In der Schulbibliothek:DatenschutzDatensicherheitDatensicherung

LAG Schulbibliotheken in Hessen e.V.

In der Schulbibliothek:DatenschutzDatensicherheitDatensicherung

Ldie Landesarbeitsgemeinschaft Schulbiblio -theken in Hessen e.V. ist seit mehr als zwanzigJahren die Lobbyorganisation der hessischenSchulbibliotheken. Nach dem Beginn mit einerkleinen Anzahl interessierter Kolleginnen undKollegen aus hessenweit „vereinzelten“ Schul -bibliotheken sind wir inzwischen auf eine statt-liche Zahl von 250 Schulen und persönlichenMitgliedern gewachsen. Die Anzahl von Schul-bibliotheken, Mediotheken, kombinierten Stadt-teil- und Schulbibliotheken sowie weiterenFormen von Informationszentren an Schulen istin dieser Zeit enorm gewachsen. Dies nicht zuletzt durch die Einladung der LAG zum „Hessischen Schulbibliothekstag“, der alle 2 Jahre in verschiedenen hessischen Regionenstattfindet und sich zum größten deutschspra-chigen Schulbibliothekskongress entwickelt hat.

Wir haben uns die „Leseförderung“ als zentralesZiel von Schulbibliotheken gesetzt. Drumherumgibt es aber Themen, die in den vergangenenJahren besondere Bedeutung erlangt haben: dieFörderung der Medienkompetenz, die Schulungsachgerechter Internetnutzung, das Vorlesen,die Nutzung der Schulbibliothek als Informa-tionsquelle für kompetenzorientiertes Lehrenund Lernen usw.

Das alles will organisiert sein. Und dazu brauchtes engagierte und ausgebildete Leiterinnen und

Leiter von Schulbibliotheken, es geht nicht ohneehrenamtliche Helferinnen und Helfer („Biblio-theksmütter und -väter“) und es braucht Schul-leiterinnen und Schulleiter, die solche Projektetatkräftig unterstützen!

Die LAG will Hilfen bereitstellen. In diesem Heftzu einem Thema, das alle angeht, die Nutzer -innen und Nutzer der Schulbibliothek, die Mitarbeiterinnen und Mitarbeiter und die Schul-leiterinnen und Schulleiter. Alle müssen sich umden Schutz der personenbezogenen Daten unddie Datensicherheit kümmern.

Meine dringende Bitte an alle Verantwortlichen:nehmen Sie das Thema ernst, auch wenn die Durchführung manchmal beschwerlich und nervig ist!

Dazu wünsche ich viel Erfolg und Durchhalte-vermögen.

Unser herzlicher Dank gilt an dieser Stelle dem Hessischen Kultusministerium, das diese Broschüre durch Projektmittel möglich gemacht hat sowie der tatkräftigen Unterstützung durch die „Servicestelle EDV für Schulbiblio-theken“ des Hessischen Kultusministeri-ums und der Softwarefirma LITTERA GmbH.

Liebe Kolleginnen und Kollegen,

Reiner Laasch

OStD i.R., ehemaliger Schulleiter derWeidigschule, Gymnasium in Butzbach,Gründer und ehemaliger Leiter der „Servicestelle EDV für Schulbibliotheken“Kassenwart und LITTERA-Verantwortlicher der LAG Schulbibliotheken e.V.

36

38

4

6

28

32

Einleitung

Datenschutz in der Schulbibliothek

Begriffsdefinition und Begründung für die Notwendigkeit 8

Rechtliche Grundlagen 9

Bundesdatenschutzgesetz (BDSG) 9

Hessisches Datenschutzgesetz (HDSG) 9

Hessisches Schulgesetz (HSchG) 12

Verordnung über die Verarbeitung personenbezogener Daten in Schulenund statistische Erhebungen an Schulen 14

Erlass über die Information von Eltern und volljährigen Schülerinnen und Schülernüber die Datenverarbeitung in der Schule 18

Erlass über IT-Sicherheit und Datenschutz in Schulverwaltungen, zur Nutzung von E-Mail und zur Erhebung und Veröffentlichung interner Daten 19

Praktische Umsetzung mit der Schulbibliotheks-Software LITTERA LW 25

Datensicherheit in der Schulbibliothek

Begriffsdefinition und Begründung für die Notwendigkeit 30

Praktische Umsetzung mit der Schulbibliotheks-Software LITTERA LW 31

Datensicherung in der Schulbibliothek

Begriffsdefinition und Begründung für die Notwendigkeit 34

Technische Grundlagen 34

Praktische Umsetzung mit der Schulbibliotheks-Software LITTERA LW 35

Zusammenfassung

Links und Literatur

Impressum 43

Einleitung:Datenschutz,

Datensicherheit und Datensicherung

M

5

Mit der Broschüre „Datenschutz, Datensicher-heit und Datensicherung“ setzt die LAG Schul-bibliotheken in Hessen e.V. die Reihe ihrerVeröffentlichungen zu Themen fort, die kon-krete Arbeitsbereiche in den Schulbibliothekenberühren. Ging es bisher um eher konzeptionelleThemen wie z.B. in der Broschüre „Lust? Last?Luxus? Schulbibliotheken in Hessen“ (LAGSchulbibliotheken in Hessen e.V., 2000), so solldie vorliegende Broschüre ein weitgehend unbe-arbeitetes Feld „beackern“.

Datenschutz ist nicht erst seit der „NSA-Affäre“,den verschiedenen Auswüchsen der digitalensozialen Netzwerke und den „phishing“-Angrif-fen auf Online-Konten ein Thema, sondern eineNotwendigkeit ganz unabhängig von jeder digi-talen Verarbeitung von Daten. Auch Kartei -karten in der Schulbibliothek mit Ausleihdatenmüssen in Bezug auf personenbezogene Datengeschützt und gesichert werden.In der Diskussion mit Schulbibliothekarinnenund Schulbibliothekaren wird immer wieder dieUnsicherheit deutlich, wie mit dem Thema Da-ten schutz in der Schulbibliothek umgegangenwerden muss. Seien es rechtliche Bedenken beider Verarbeitung personenbezogener Daten aufdem Computer der Schulbibliothek, die Weiter-gabe von Schülerdaten an einen Schulfotografenzur Herstellung von Bibliotheksausweisen oderdie Art und Weise der Sicherung der Bibliotheks-daten auf einem externen Medium, immer bleibtdas Gefühl, nicht alles „richtig“ zu machen.

Dabei beginnen die Schwierigkeiten schon mitder Wahl und sachgerechten Nutzung der Begrifflichkeiten. Etwas leger gesagt gibt es diedrei Bereiche:

Datenschutz:was müssen wir beachten, um alle rechtlichenVoraussetzungen, Verfahren und Formulare zumSchutz personenbezogener Daten in der Schulbi-bliothek korrekt umzusetzen,

Datensicherheit:wie können wir mit IT-technischen und organi-satorischen Maßnahmen sicherstellen, dass z.B.unsere Ausleihdaten verfügbar, integer und ver-traulich bleiben.

Datensicherung:was kann ich zur Wiederherstellung unsererSchulbibliotheksdaten unternehmen, wenn sichüber Nacht der Computer „verabschiedet“ hat?

Für den ersten Bereich „Datenschutz“ gibt esumfangreiche Regelungen, Gesetze, Verordnun-gen, Erlasse und technische Normen. Den zwei-ten Bereich „Datensicherheit“ kennzeichnentechnische und organisatorische Maßnahmenin der Schulbibliothek vor Ort, ebenso den Be-reich der „Datensicherung“.

Zu allen drei Bereichen sollen möglichst praxis-gerechte Lösungen angeboten werden, die einerseits von technischen und schulbibliothe-karischen Laien tagtäglich umgesetzt werdenkönnen (müssen!) und andererseits den Verant-wortlichen in Schulbibliothek und SchulleitungAnhaltspunkte für notwendige organisatorischeMaßnahmen, Fortbildungen und technische In-vestitionen geben. Sofern es sich um Verfahrenhandelt, die mit Schulbibliothekssoftware zutun haben wird auf das „hessische Standardpro-gramm“ LITTERA LW Bezug genommen. Zu beachten ist dabei, dass es sich bei dieserBroschüre nicht um rechtsverbindliche Aus-künfte handeln kann, sondern dass es „nur“ umeine Zusammenstellung von Quellen geht, diefür den Problemkreis relevant sein können!

Analoge Überlegungen zu den Themen Daten-schutz, Datensicherheit und Datensicherunggelten im Übrigen genauso für die „Sammlungender Lernmittelfreiheit“, kurz „LMF-Sammlungen“.

Eigentlich sind fast alle für die Schulbibliothekrelevanten Regelungen zum Datenschutz, zurDatensicherheit und zur Datensicherung in derumfangreichen Veröffentlichung „Datenschutzin Schulen“ des Hessischen Datenschutzbeauf-tragten vom Januar 2010 enthalten, nur gibt eseine Einschränkung: Der Begriff der „Schulbi-bliothek“ taucht in diesem Papier nicht auf.Gleichwohl ist diese Veröffentlichung (siehe Anhang C.2) die Grundlage für alle weiterenÜberlegungen in der Schulbibliothek, weil dieSchulbibliothek Teil der Verwaltung der Schule ist.

Datenschutzin der Schulbibliothek

8

Zweck des Datenschutzes ist es, „das Recht deseinzelnen zu schützen, selbst über die Preis-gabe und Verwendung seiner Daten zu bestim-men….“ (§ 1 Abs. 1 Nr. 1 HDSG) (s. Anhang A.2).In der Schulbibliothek werden in erheblichemMaße personenbezogene Daten verwendet:Schülerdaten werden auf Karteikarten geschrie-ben, in den Computer eingegeben oder aus derSchulverwaltungssoftware übernommen, dieSchülerdaten werden „erhoben“, „verarbeitet“und „genutzt“. Was diese Begriffe meinen istausführlich im § 2 Abs. 2 HDSG dargelegt.

