 37 DSGVO]
• Aufgaben: Unterrichtung, Beratung, Überwachung
• Kriterien: Intern oder extern?Keine InteressenkonflikteRessourcen, Fortbildungen
DSGVO in der Schulpraxis 25
Zentraler Datenschutzbeauftragter des Bildungsministeriumsfür die öffentlichen Schulen,
Telefon: 0431-988 2452E-Mail: DatenschutzbeauftragterSchule@bimi.landsh.de
www.datenschutzzentrum.de
Information des BIMI vom 18.05.2018
DSGVO in der Schulpraxis 26
https://www.schleswig-holstein.de/DE/Fachinhalte/S/schulrecht/Glossareintraege/D/datenschutz.html
www.datenschutzzentrum.de
Aber … das ULD?
• Tja. Weiterleitung der Datenschutzanfragen von Lehrkräften, SuS und Eltern an den schulischen DSB
• ULD-Aufgaben:Beratung der DatenschutzbeauftragtenAufsichtsbehörde: Behandlung von Beschwerden, PrüfungenSensibilisierung
DSGVO in der Schulpraxis
„Das ULD hat nach der EU-Datenschutz-Grundverordnung keinenBeratungsauftrag mehr, wie es im alten Landesdatenschutzgesetz
vorgeschrieben war.
Für die Beantwortung Ihrer Anfrage ist jetzt die bzw. der ZentraleDatenschutzbeauftragte des Bildungsministeriums
für die öffentlichen Schulen zuständig.“
27
www.datenschutzzentrum.de
Verantwortliche: zu tun
• Wissen über Datenverarbeitung:Welche Zwecke, welche Daten, wo, welche Dienstleister, Risiko?
• DokumentationArt. 30 DSGVO: Verzeichnis der VerarbeitungstätigkeitenTechnische und organisatorische Maßnahmen
• Unterrichtung der Lehrkräfte
• Informationspflichten ggü. betroffenen Personen
• Prozesse aufsetzen, z.B. Auskunft, Berichtigung, Löschung, Meldepflicht bei Datenpannen, Überprüfung der Wirksamkeit der Maßnahmen, Beschaffung
DSGVO in der Schulpraxis 28
www.datenschutzzentrum.de
Verzeichnis der Verarbeitungstätigkeiten
• Unterstützung vom ZIT (MELUND): Standards zur DV in der Schule• Zentrale Bereitstellung, Ergänzung zu schulspezifischen Aspekten• Beschreibung der techn.-org. Maßnahmen:
Schulträger einbeziehen
DSGVO in der Schulpraxis 29
www.datenschutzzentrum.de
… Kurzfassung für Informationspflicht …
DSGVO in der Schulpraxis 30
www.datenschutzzentrum.de
Zentraler Schüleraufnahmebogen
Teilung zwischen• Pflichtangaben auf Basis von
§ 30 Abs. 1 SchulGund • freiwilligen Angaben und
Weitergaben auf Basis einer Einwilligung:
LichtbildBilder/Videos auf HomepageNamen, Tel./Mail für KlassenlisteNamen, Tel./Mail für Klassenelternbeirat
DSGVO in der Schulpraxis 31
www.datenschutzzentrum.de
Beispiel für die Einwilligung
DSGVO in der Schulpraxis 32
www.datenschutzzentrum.de
Digitalisierung der Arbeitsmittel
• Klassenbuch• Zeugniserstellung• Datensafe• Unterrichtsmaterial• E-Mail-Adressen für Lehrkräfte• E-Mail-Adressen für Schülerinnen und Schüler (SuS)• WLAN• …
• Häusliches Arbeitsumfeld?
DSGVO in der Schulpraxis 33
Beachte: § 14 SchulDSVOEinsatz privater informations-
technischer Geräte
Risiko im Griff?
www.datenschutzzentrum.de
Trennung privat – dienstlich
DSGVO in der Schulpraxis
• Arbeitsmittel für die Schule ---------------------------------
Privatleben
• Grenzziehung zum eigenen Schutz wichtig!
Bild: Antranias via Pixabay
Bild: LoboStudioHamburg via Pixabay
34
www.datenschutzzentrum.de
Wenn dienstlich:Trennung Pädagogik – Verwaltung
Verwaltung:• Anforderungen an
Dokumentation, Aktenführung, Nachvollziehbarkeit
• Rechtssicher, sicher und klar
Pädagogik:• Gerne kreativ• Einerseits Schutzauftrag• Andererseits Befähigung zum
Umgang mit der echten Welt
DSGVO in der Schulpraxis
Bild: Foundry via Pixabay
35
www.datenschutzzentrum.de
Achtung bei Einbindung von Dienstleistern – mit eigenen Zwecken?
DSGVO in der Schulpraxis
Zu SuS + Eltern als Kunden:• Kundenakquise (Account für
das Leben)• Kundenbindung• Lock-in
Bild: lechenie-narkomaniivia Pixabay
Bild: geralt via Pixabay
Zur Datenverarbeitung:• Datensammlung + -analyse• Bezahlen mit Daten• Werbung!• Manipulation?
36
www.datenschutzzentrum.de
Überblick
1. Die Datenschutz-Grundverordnung
2. Die wichtigsten Pflichten, die wichtigsten Chancen
3. Auswirkungen auf die Schule
4. Fazit
DSGVO in der Schulpraxis 37
Bild: athree23 via Pixabay
www.datenschutzzentrum.de
Fazit
• Was ist anders? – Nicht so viel!• Aber:
Datenschutz ist ein ThemaDatenschutzrechte sind bekannter
• Professionalisierung nötig
• Standardisierung als Chance• Beratung vom Schul-DSB• Hilfen vom ZIT• Nachfragen!
DSGVO in der Schulpraxis
Bild: congerdesign via Pixabay
38
www.datenschutzzentrum.de
DSGVO in der Schulpraxis 39
www.datenschutzzentrum.de
Weitere Informationen
DSGVO in der Schulpraxis 40
www.datenschutzzentrum.de/meldungen/
www.datenschutzzentrum.de/dsgvo/
www.datenschutzzentrum.de
Weitere Informationen• https://www.datenschutzzentrum.de/dsgvo/• Kurzpapiere zu vielen Themen der DSGVO
Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVOAufsichtsbefugnisse/SanktionenVerarbeitung personenbezogener Daten für WerbungDatenübermittlung in DrittländerDatenschutz-Folgenabschätzung nach Art. 35 DS-GVOAuskunftsrecht der betroffenen Person, Art. 15 DS-GVOMarktortprinzip – Regelungen für außereuropäische UnternehmenMaßnahmenplan „DS-GVO“ für UnternehmenZertifizierung nach Art. 42 DS-GVOInformationspflichten bei Dritt- und DirekterhebungRecht auf Löschung / „Recht auf Vergessenwerden“DatenschutzbeauftragterAuftragsverarbeitung nach Art. 28 DS-GVOBeschäftigtendatenschutzVideoüberwachungGemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVOBesondere Kategorien personenbezogener DatenRisiko für die Rechte und Freiheiten natürlicher PersonenUnterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO
• DSGVO + BDSG: https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf
DSGVO in der Schulpraxis 41
Recommended