An dieser Stelle vorab ein wichtiger Hinweis:

Das Hessische Datenschutzgesetz ist die Grund-lage der nachfolgenden Überlegungen für alle Schulen in öffentlicher oder kirchlicher Trägerschaft.Schulen in privater Trägerschaft sind nicht demHDSG, sondern dem BundesdatenschutzgesetzBDSG (siehe Anhang A.1) verpflichtet. Gleich-wohl sollten auch die privaten Schulen die nach-folgend erläuterten Grundsätze beachten.

Begriffsdefinition und Begründung für die Notwendigkeit

B

9

BUNDESDATENSCHUTZGESETZ (BDSG)

Bundesdatenschutzgesetz (BDSG) in der Fassung vom 14. Januar 2003 (BGBl. I S. 66); zuletzt geändert durch Gesetz zur Änderungdatenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) (Anhang A.1)

Im BDSG (§ 3) sind folgende Begriffe definiert:„Personenbezogene Daten“ (Einzelangabenüber persönliche oder sachliche Verhältnisseeiner bestimmten Person)„Automatisierte Verarbeitung“ (Erhebung,Verarbeitung oder Nutzung personenbezogenerDaten unter Einsatz von Datenverarbeitungs-anlagen)„Erheben“ (Beschaffen von Daten über den Be-troffenen)„Verarbeiten“ (Speichern, Verändern, Übermit-teln, Sperren und Löschen personenbezogenerDaten)„Nutzen“ (jede Verwendung personenbezoge-ner Daten, soweit es sich nicht um Verarbeitunghandelt),sowie mehrere weitere Begriffe wie „Anonymi-sieren“, „verantwortliche Stelle“, „Empfängervon Daten“, „Datenträger“ und insbesonderedie „Besonderen Arten personenbezogenerDaten“ wie rassische und ethnische Herkunft,politische Meinungen, religiöse oder philosophi-sche Überzeugungen, Gewerkschaftszugehö-rigkeit, Gesundheit oder Sexualleben.

Das grundlegende Ziel des Datenschutzes ist esnach § 3a BDSG „so wenig personenbezogeneDaten wie möglich zu erheben, zu verarbeitenoder zu nutzen.“ An diesem Ziel hat sich auchdie Arbeit in der Schulbibliothek auszurichten.

Im Datenschutzrecht ist allgemein von folgen-der Grundregel auszugehen: Datenverarbeitungist verboten. Daher enthalten die Datenschutz-gesetze Regelungen, wann die DV erlaubt ist. In§ 4 BDSG ist die Zulässigkeit der Datenerhe-bung, -verarbeitung und -nutzung definiert,

nämlich wenn eine „Rechtsvorschrift dies er-laubt oder anordnet oder der Betroffene einge-willigt hat“. Weiter sind für die Einwilligung (§ 4a) und die Kenntnisnahme der Zweckbe-stimmung der Datenverarbeitung sehr ausführ-lich die grundlegenden Rahmenbedingungengenannt. Außerdem werden die Funktion unddie Aufgabe des oder der „betrieblichen Daten-schutz beauftragten“ definiert. Diesen oderdiese muss die private Schule nur bestellen,wenn in der Schule mehr als 9 Personen auto-matisiert schulische Daten verarbeiten (inkl. zu Hause).Die §§ 5 und 6 BDSG erläutern den Begriff des„Datengeheimnisses“ und klären die „Rechtedes Betroffenen“, die folgenden Paragraphenu.a. die Möglichkeit des „Schadenersatzes“,„technischer und organisatorischer Maßnahmen“und des „Bußgeldes“. Insgesamt sehr grund-sätzliche Ausführungen, die zwar klar die Zieledes Datenschutzes umreißen, für die praktischeAnwendung in der Schulbibliothek aber so kaumdirekt umsetzbar sind.

Schulleitungen: Halten Sie ein aktuelles Exemplar des BDSGzur Einsichtnahme bereit und fördern Siealle Aktivitäten zur Stärkung des Schutzespersonenbezogener Daten.

Datenschutzbeauftragte: Fordern Sie die für Ihre Arbeit notwendigenRessourcen ein (Zeit, Schulungen, Materi -alien, Unabhängigkeit, …)

Schulbibliotheksleitungen:Lassen Sie sich von dem oder der Daten-schutzbeauftragten beraten und gehen Siesehr sorgfältig mit personenbezogenenDaten um. Fordern Sie die zum Daten-schutz in der Schulbibliothek notwendigenMaßnahmen und Investitionen ein!

Rechtliche Grundlagen

HESSISCHES DATENSCHUTZGESETZ (HDSG)

Hessisches Datenschutzgesetz (HDSG) in derFassung vom 7. Januar 1999 (GVBl. I S. 98), zuletzt geändert durch Gesetz vom 20.5.2011.Das HDSG (Anhang A.2) gilt für die Schulbiblio-theken öffentlicher Schulen in Hessen.Das HDSG ist mit seiner Begründung im Jahr

1970 das älteste formelle Datenschutzgesetzder Welt. Seither ist es wiederholt novelliert unddamit den veränderten technologischen Mög-lichkeiten der Datenverarbeitung angepasstworden. Das HDSG gilt allerdings nur für Schulen, soweitnicht das hessische Schulgesetz spezielle Da-tenschutznormen enthält (§ 3 Abs. 3 HDSG),

EMPF

EHLU

NG

EN

10

insbesondere in § 83 ff HSchG.Das HSchG wird wiederum weiter konkretisiertdurch die „Verordnung über die Verarbeitungpersonenbezogener Daten in Schulen und statistische Erhebungen an Schulen“ vom04.02.2009 (siehe Anhang A.4), die sehr kon-krete Aussagen zu den datenschutzrechtlichenBestimmungen von HDSG und HSchG macht.Wie im BDSG werden im HDSG zunächst Be-grifflichkeiten und Anwendungsbereich definiert(§§ 2 und 3 HDSG). Sie sind dem BDSG weitge-hend angeglichen.

Von besonderer schulischer Bedeutung ist dievorgeschriebene Bestellung eines „behördlichenDatenschutzbeauftragten“ (§ 5 HDSG), die An-fertigung von „Verfahrensverzeichnissen“ beider Verarbeitung personenbezogener Daten (§ 6 HDGS) sowie einer Vorabkontrolle bei Ein-führung von Verwaltungssoftware (§ 7 Abs. 6HDSG), wie z.B. LITTERA. (Siehe div. Formular-vorschläge im Anhang.)§ 7 regelt die Zulässigkeit der Datenverarbeitungund in § 8 sind die Rechte der Betroffenen fest-gelegt (u. a. Auskunfts- und Benachrichtigungs-recht, Überprüfung, Berichtigung, Sperrungoder Löschung der eigenen Daten, sowie Ein-sicht in das Verfahrensverzeichnis und das Rechtauf Anrufung des Datenschutzbeauftragten);alles Rechte, die unter dem Begriff der „Infor -mationellen Selbstbestimmung“ zusammenge-fasst werden können.

Dem § 9 ist zum Thema „Datengeheimnis“ zuentnehmen, dass die Mitarbeiterinnen und Mitarbeiter, die in der Schulbibliothek mit per-sonenbezogenen Daten umgehen in besondererWeise schriftlich zu unterrichten sind (siehe u.a.Anhang F.5).

Von besonderer Bedeutung für die Datensicher-heit sind die in § 10 HDSG („Technische und organisatorische Maßnahmen“) festgelegtenRegeln. Die papierbezogene Datenverarbeitungist in § 10 Abs. 3 angesprochen. Für die automa-tisierte Datenverarbeitung ist sicherzustellen (§ 10 Abs. 2), dass

1. Unbefugte keinen Zutritt zu Daten-verarbeitungsanlagen, mit denen per-sonen bezogene Daten verarbeitetwerden, erhalten (Zutrittskontrolle),

2. Unbefugte an der Benutzung vonDatenverarbeitungsanlagen und -ver-fahren gehindert werden (Benutzer-kontrolle),

3. die zur Benutzung eines Daten-ver arbei tungsverfahrens Befugtenausschließlich auf die ihrer Zugriffs-berech tigung unterliegenden perso-nenbezogenen Daten zugreifenkönnen (Zugriffskontrolle),

4. personenbezogene Daten nicht unbe-fugt oder nicht zufällig gespeichert,zur Kenntnis genommen, verändert,kopiert, übermittelt, gelöscht, entfernt,vernichtet oder sonst verarbeitetwerden (Datenverarbeitungskontr.),

5. es möglich ist, festzustellen, werwelche personenbezogenen Daten zuwelcher Zeit verarbeitet hat undwohin sie übermittelt werden sollenoder übermittelt worden sind (Ver-antwortlichkeitskontrolle),

6. personenbezogene Daten, die imAuftrag verarbeitet werden, nur ent-sprechend den Weisungen des Auftrag-gebers verarbeitet werden können(Auftragskontrolle),

7. durch eine Dokumentation aller we-sent lichen Verarbeitungsschritte dieÜberprüfbarkeit der Datenverarbei-tungsanlage und des -verfahrens mög-lich ist (Dokumentationskontrolle),

8. die innerbehördliche oder innerbetrieb-liche Organisation den besonderenAnforderungen des Datenschutzes ge-recht wird (Organisationskontrolle).

§ 10 HDSG

Die Summe aller von § 10 HDSG verlangtenschriftlich fixierten Kontrollen, Maßnahmen,Verfahrensbeschreibungen, Geräteverzeichnisseusw., die dem Ziel von Datenschutz und Daten-sicherheit dienen, wird als IT-Sicherheitskonzeptbezeichnet. Das Konzept soll allerdings die ge-samte Schulverwaltung umfassen, deren Teil dieSchulbibliothek ist.Beispiele für die Umsetzung der Maßnahmennach § 10 HDSG (die allerdings auf die jeweils involvierte Schulbibliothek noch übertragenwerden müssen) sind in den unteren Abschnit-ten und im Anhang zu finden. Wichtig ist, dassMaßnahmen aus § 10 Abs. 3 auch bei nichtauto-

11

matisierter Datenverarbeitung erforderlich sind:der Zugriff Unbefugter bei der Bearbeitung, derAufbewahrung, dem Transport und der Vernich-tung personenbezogener Daten (z.B. von Kar-teikarten, Ausleihlisten usw.) ist zu verhindern.

Die in § 11 HDSG definierte „Erforderlichkeit“ derDatenverarbeitung ist bei der Schulbibliothek sicherlich durch deren Aufgabe des Ausleihbe-triebes inhaltlich festlegt.

Die Ersterhebung der personenbezogenen Daten(§ 12 HDSG) kann in der Schulbibliothek direktbeim Betroffenen, also dem ausleihenden Leseroder der ausleihenden Leserin, erfolgen, etwadurch einen Fragebogen. Der Regelfall ist aber:die Daten werden gespeichert durch die Über-nahme aller Leser-(Schüler-)Daten aus derSchulverwaltungssoftware LUSD, wenn die not-wendigen Rahmenbedingungen eingehaltenwerden,• wenn also zum Beispiel die Betroffenen davon

in Kenntnis gesetzt werden • wenn davon ausgegangen werden kann, dass

alle Schülerinnen und Schüler auch Leser unddamit Nutzer der Schulbibliothek sind

• wenn die Betroffenen auf ihre Rechte hinge-wiesen werden (auch auf die Konsequenzen,wenn sie der Erhebung der Daten widerspre-chen) oder

• wenn bei einer geplanten Übermittlung derDaten an einen Dritten auch hierüber aufgeklärt

Schulleitungen: Halten Sie ein aktuelles Exemplar des HDSG zur Einsichtnahme bereit, ernennen Sie eine/nschulischen Datenschutzbeauftragte/n sowie eine/n Vertreter/in, lassen Sie sich von ihroder ihm die erforderlichen technischen und organisatorischen Maßnahmen erläutern, fördern Sie alle Aktivitäten zur Stärkung des Schutzes personenbezogener Daten und setzen Sie die genannten Maßnahmen auch mit Hilfe des Schulträgers um. Sorgen Sie zusammen mit dem oder der schulischen Datenschutzbeauftragten für die Erstellung undUmsetzung eines IT-Sicherheitskonzeptes.

Datenschutzbeauftragte: Fordern Sie die für Ihre Arbeit notwendigen Ressourcen ein (Zeit, Schulungen, Materialien,Unabhängigkeit, …). Regen Sie alle im HDSG genannten Maßnahmen technischer und orga-nisatorischer Art an und kontrollieren Sie regelmäßig die Umsetzung und Anwendung. Definieren Sie zusammen mit der Schulleitung Ihre Aufgabenbereiche und erstellen Sie zu-sammen mit der Schulleitung ein IT-Sicherheitskonzept.

Schulbibliotheksleitungen:Lassen Sie sich von dem oder der Datenschutzbeauftragten beraten und gehen Sie sehrsorgfältig mit personenbezogenen Daten um. Fordern Sie die zum Datenschutz in der Schul-bibliothek notwendigen Maßnahmen und Investitionen ein! Schulen Sie die Mitarbeiterin-nen und Mitarbeiter in der Schulbibliothek und achten Sie gegenüber den Schülerinnen undSchülern sowie den Erziehungsberechtigten auf höchstmögliche Transparenz bei Erhebungund Verarbeitung der personenbezogenen Daten.

wird (z.B. bei Schulfotografen zur Herstel-lung von Bibliotheksausweisen) (siehe An-hang F. 9).

Insgesamt ist die Erhebung personenbezogenerDaten in Bezug auf Umfang und Verwendungdes Datensatzes auf das Notwendigste zu beschränken (§ 10 Abs. 2 S. 1 HDSG) und sehrtransparent den Betroffenen gegenüber zuhandhaben.

Es gilt der Grundsatz, dass nach § 13 Abs. 1HDSG die erhobenen personenbezogenenDaten ausschließlich für den bei der Datenerhe-bung festgelegten Zweck verarbeitet werden(Betrieb der Schulbibliothek). Negative Beispielewären die Weitergabe von Schülerdaten an Ver-sicherungen, zukünftige Arbeitgeber, örtlicheGewerbetreibende für Werbezwecke usw.

Die §§ 14-17 HDSG sind für die Arbeit der Schul-bibliotheken wohl eher nicht relevant. In den §§ 18 und 19 sind die Rechte der Betroffenen inBezug auf „Auskunft und Benachrichtigung“sowie „Berichtigung, Sperrung und Löschung“geregelt. Auch diese Regelungen sollte dieSchulbibliothek unbedingt in größter Offenheitbeachten.

Die abschließenden §§ 20-44 regeln vor allemdie Arbeit des „Hessischen Datenschutzbeauf-tragten“ und sind daher für die Schulbibliothe-ken nur am Rande interessant.

EMPF

EHLU

NG

EN

H

12

Hessisches Schulgesetz (HSchG) – Auszug inder Fassung vom 14. Juni 2005 (GVBl. I S. 442),zuletzt geändert durch Gesetz vom 22. Mai 2014 (GVBl. S. 134)Im Hessischen Schulgesetz wird an mehreren Stellen auf Belange des Datenschutzes Bezug genommen. Diese Regelungen gehen dann den allgemeinen Vorschriften des HDSG vor.

§ 72 Informationsrechte der Eltern undder Schülerinnen und Schüler

(5) Jugendliche, die Eltern und volljäh-rige Schülerinnen und Schüler habendas Recht, Akten der Schule, Schulaufsichtsbehörden und desschulärztlichen Dienstes, in denenDaten über sie gespeichert sind, einzusehen. Die Einsichtnahme istunzulässig, wenn die Daten der Be-troffenen mit Daten Dritter derartverbunden sind, dass die Trennungnicht oder nur mit unverhältnis -mäßig großem Aufwand möglich ist.In diesem Fall ist den Betroffenenüber die zu ihrer Person gespeicher-ten Daten Auskunft zu erteilen.

§ 72 HSchG

Diese Regelung verdrängt den § 18 Abs. 5 HDSG.Das bedeutet für die Schulbibliothek, dass dieBetroffenen jederzeit einen – ausschließlich siebetreffenden – Auszug aus der Schulbiblio-theksdatenbank erhalten können. Dies beziehtsich auf die allgemeinen Grunddaten der Personwie auch auf die Ausleihtätigkeiten. Dabei dür-fen aber keine personenbezogenen Daten ande-rer Personen herausgegeben werden, also z.B.keine Liste der von einer ganzen Klasse ausge-liehenen Medien. (Beispiel siehe Anhang E.7)

§ 83 Erhebung und Verarbeitung vonpersonenbezogenen Daten

(1) Schulen dürfen personenbezogeneDaten von Schülerinnen und Schü-lern, deren Eltern und Lehrerinnenund Lehrern verarbeiten, soweitdies zur rechtmäßigen Erfüllung desBildungs- und Erziehungsauftragsder Schule und für einen jeweilsdamit verbundenen Zweck oder zurDurchführung schulorganisatorischerMaßnahmen erforderlich ist. ….

……(3) Schülerinnen und Schüler, deren El-

tern und Lehrerinnen und Lehrersind verpflichtet, die erforderlichenAngaben zu machen.

……(7) Die automatisierte Verarbeitung per-

sonenbezogener Daten darf in derSchule nur mit schuleigenen Daten-verarbeitungsgeräten erfolgen, essei denn, dass die Beachtung der er-forderlichen Datensicherheitsmaß-nahmen gewährleistet ist.

(8) Soweit in diesem Gesetz nichts an-deres geregelt ist, gilt das Hessische Datenschutzgesetz in der jeweilsgeltenden Fassung.

(9) Umfang und Einzelheiten der perso-nenbezogenen Datenverarbeitungin der Schule werden durch Rechts-verordnung näher geregelt; dabei istzu bestimmen, welche Sicherheits-maßnahmen bei der Verarbeitungpersonenbezogener Daten außer-halb der Schule zu berücksichtigensind.

§ 83 HSchG

HESSISCHES SCHULGESETZ

13

Der § 83 Abs. 1 S.1 HSchG ist die zentrale Rege-lung, die die Zulässigkeit der Datenverarbeitung der inneren Schulverwaltung festlegt. Er verdrängt insoweit den § 11 Abs. 1 HDSG als Sondervorschrift. Da die Organisation einer Schulbibliothek (oder einer LMF-Sammlung) zweifellos eine erforderliche schul-organisatorische Maßnahme ist, dürfen die hierfür unverzichtbaren personenbezogenen Daten verarbeitet werden. Es steht im Ermessen der Schule, ob sie dies mit Papier oder automatisiert vornimmt. Die Betroffenen haben die erforderlichen Daten zu liefern, soweit die Schule sie nicht schon besitzt, etwa über die LUSD. Dies ist üblicherweise durch die Schüler-aufnahme im Sekretariat erledigt. Um doppelte Datenerhebung und somit z.B. die Gefahr un-gleicher Namensschreibweisen zu verhindern ist es zudem sinnvoll, die Datenerhebung nur an einer Stelle in der Schule zu organisieren, näm-lich im Sekretariat. Die schulinterne Übergabe der Daten an die Schulbibliothek muss dann

allen Anforderungen der Datensicherheit genü-gen! Die Schnittstelle zwischen der LUSD (Lehrer- und Schülerdatenbank) im Sekretariatund der Schulbibliothekssoftware LITTERA LWwird weiter unten beschrieben (siehe auch Bei-spiel im Anhang E.5). Sie genügt den Prinzipiender Datensicherheit und ist vom Hessischen Datenschutzbeauftragten geprüft und geneh-migt worden.Grundsätzlich hat die Datenverarbeitung aufschuleigenen Computern und in der Schule zuerfolgen, § 83 Abs. 7 HSchG. Wenn der Schulbi-bliotheksrechner also von einem Fördervereingesponsert wurde, so macht es Sinn, ihn mit Zu-stimmung des Schulträgers in das Eigentum undden Besitz der Schule zu übernehmen. Falls der Rechner außerhalb der Schule von Dritten für die Schulbibliothek betreut wird, ist§ 4 HDSG zu beachten.

Die in § 83 (9) HSchG angesprochene Rechts-verordnung ist im nächsten Abschnitt erläutert.

Schulleitungen: Stellen Sie sicher, dass Eltern sowie Schülerinnen und Schüler schon bei der Aufnahme in dieSchule über die Informationsrechte an den eigenen Daten nicht nur im Sekretariat, sondern auch in der Schulbibliothek schriftlich informiert werden. Lassen Sie sich über die Eigentumsverhältnisse bei gesponserten Computern informieren.

Datenschutzbeauftragte: Beraten Sie die Schulleitung und das Sekretariat in Bezug auf die Informationspflicht gegenüber Eltern sowie Schülerinnen und Schülern und empfehlen Sie entsprechendeSprachregelungen auf Aufnahmeformularen. Begleiten Sie Schulbibliothek und Sekretariatbei der Datenübernahme aus der LUSD in das Bibliotheksprogramm. Klären Sie die Eigen-tumsverhältnisse der Bibliotheks-EDV.

Schulbibliotheksleitungen:Managen Sie die Datenübernahme aus der LUSD zusammen mit dem Datenschutzbeauf-tragten. Klären Sie, wie mit der Bibliotheks-EDV Datenbankauszüge für einzelne Personenerstellt werden können. (Siehe auch Beispiel im Anhang E.5 und E.7) EM

PFEH

LUN

GEN

14

Eine wesentliche Randbedingung zur Verarbeitungpersonenbezogener Daten wird in § 2 formuliert:

§2 Organisation der Datenverarbeitung

(1) Anlagen zur Verarbeitung perso-nenbezogener Daten in Schulen dürfen mit Datenverarbeitungsein-richtungen für Unterrichtszweckenur vernetzt werden, wenn eine zu-verlässige Trennung der Daten ge-währleistet ist. Nach § 10 Abs. 2 Satz 2 des Hessischen Datenschutz-gesetzes muss jede Schule ein IT-Sicherheitskonzept erstellen.

(2) Geräte zur Verarbeitung personen-bezogener Daten dürfen nur an Einrichtungen zur elektronischenKom munikation angeschlossenwerden, wenn die in dem Gerät ge-speicherten Daten durch geeigneteMaßnahmen gegen unberechtigtenZugriff geschützt werden. (Verord-nung über die Verarbeitung perso-nenbezogener Daten in Schulen…vom 04.02.2009 ABl. 3/09 S.131)

Der Grundsatz der strikten physikalischen Tren-nung von Verwaltungsnetz und Unterrichtsnetzwird wohl in den allermeisten Schulen eingehal-

Schulbibliotheksleitungen: Wenn man als Lehrkraft eine Schulbibliothek leitet, ist es umständlich, die Verarbeitung derSchulbibliotheksdaten auch auf dem heimischen Rechner zu betreiben. In Frage käme dieszum Beispiel bei einem probeweisen Rückspielen einer Datensicherung um deren Funktionzu überprüfen, bei der Vorbereitung von Bücheranschaffungen wegen des besseren Inter-netzugangs zu Hause oder dem Ausdruck von Rückgabemahnungen auf dem heimischenDrucker usw.. Daher eine klare Empfehlung, solche Aufgaben nur auf schulischen Rechnernin der Schule durchzuführen. Außerdem gibt es bei der „privaten Datenverarbeitung“ erhebliche Anzeigeverpflichtungen nach § 3 der Verordnung! (S. Bsp. im Anhang F. 2)

Die Verordnung über die Verarbeitung perso-nenbezogener Daten in Schulen (in diesem Ab-schnitt mit „VO“ abgekürzt) beruht auf § 83 Abs. 9 HSchulG. Die Zulässigkeit der Verarbei-tung personenbezogener Daten von Schülerin-

nen und Schülern sowie deren Eltern auf priva-ten Datenverarbeitungsanlagen ist nach § 1 (5)für Lehrkräfte dann gegeben, wenn dies im Rahmen einer eigenen schulischen Funktion er-forderlich ist. (Siehe Anhang A.4)

ten. Da Schulbibliotheken personenbezogeneDaten verwalten, gehören die Verwaltungscom-puter der Schulbibliothek zum Verwaltungs-netz. Physikalische Verbindungen zwischenUnterrichts- und Verwaltungsnetzen sollen ineinem IT-Sicherheitskonzept eindeutig ausge-schlossen sein. Dies kann der Datenschutzbe-auftragte beurteilen oder man holt sich Hilfe beider IT-Abteilung des Schulträgers.

Am sinnvollsten ist es, ein eigenes Verwaltungs-netz in der Schulbibliothek zu installieren, an dasnur die Verwaltungsrechner angeschlossen sind(z.B. ein Rechner an der Ausleihtheke und einRechner „hinter“ der Ausleihtheke zur Titelauf-nahme, beide aber nur für Befugte zugänglich).Ein Schulbibliothekscomputer, auf dem die Aus-leihvorgänge und die Leserdaten verwaltet wer-den, soll auf keinen Fall an das Unterrichtsnetzangeschlossen sein.Da die Schulbibliothekssoftware bei der Titel-aufnahme die größte Arbeitsersparnis und Da-tenqualität liefert, wenn die Mediendaten ausdem Internet „geholt“ werden, ist ein Anschlussdes Bibliotheksrechners an das Internet unab-dingbar. Dann aber muss nach § 2 Abs. 2 der VO die Datenbank selbst „durch geeigneteMaßnahmen gegen unberechtigten Zugriff ge-schützt sein“. Dies geschieht am einfachstendurch Verschlüsselung der Datenbank und eineaktuelle Virenschutz-Software.

VERORDNUNG ÜBER DIE VERARBEITUNG

PERSONENBEZOGENER DATEN IN SCHULEN UND STATISTISCHE ERHEBUNGEN ANSCHULEN VOM 4. FEBRUAR 2009 (ABI. 2009 S. 131)

EMPFEH

LUN

G

15

Die Datenübertragung z.B. vom Sekretariats-PC bei der Übernahme der LUSD-Daten in denSchulbibliotheks-PC kann automatisiert oderauf Datenträgern erfolgen. Bewährt hat sich indiesem Fall der Einsatz eines USB-Sticks. Die

In § 10 der VO ist die Löschung von Daten ge -regelt. Grundsätzlich sind personenbezogeneDaten nur so lange aufzubewahren, wie sie fürdie Erteilung zulässiger Auskünfte oder für dasAusstellen von Bescheinigungen erforderlichsind. Die in Anlage 3 der VO genannten Aufbe-wahrungsfristen nennen zwar die „Durchführungder Lernmittelfreiheit“ (Bestandsverzeichnissesind 10 Jahre, Rechnungsunterlagen sind 5 Jahreaufzubewahren), die Daten der Schulbibliotheksind aber nicht benannt. Daher trifft die Bestim-mung in § 10 (1) der VO: „Im Übrigen wird die Er-forderlichkeit durch die Erfüllung der jeweiligenAufgabe bestimmt“. Im Sinne des Datenschutzesbedeutet dies, dass die Personendaten einesSchülers oder einer Schülerin gelöscht werdenmüssen, sobald er oder sie die Schule verlässtund kein Medium mehr ausgeliehen hat. Umstritten war in der Einführungsphase von

Schulleitung:Beauftragen Sie den oder die Datenschutzbeauftragte/n in Zusammenarbeit mit der IT-Abteilung des Schulträgers mit der Erstellung und Implementierung eines IT-Sicherheitskonzeptes nach § 10 Abs. (2) HDSG.

Datenschutzbeauftragte:Erstellen Sie ein IT-Sicherheitskonzept unter besonderer Prüfung der Schulbibliotheks-EDV.

Schulbibliotheksleitungen:Lassen Sie sich das IT-Sicherheitskonzept der Schule erläutern und wenden Sie die dort ver-ankerten Maßnahmen und Regeln konsequent an. Informieren Sie auch alle (ehrenamt -lichen) Mitarbeiterinnen und Mitarbeiter der Schulbibliothek. Lassen Sie sich von allenMitarbeiterinnen und Mitarbeitern die Einweisung in das IT-Sicherheitskonzept schriftlichbestätigen. (Formular siehe Anlage F.5)

Schulleitung:Informieren Sie das Sekretariat über die Zulässigkeit der Datenübertragung aus der LUSDin das Bibliothekssystem.

Datenschutzbeauftragte:Unterstützen Sie sowohl das Sekretariat als auch die Schulbibliotheksleitung vor allem bei der erstmaligen Datenübertragung aus der LUSD in den Schulbibliotheks-PC.

Schulbibliotheksleitungen:Besorgen Sie sich einen (kleinen) USB-Stick zur Datenübertragung der Schülerdaten undlöschen sie ihn unmittelbar nach der Übertragung durch vollständige Formatierung. (Nutzen Sie die im Anhang angegebenen Formulare E. 5 u.a.)

Daten werden durch die LUSD bei der Übergabeunlesbar verschlüsselt! Nach der Übertragungder LUSD-Daten auf den Schulbibliotheks-PC ist der USB-Stick sofort wieder komplett zu formatieren!

LITTERA 2, ob die Software bei einem Mediumden letzten Ausleiher oder die letzte Ausleiherinspeichern durfte (um eventuellen Beschädigun-gen nachgehen zu können). Dies ist im 25. Tätigkeitsbericht des Hessischen Datenschutz-beauftragten im Jahr 1996 den Schulen aber zurErfüllung ihrer Aufgaben zugestanden worden.Grundlage für die Prüfung war, dass unbedingtvermieden werden muss, dass aus der Schulbi-bliotheks-EDV heraus ein Lese(r)profil eines Lesers hätte erstellt werden können. Auch wenndies für Lehrerinnen und Lehrer interessantwäre: es ist untersagt! Das Programm LITTERALW speichert daher bei entsprechender Grund-einstellung nur beim Medium (nicht beim Leseroder bei der Leserin!) die letzten Ausleiher.(Ganz anders z.B. Amazon, das für jeden Nutzerdie bislang angesehenen oder georderten Medien speichert!).

EMPF

EHLU

NG

ENEM

PFEH

LUN

GEN

16

Der oder die behördliche Datenschutzbeauf-tragte wird nach § 5 HDSG bestellt (die Detailsbzgl. der Schule regelt § 11 der VO) und erhälteindeutige Aufgaben:

§11 Schulische Datenschutzbeauftragte

(1) Die Schulleitung bestellt die Daten-schutzbeauftragte oder den Daten-schutzbeauftragten der Schule sowieeine Vertreterin oder einen Vertreter.Die Bestellung soll nach Erwerb oderNachweis der nach § 5 Abs. 1 des Hessi schen Datenschutzgesetzes er-forderlichen Sachkenntnis im Ein-verständnis mit den Betroffenenerfolgen. … (Verordnung über dieVerarbeitung personenbezogenerDaten in Schulen …vom 04. Februar2009 ABl. 3/09 S.131)

Die Schulleitungen müssen sicherstellen, dassder Datenschutz nach § 12 der VO organisiert ist:• regelmäßige Aktualisierung der Verfahrens-

beschreibungen und des Geräteverzeichnisses

Schulbibliotheksleitungen:Nutzen Sie die Möglichkeit bei einem Medium den letzten Ausleiher oder die letzte Aus -leiherin anzeigen zu lassen nur, wenn es für eine bestimmte Verwaltungsaufgabe zwingenderforderlich ist. Übertragen Sie regelmäßig (mindestens) zu Beginn jeden Schulhalbjahresdie Schülerdaten aus der LUSD in den Bibliotheks-PC, denn dabei werden im Bibliotheks-PC die Daten der nicht mehr aktuellen Schülerinnen und Schüler gelöscht (es sei denn, sie hätten noch offene Ausleihen; dies ist zumindest bei LITTERA so geregelt)! Stellen Sie in LITTERA LW überall ein, dass „Historische Verleihdaten“ nicht gespeichert werden dürfen.(Siehe hierzu die Beispiele im Anhang E. 11 und E. 12)

Zu den Aufgaben gehören:• die Beratung der Schülerinnen und Schüler,

ihrer Eltern und Lehrkräfte in Datenschutzan-gelegenheiten

• die Beratung in der Anwendung des HessischenDatenschutzgesetzes

• die Beratung in der Anwendung anderer Vor-schriften zur Regelung der Verarbeitung per-sonenbezogener Daten

• die Information neu eintretenden Personalsüber wesentliche Datenschutzvorschriften

• die jährliche Prüfung, ob erforderliche Löschun-gen vollzogen wurden

• die Überwachung nach § 5 Abs. 2 HDSG inBezug auf die Einhaltung datenschutzrecht-licher Vorschriften

• die stichprobenartige Überwachung der Be-achtung des § 10 Abs. 2 HDSG.

Schulleitungen:Bestellen Sie den oder die Datenschutzbeauftragte/n und Vertreter/in mit der vorgeschrie-benen Schriftform, stellen Sie ihn oder sie im erforderlichen Maße von anderen Aufgabenfrei und ermöglichen Sie die intensive Einarbeitung und Fortbildung in diesem umfang-reichen Aufgabengebiet. Legen Sie zusammen mit dem oder der Datenschutzbeauftragtenz. B. anhand der Aufgabenliste des HDSB (siehe Anhang C. 1) die tatsächlich an IhrerSchule anfallenden Aufgaben fest. Ohne Freistellung für diese Aufgaben ist die Bestellungunwirksam.

Datenschutzbeauftragte:Nutzen Sie alle Möglichkeiten zur Fortbildung, bieten Sie Ihre Dienste in der Schule an, vernetzen Sie sich mit den Datenschutzbeauftragten von Nachbarschulen, nutzen Sie dieFortbildungsmöglichkeiten in Bezug auf die Schulbibliothekssoftware und hinterfragen Siedie Softwareeigenschaften.

EMPFEH

LUN

GEM

PFEHLU

NG

EN

(siehe § 6 HDSG und Formulare im Anhang E.9, E.10 u. a.)

• regelmäßige Aufklärung aller in der SchuleBeschäftigten über notwendige Datensicher-

A17

heitsmaßnahmen und die Wahrung des Da-tengeheimnisses (siehe unten im Abschnitt „Datensicherheit“ und im Anhang F. 5)

• Verbot der Nutzung unbekannter Datenträ-ger und

• datenschutzgerechte Entsorgung personen-bezogener Datenträger, Akten und Aus-drucke.

Die Verordnung über die Verarbeitung perso-nenbezogener Daten in Schulen … vom 04. Februar 2009 enthält 3 Anlagen mit Auf -listungen von Daten, die in Schulen automati-siert verarbeitet werden dürfen:

Schulbibliotheksleitung:Auch wenn in der Anlage 1 eine sehr große Zahl erlaubter persönlicher Daten von Schüle-rinnen und Schülern sowie Eltern dargestellt werden, muss bei der Übernahme der Datenaus der LUSD darauf geachtet werden, dass nur die für die tatsächlichen Arbeitsabläufe derSchulbibliothek notwendigen Daten dort gespeichert und verarbeitet werden. So ist z.B. zuprüfen, ob Telefonnummer und Anschrift tatsächlich erforderlich sind oder ob im Mahnungs-fall diese Mitteilung nicht über das Sekretariat, den Klassenleiter oder die Klassenleiterin erfolgen kann. (Siehe hierzu das Beispiel zum LUSD-Import im Anhang E.5)

ANMERKUNGEN

1. Der Hessische Datenschutzbeauftragte hat inverschiedenen Tätigkeitsberichten betont, dassdie Verwendung personenbezogener Daten inder Schule streng am Prinzip der Erforderlichkeitauszurichten ist. So war zunächst die Speiche-rung des Geburtsdatums in der Schulbiblio-thekssoftware LITTERA 2 umstritten. Dies hatsich aber als erforderlich herausgestellt, weil esbei großen Schulen durchaus vorkommt, dass esSchüler mit demselben Vornamen und Namengibt, die unterschieden werden müssen. (Siehe25. Tätigkeitsbericht des HDSB im Anhang B.1)

2. Als unzulässig sieht der Hessische Daten-schutzbeauftragte die Speicherung und Nutzungvon Porträtfotos von Schülerinnen und Schülernim Zusammenhang mit der Schulbibliotheks-EDV. Denn die VO erlaubt an keiner Stelle dieNutzung dieses Datums. Falls die Schule den-noch dieses Vorhaben weiter verfolgen sollte,muss unbedingt mit dem Datenschutzbeauf-tragten der Schule, der Schulleitung und demSchulelternbeirat vor Einführung von Biblio-theksausweisen mit Schülerfotos das Verfahrenbesprochen werden. Die Schüler oder die Eltern

der Schüler unter 15 Jahren sind unter Hinweisauf ihre Rechte zu informieren und um ihreschriftliche Einverständniserklärung nach § 7Abs. 2 HDSG zu bitten. Mit diesen Unterlagensowie einer Verfahrensbeschreibung zusammenmit dem IT-Sicherheitskonzept der Schule kannbeim HDSB nachgefragt werden. Solch ein Ver-fahren ist aufwändig, aber notwendig, wennrechtliche Zweifel am Verfahren bestehen. An-dererseits ist die Speicherung und Nutzung vonSchülerfotos auf dem Bibliotheksausweis oderbei einem Ausleihvorgang auf dem Bildschirmeine besondere Erleichterung für den Betrieb derSchulbibliothek (und ein besonderes Merkmalder Software LITTERA). Ob es in absehbarer Zu-kunft eine gesetzliche Regelung wie im aktuel-len Schulgesetz des Landes Schleswig-Holstein(31.07.2014) geben wird bleibt abzuwarten.(Siehe 36. und 41. Tätigkeitsbericht des HDSBim Anhang B.2 und B.5).

3. Zu beachten ist auch der § 8 Abs. 2 HDSG,wenn für die Ausleihe eine Chipkarte verwendetwird: der Ausleiher ist über die in der Vorschrifterwähnten Punkte aufzuklären (s. Anhang C.6).

Anlage 1 enthält die Abschnitte A Personenbezogene Schülerdaten (hierin u.a.die für die Schulbibliothek erforderlichen Grund-daten der Schülerinnen und Schüler sowie derenEltern)B Personenbezogene Daten der Lehrkräfte(auch hier die Grunddaten für die Bibliotheks-EDV zur Ausleihe von Medien)Anlage 2 bezieht sich auf statistische Erhebun-gen, die für die Schulbibliothek nicht relevantsind undAnlage 3 regelt die Aufbewahrung, Aussonde-rung und Archivierung (ebenfalls für Schulbiblio-theken nicht relevant).

EMPF

EHLU

NG

18

Dieser Erlass regelt die Grundsätze der Erhe-bung, Speicherung und Verarbeitung der perso-nenbezogenen Daten von Eltern und voll-jährigen Schülerinnen und Schülern. Hierübermüssen die Eltern und volljährigen Schülerinnenund Schüler mit einem vorgegebenen Merkblattinformiert werden (siehe Anhang A.5). Diese Information ist nur bei der erstmaligen Auf-

ERLASS ÜBER DIE INFORMATION VON ELTERN UND VOLLJÄHRIGEN SCHÜLERINNEN UNDSCHÜLERN ÜBER DIE DATENVERARBEITUNG IN DER SCHULEvom 19. Oktober 2009 (ABI. 2009 S. 811)

nahme in eine hessische Schule erforderlich!Allerdings ist es notwendig, eine besondereschriftliche Erlaubnis zur Speicherung und Nut-zung von Leserdaten und Leserfotos einzuholen,wenn Schülerfotos z.B. auf Leserausweisen oderbeim Verleihvorgang genutzt werden sollen(siehe Anhang F.9). Dies ist derzeit ohne dieseEinwilligung verboten.

E

19

Auf der Grundlage des Hessischen Datenschutz -gesetzes („HDSG“), des Hessischen Schulge -setzes („HSchG“) und der Verordnung über dieVerarbeitung personenbezogener Daten inSchulen und statistischen Erhebungen an Schulen („VO“) konkretisiert der Erlass über „IT-Sicherheit und Datenschutz …“ die allgemeingenannten Grundsätze in einer Form, die direktin der Schulverwaltung der Einzelschule umzu-setzen ist (siehe Anhang A.6). Dabei wird derBegriff „Schulbibliothek“ oder „LMF-Sammlung“nicht genannt. Gleichwohl gelten alle in diesemErlass genannten Vorgaben auch in diesen Ver-waltungsbereichen!

Die Empfehlungen in diesem Abschnitt beziehensich nur auf die bislang in den vorigen Ab schnit-ten noch nicht genannten Einzelheiten!

Neben den konkret erforderlichen Maßnahmenim Bereich der Verwaltung einer Schule in Bezugauf den Datenschutz (personenbezogenerDaten) werden ausdrücklich auch Bereiche derDatensicherheit in Bezug auf Hardware undSoftware sowie der Datensicherung geregelt.Insoweit überschneidet sich dieser Abschnitt mitden unten folgenden Abschnitten zur Daten -sicherheit und zur Datensicherung.

ERLASS ÜBER IT-SICHERHEIT UND DATENSCHUTZ IN SCHULVERWALTUNGEN, ZUR NUTZUNG VON E-MAIL UND ZUR ERHEBUNG UND VERÖFFENTLICHUNG INTERNER DATENvom 27. November 2009 (ABI. 2010 S. 11)

Die „Grundsätze“ und die „Aufklärungspflichtenbeim Erheben der Daten“ entsprechen den obengenannten Ausführungen (§ 12 Abs. 4 HDSG,VOpersD sowie § 7Abs. 1 Nr. 3 HDSG). Nurwenn die Schulbibliothek über den LUSD-Datenbestand hinausgehende Daten von Schülerinnen und Schülern oder Lehrkräften er-heben und verarbeiten will, würde hierzu eineschriftliche Einwilligung nach § 7 Abs. 2 HDSGerforderlich. Dies kann in der Schulbibliothekund in der LMF-Sammlung insbesondere die Erstellung und Nutzung von Ausweisen mitSchülerfotos betreffen. (Siehe hierzu den 36.und den 41. Tätigkeitsbericht des HDSB B.2 undB.5 sowie Anhang F.9).

Im Abschnitt 2 wird die Zugriffsberechtigungauf gespeicherte personenbezogene Daten definiert. Ausschlaggebend sind die „dienstlicheNotwendigkeit“ und die „Befugnis“. Die sehr restriktive Regelung (Lehrkräfte haben nur Zu-griff auf die Daten ihrer eigenen Schülerinnenund Schüler) ist bei der Betreuung von Ausleih-vorgängen in der Schulbibliothek nicht einzu -halten. Diese Schwierigkeit kann nur durchvorsorgliche Maßnahmen vermindert werden.

Schulleitung:„Vergattern“ Sie alle Mitarbeiterinnen und Mitarbeiter der Schulbibliothek (egal ob Lehr-kräfte oder ehrenamtliche Helferinnen und Helfer) auf die Wahrung des Datengeheimnisses(schriftlich!). (Siehe Anhang F. 5)

Datenschutzbeauftragte:Lassen Sie sich von der Schulleitung und von der Leitung der Schulbibliothek eine Liste der„Befugten“ vorlegen und kontrollieren Sie die schriftlichen Erklärungen zur Wahrung desDatengeheimnisses. Unterstützen Sie die Schulbibliotheksleitung bei der Durchführung vonInformationsveranstaltungen zum Thema Datengeheimnis. (Siehe Anhang F.3, F.5, F.13 u.a.)

Schulbibliotheksleitung:Legen Sie der Schulleitung und dem oder der Datenschutzbeauftragten eine Liste mit „Be-fugten“ sowie deren konkreten Befugnissen vor und lassen Sie sich die Vorlage abzeichnen.Führen Sie regelmäßig Besprechungen mit allen „Befugten“ durch, in denen die Pflichtenaus dem Datenschutz thematisiert werden. Informieren Sie den Schulelternbeirat und denPersonalrat regelmäßig über diese Zugriffsregelung. Nutzen Sie die Möglichkeiten der Soft-ware, Befugnisse zur Bedienung einzelner Softwarebereiche einzuschränken. (Siehe Anhang F.3, F.5, F.13) EM

PFEH

LUN

GEN

20

Die Schulleitung ist insgesamt für die Einhaltungder Regelungen zum Datenschutz zuständigund verantwortlich (Abschnitt 3). Dies betrifft:• die schriftliche Bestellung des oder der schuli-

schen Datenschutzbeauftragten und des Ver-treters oder der Vertreterin

• die Erstellung, Fortführung und Umsetzungeines schriftlichen IT-Sicherheitskonzeptes(§ 10 Abs. 2 Satz 2 HDSG) und

• die Abstimmung dafür notwendiger Maßnah-men mit dem Schulträger (z.B. Investitionenin Hardware oder Software, räumliche Maß-nahmen usw.).

Schulleitung:Bestellen Sie eine schulische Datenschutzbeauftragte oder einen schulischen Datenschutz-beauftragten sowie eine Vertreterin oder einen Vertreter (schriftlich, siehe Anhang F. 6),legen Sie gemeinsam die konkreten Aufgaben fest (Muster siehe Anhang C. 1) und geben Sieihm oder ihr alle Möglichkeiten in Bezug auf die nötige Fortbildung, die zeitlichen (Frei-stellung!!) und die sächlichen Ressourcen. Erstellen Sie zusammen mit dem oder der Daten-schutzbeauftragten ein schriftlich fixiertes IT-Sicherheitskonzept, in dem alle Maßnahmenund Regelungen festgelegt sind, die für Datenschutz, Datensicherheit und Datensicherungin allen Bereichen der automatisierten personenbezogenen Datenverarbeitung erforderlichsind. Setzen Sie dieses Konzept systematisch um und stimmen Sie sich dabei mit dem Schul-träger in Bezug auf von dort zu finanzierende Maßnahmen ab.

Der Abschnitt 4 des Erlasses definiert sehr weit-reichende technische und organisatorischeMaßnahmen zur Gewährleistung von Daten-schutz und Datensicherheit. So darf z.B. nurfachkundiges Personal oder ein externer Auf-tragnehmer (nach Beauftragung durch denSchulträger!) die Rechner warten oder reparie-ren. Insbesondere ist es ausgeschlossen, diesvon Schülerinnen oder Schülern oder nicht be-fugten Eltern erledigen zu lassen!Dabei ist § 4 HDSG zu beachten.Eine besondere Bedeutung erhält der Zugangs-und Zutrittsschutz: § 10 Abs. 2 Nr. 1 HDSG. Sodürfen Räume mit IT-Systemen ausschließlich

von berechtigten Personen betreten werden, dieRäume müssen sicher verschließbar und beiNichtbenutzung auch verschlossen sein, esmuss eine dokumentierte Schlüsselverwaltunggeben und die Kenntnisnahme der entsprechen-den Regelungen muss schriftlich dokumentiertwerden (siehe Anhang F. 11 - F. 14). Dies schließtz.B. die Praxis aus, eine Schulbibliothek mit Aus-leihrechner mit einem „normalen“ Lehrerschlüs-sel öffnen zu können. Auch die Nutzung derSchulbibliothek mit Ausleihrechner für abendli-che Sitzungen des Fördervereins oder des Eltern-beirates ist nur möglich, wenn eine befugtePerson anwesend ist.

EMPFEH

LUN

GSchulleitung:Klären Sie mit dem Hausmeister die Schlüsselberechtigungen und die Dokumentation derSchlüsselverwaltung für alle Räume, in denen Verwaltungsrechner oder Komponentendavon (Router, Switches, Server, …) stehen. Setzen Sie im Kollegium die restriktive Vergabevon Schlüsselberechtigungen durch.

Schulbibliotheksleitung:Lassen Sie sich nicht überreden, „mal eben“ den Schlüssel für die Schulbibliothek weiterzu-geben. Achten Sie auch auf die Nutzung der Schulbibliothek außerhalb der normalenDienstzeit.

EMPFEH

LUN

GEN

21

Schulbibliotheksleitung:Überzeugen Sie alle Nutzungsberechtigten der Verwaltungsrechner der Schulbibliothek,dass individuelle personifizierte Passwörter im Sinne des Eigenschutzes der Nutzer oder derNutzerin absolut erforderlich sind. Seien Sie zusammen mit dem oder der Datenschutzbe-auftragten bei der Generierung von Passwörtern behilflich. Legen Sie eine Notfallliste vonPasswörtern in den Schulsafe. (E. 1, E. 8, E. 13, F. 3, F. 4) EM

PFEH

LUN

G

Zusätzlich ist die Benutzer- und Zugriffskon-trolle zur EDV erforderlich, § 10 Abs. 2 Nr. 2HDSG:Dies geschieht über einen Benutzernamen undein Passwort, das sich an den Regelungen desBSI orientiert (Mindestens 8 Zeichen, möglichstkomplex aus Groß- und Kleinbuchstaben sowieSonderzeichen und Ziffern; Empfehlungen dafürsiehe Anhang D.2). Für eine gesicherte Protokol-lierung des Zugriffs auf die EDV ist für jede be-

rechtigte Person ein eigener Benutzername undein eigenes Passwort erforderlich, das in ange-messenen Zeiträumen zu ändern ist. Dies ist„nervig“, umständlich und zeitaufwändig abernotwendig!! Diese aufwändigen Regelungendienen zusammen mit der Protokollfunktion derSoftware der „Verantwortlichkeitskontrolle“nach § 10 Abs. 2 Nr. 5 HDSG. Notfallpasswörtersollten in einem Safe der Schule hinterlegt wer-den. (Anhang E.1, E.8, E.13, F.3, F.4)

22

Schulleitung:Unterstützen Sie die Schulbibliothek bei der Anschaffung eines ausschließlich für den Zweckder Schulbibliothek nutzbaren Rechners sowie der notwendigen Software.

Datenschutzbeauftragte:Helfen Sie der Schulbibliotheksleitung bei der Einrichtung eines Bildschirmschoners mitPasswortabfrage. Helfen Sie auch dabei sicherzustellen, dass kein ungeschützter Inter-netzugang möglich ist. Zum Schutz gehört vor allem ein aktuell zu haltendes Virenschutz-programm!

Schulbibliotheksleitung:Als Software ist in der Schulbibliothek normalerweise nur das eigentliche Schulbibliotheks-programm LITTERA LW sowie eine aktuelle Textverarbeitung erforderlich.Achten Sie bei der Aufstellung des Schulbibliotheksrechners darauf, dass insbesondere beimStart oder bei Wiederinbetriebnahme des Rechners (Passworteingabe) keine Zuschaueranwesend sind. Schülerinnen und Schüler „vor der Theke“ dürfen auch nicht sehen, was derNutzer oder die Nutzerin vor ihnen gerade ausgeliehen hat.Lassen Sie sich von der „Servicestelle EDV für Schulbibliotheken“ bei der Einrichtung undNutzung eines LITTERA-web.OPACs beraten. Bei dieser Anwendung ist ein zumindest zeitweiser Zugang zum Internet über eine gesicherte Verbindung erforderlich.

EMPFEH

LUN

GEN

Die EDV-Anlage der Schulbibliothek gilt als Ver-waltungsrechner im Sinne des Erlasses. Es soll-ten die Regelungen aus Abschnitt 5 des Erlassesumgesetzt werden.

Dazu gehören:• die Verwaltungs-EDV-Anlage der Schulbiblio-

thek darf nicht zur Unterrichtsvorbereitungoder Ähnlichem genutzt werden

• sie darf in keinem Fall über einen ungeschütz-ten Internetzugang verfügen

• sie darf nicht in den Unterrichtsbereich ge-bracht werden ohne dass vorher sämtlichepersonenbezogenen Daten grundlegend ge-löscht werden inkl. aktenkundiger Beurkun-dung (auch hierzu macht das BSI Angaben)

• es ist nur solche Software einzusetzen, die-dem Verwaltungszweck dient, es dürfen auchkeine nicht genehmigten („down-geloadeten“)Programme installiert werden

• bei Räumen mit Publikumsverkehr muss der-Zugriff und die Einsichtnahme unterbunden-werden

• bei Abwesenheit des Nutzers oder der Nutze-rin ist der Rechner herunterzufahren, minde-stens aber nach 10 Minuten „Ruhepause“ein mit Passwortschutz ausgestatteter Bild-schirmschoner zu aktivieren und

• die Konfiguration des Rechners darf durchdie Nutzer nicht verändert werden (Soft- undHardware).

23

Auch für die Hardware gelten strenge Regeln(Abschnitt 6). Selbstverständlich ist, dass dasVerwaltungsnetz der Schulbibliothek am bestenphysikalisch oder mindestens logisch strikt voneinem Netz zu Unterrichts- oder Recherche-zwecken zu trennen ist. Bei nur logischer Tren-nung sind unbedingt IT-Schutzmaßnahmennötig, die den Zugriff Unbefugter verhindern. Soist insbesondere unbedingt zu vermeiden, dassSchüler über Rechercheversuche auf die Be-triebssystemebene des Bibliotheksverwaltungs-rechners gelangen! Der einfachste Weg hierzuist ein völlig getrenntes Verwaltungssystem aufder einen Seite und die Recherche auf der Schü-lerseite über den web.OPAC per Internetzugang.Hierzu werden die Rechercherechner der Schul-bibliothek sinnvollerweise an das „pädagogi-sche Netz“ der Schule angeschlossen, da hierbeiauch der Zugriff auf das Internet geregelt istund die Schulbibliothek nicht getrennt für Re-striktionen und Überwachung sorgen muss.

Auf den WLAN-Einsatz im Verwaltungsnetz derSchulbibliothek sollte verzichtet werden, da hierbei nicht ausreichender Sicherung ein Einfallstorfür Hackerangriffe besteht (verschiedenste Bei-

spiele aus der Praxis der vergangenen Jahre bele-gen die Findigkeit von Schülerinnen und Schülern).

Private IT-Geräte dürfen grundsätzlich nicht fürVerwaltungsarbeiten mit personenbezogenenDaten in der Schulbibliothek eingesetzt und indas Bibliotheksverwaltungsnetz eingebundenwerden, insbesondere gilt dies für mobile IT-Ge-räte (private Smartphones, Tablets, …). Werden mobile Datenträger in der Schulbiblio-thek genutzt (z.B. zum Transport der Schülerda-ten aus der LUSD zum Import nach LITTERAoder zur Datensicherung der LITTERA-Daten-bank), so • müssen sie registriert sein (siehe Formular im

Anhang F.8) • dürfen sie ausschließlich für diesen dienstli-

chen Zweck genutzt werden• müssen personenbezogene Daten darauf ver-

schlüsselt sein• müssen sie nach der Nutzung sicher gelöscht

werden (am besten vollständige Formatierung)• müssen alle sonstigen Schutzmaßnahmen

ergriffen werden, die die einschlägigen Orien-tierungshilfen des Hessischen Datenschutz-beauftragten verlangen.

EMPF

EHLU

NG

EN

Schulleitung:Unterstützen Sie die Schulbibliothek bei der Umsetzung des Wunsches nach einemweb.OPAC, wenn nicht über den Schulträger dann über den Förderverein.

Datenschutzbeauftragte:Unterstützen Sie die Schulbibliothek bei der Einrichtung eines web.OPAC, weil hierdurcheine Reihe datenschutzrechtlicher Probleme vermieden werden.

Schulbibliotheksleitung:Drängen Sie darauf, dass die Schule einen web.OPAC anschafft und nutzt (falls der Schul -träger nicht zu einer Finanzierung bereit ist, dann über einen Förderverein). Nicht nur dieVorteile der steten Präsenz und des Nachweises der Verfügbarkeit des Medienbestandesder Schulbibliothek sondern vor allem Sicherheitsaspekte bei der Recherche sprechen ein-deutig dafür. Achten Sie darauf, dass nur mit verschlüsselter Datenbank gearbeitet wird;dann ist auch die Datensicherung verschlüsselt! (Siehe Anhang E.2)

EMPFEH

LUN

GEN

24

Unabdingbar ist auch im Verwaltungsnetz derSchulbibliothek der Einsatz eines noch vom Her-steller gepflegten Betriebssystems (derzeitmind. Windows 7) sowie eines aktuellen Viren-schutzprogramms. Im Abschnitt 7 des Erlasseswird die Schulleitung als hierfür verantwortlichbenannt. Zum vorbeugenden Umgang mit der

Gefährdung durch einen Befall des IT-Systemsder Schulbibliothek durch Schadprogramme gehört auch die Sensibilisierung aller Mitarbei-terinnen und Mitarbeiter der Schulbibliothek,die Information über Vorsichtsmaßnahmen unddie Vereinbarung von Verhaltensregeln für denSchadensfall. (Siehe Anhang A.6)

Schulleitung:Ausdrücklich ist die Schulleitung in der Pflicht zum Schutz (auch) der Schulbibliotheks-EDVvor Schadsoftware. Nutzen Sie hierzu die Kenntnisse und Fähigkeiten des Datenschutzbe-auftragten.

Datenschutzbeauftragte:Unterstützen Sie die Schulleitung und die Schulbibliothek bei der Einrichtung und Aktuali-sierung eines aktuellen und noch gepflegten Betriebssystems sowie von Anti-Viren-Software. Helfen Sie der Schulbibliotheksleitung bei Sensibilisierung und Information inBezug auf Schadsoftware für alle (auch die ehrenamtlichen) Mitarbeiterinnen und Mitarbei-ter der Schulbibliothek.

Schulbibliotheksleitung:Drängen Sie darauf, dass Ihre Verwaltungsrechner mit einem aktuellen Betriebssystem(mind. WIN 7) arbeiten und mit aktueller Anti-Viren-Software geschützt sind.

Zum Abschnitt 8 des Erlasses wird auf das Kapitel „Datensicherung“ dieser Broschüre ver-wiesen. Der Abschnitt 9 befasst sich mit denPostfächern des Hessischen Schulnetzes. Dies

hat für die Schulbibliotheken keine Bedeutung.Auch der Abschnitt 10 „Erhebung und Veröf-fentlichung von Daten“ spielt für die Schulbiblio-thek keine Rolle.

IT25

Praktische Umsetzung mit der Schulbibliotheks-Software

LITTERA LW

IT-SICHERHEITSKONZEPT

In § 10 Abs. 2 HDSG und § 2 Abs.1 S.2 SchulVO wird ein IT-Sicherheitskonzept für die IT jeder Schulverwaltung gefordert.Inhaltlich hat es sich zu orientieren am BSI-Grundschutz (§ 2 Abs. 3 VO).Dieses IT-Sicherheitskonzept besteht aus der schriftlich fixierten Summe aller Schutzmaß-nahmen der Schule bzw. innerhalb der Schule einzelner Abteilungen (Sekretariat, Schullei-tung, Informatikbereich, Schulbibliothek, LMF-Sammlung, …) zum Erhalt der Vertraulichkeit, der Integrität und der Verfügbarkeit der Daten-bestände.Für den Fall der Ersteinführung von Littera gilt: Für die Schulbibliothek muss in Zusammenhang mit der Software LITTERA LW weiterhin ein Ver-fahrensverzeichnis erstellt werden (§ 6 HDSG), welche Geräte für die Verwaltung der personen-bezogenen Daten eingesetzt werden, welche Verfahren es gibt z.B. zur Übernahme der Schü-lerdaten aus der LUSD, zur Information der Le-serinnen und Leser, zum Mahnverfahren usw.,

wie die Sicherung der Daten erfolgt und vielesmehr.Zusätzlich zum Verfahrensverzeichnis:Die Servicestelle EDV für Schulbibliotheken bzw.die Softwarefirma LITTERA GmbH haben einenach § 7 Abs. 6 HDSG vorgeschriebene soge-nannte „Vorabkontrolle“ als Muster für Schulenin Bezug auf die Software LITTERA LW 4.6sowie LITTERA LM 5.0 erstellt, die alle soft-warebezogenen Vorgaben des Datenschutzesuntersucht. Die Vorabkontrolle zu LITTERA LM5.0 ist vom Hessischen Datenschutzbeauftrag-ten ausdrücklich positiv beurteilt worden!Dieses Muster muss jede Schule auf Überein-stimmung mit den örtlichen Verhältnissen prüfen, gegebenenfalls anpassen und dann demoder der schulischen Datenschutzbeauftragtenzur Zustimmung vorlegen, § 5 Abs. 2 Nr. 4 HDSG.So bleibt für die Schule „nur noch“, den „Rest“des IT-Sicherheitskonzeptes zu definieren.(Siehe hierzu die Beispiele und Formulare im An-hang C.5, E.9, E.10, F.1, F.10).

ÜBERNAHME DER LESERDATEN AUS DER LUSD (LEHRER- UND SCHÜLERDATENBANK)

Die Schnittstelle zwischen LUSD und LITTERAist vom Hessischen Datenschutzbeauftragtenmehrmals geprüft, vom Softwarehersteller LITTERA GmbH und von den LUSD-Entwicklernangepasst und damit ausdrücklich „datenschutz-rechtlich genehmigt“ worden.Als Importformat kommt in Hessen nur „LUSD-XML“ in Frage. Die SchulverwaltungssoftwareLUSD stellt in diesem Format eine verschlüsselteDatei zur Verfügung, die per USB-Stick zum LITTERA-Rechner gebracht werden muss.Vor dem Import sind die Einstellungen zum Da-tenschutz zu überprüfen. Die Auswahl der zuimportierenden Datenfelder ist in Absprache

mit der Schulleitung und dem oder der Daten-schutzbeauftragten auf das Notwendigste zubeschränken. Zu klären ist auch, welche Aufga-ben die Schulbibliothek zu erfüllen hat. Wenn beider Ausleihe eine Unterscheidung der Ausleihe-rinnen und Ausleiher nach Altersgruppen (z.B.>18) erforderlich ist, kann das Geburtsdatum mitübertragen werden. Soll die Mahnung bei Rück-gabeverzug per Post versandt werden, dannmuss auch die Adresse gespeichert werden. Zu-nächst ist aber immer zu prüfen, ob diese Auf-gaben auch anders (ohne Datenimport) zulösen sind. (Zum Leserdatenimport aus derLUSD siehe auch das Beispiel im Anhang E.5).

26

……….Die Erstellung der Fotos ist eine Speicherung personenbezogener Daten nach § 2 Abs. 2 Nr. 2 HDSG.

§ 2 Abs. 2 Nr. 2 HDSG:... Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung, ...

Für die Beantwortung der Frage, wer unter welchen Voraussetzungen diese Datenverarbei-tung durchführen darf, sind die Daten verarbeitenden Stellen zu unterscheiden. Die Schule be-sitzt kein Recht am Bild der Schüler bzw. Schülerinnen und diese haben deshalb auch nicht diePflicht, das Foto zu dulden. Bilder von Schülerinnen und Schülern gehören nicht zum Katalogder Schülerdaten, die die Schule für Schulverwaltungsaufgaben nach Anlage 1 Nr. 1 der „Verordnung über die Verarbeitung personenbezogener Daten in Schulen“ vom 30. November1993 (ABl. Nr. 4/1994, S. 206) speichern darf. Lediglich Daten aus diesem Katalog darf dieSchulverwaltung erheben und Schülerinnen und Schüler bzw. Eltern müssen nach § 83 Abs. 3 HSchulG die Datenerhebung unterstützen.

§ 83 Abs. 3 HSchulG :Schülerinnen und Schüler, deren Eltern und Lehrerinnen und Lehrer sind verpflichtet, die erfor-derlichen Angaben zu machen.

Die Verarbeitung von Daten, die nicht im Datenkatalog der Schulverordnung genannt sind,kann allerdings zulässig sein, wenn sie zu einem der in der sog. Generalklausel des § 83 Abs. 1 Satz 1 HSchulG genannten Zweck erforderlich ist.

§ 83 Abs. 1 Satz 1 HSchulGSchulen dürfen personenbezogene Daten von Schülerinnen und Schülern, deren Eltern undLehrerinnen und Lehrern verarbeiten, soweit dies zur rechtmäßigen Erfüllung des Bildungs-und Erziehungsauftrags der Schule und für einen jeweils damit verbunden Zweck oder zurDurchführung schulorganisatorischer Maßnahmen erforderlich ist. ...

Selbst die Verwendung der Schülerfotos für die Erstellung eines Schülerausweises fällt nicht unter diese Vorschrift. Denn der Ausweis bescheinigt nur, dass die im Bild er-kennbare Person Schüler der Schule ist, die Vorlage des Bildes für den Ausweis ist Sache des Schülers und bleibt freiwillig. Die Schule und auch Lehrkräfte dürfen Bilder von Schülern und Schülerinnen auch nicht für weitere Zwecke verwahren und nutzen. So dürfen z.B. Lehrkräfte nicht von „ihren“ Schülern Fotos erstellen, um ihrem schlechten Namensgedächtnis nachhelfen zu können.……….

NUTZUNG VON SCHÜLERFOTOS

Eine Nutzung von Schülerfotos ist in LITTERALW im Prinzip an mehreren Stellen möglich:• bei der Neuaufnahme oder der Bearbeitung

von Leserdaten• bei der Erstellung von Leserausweisen• bei der Anzeige während eines Verleihvorgan-

ges und• beim Druck z.B. von klassenbezogenen Leser-

listen.

Grundsätzlich gibt es zur Nutzung von Schüler-fotos eine sehr klare Stellungnahme des Hessi -schen Datenschutzbeauftragten. (36. Tätig keits-bericht des Hessischen Datenschutzbeauftrag-ten) (siehe auch im Anhang B.2):

NE

27

Daraus folgt: wenn Fotos bei Littera LW einge-setzt werden sollen, ist dies nur zulässig, wennjeder betroffene Schüler ab Vollendung des 14. Lebensjahres eine schriftliche Einwilligungs-erklärung nach § 7 Abs. 2 HDSG erteilt hat. Beijüngeren Schülerinnen und Schülern können dasnur die Eltern vornehmen.

Wichtig ist dabei die vorherige, möglichstschriftliche Aufklärung über die in § 7 Abs. 2HDSG erwähnten Punkte.

Der innerschulische Nutzen von Schülerfotos inder Schulbibliothek ist jedenfalls bei den Prakti-kern der Bibliothek unbestritten.Daher kann sich der organisatorische Aufwandzur Einholung von Einwilligungen der Leserinnen

und Leser bzw. deren Eltern durchaus lohnen.Das Musterformular (siehe Anhang F.9) enthältalle dazu notwendigen Angaben. Die Schulemuss aber außerdem bei externer Auftragsver-gabe alle erforderlichen Maßnahmen nach § 4HDSG durchführen, insbesondere vor einer Be-auftragung die Unterrichtung des HDSB.

In LITTERA LW kann im Falle einer Einwilligungdes Lesers oder der Leserin eine entsprechendeMarkierung gesetzt werden (siehe Beispiel imAnhang E.6). Nur die so markierten Nutzerda-ten werden dann beim Leserdatenexport aneinen externen Dienstleister für den Druck derLeserausweise übertragen. Beim Dienstleisterwerden die übertragenen Daten nach späte-stens einer Woche gelöscht.

EINSATZ „HISTORISCHER VERLEIHDATEN“

Grundsätzlich muss bei der Verarbeitung perso-nenbezogener Daten in LITTERA LW vermiedenwerden, dass automatisiert ein Lese(r)profil,also eine zeitlich lückenlose Auflistung aller aus-geliehenen Medien für eine einzelne Person er-stellt werden kann. Hierzu sind an zwei Stellenin LITTERA LW die entsprechenden „Anhak-möglichkeiten“ offen zu lassen (siehe Beispiel imAnhang E.12). Davon unabhängig werden in

LITTERA LW bei jedem einzelnen Medium aberdie vergangenen Ausleiher gespeichert, um Be-schädigungen (gerade im Schulbuchbereich)nachgehen zu können. Auch bei der Rechercheim LITTERA web.OPAC könnten die historischenVerleihdaten eine Rolle spielen, wenn nicht vonvornherein die Übertragung dieser Daten aus-geschlossen würde (siehe nächster Abschnittund Beispiel im Anhang E.11).

NUTZUNG PERSONENBEZOGENER DATEN IM RAHMEN VON „HEBIB“ UND DEM LITTERA WEB.OPAC

Schulbibliotheken, die den LITTERA web.OPACnutzen, können ihre Mediendaten auch im sogenannten „hessen.OPAC“, dem „hebib“(http://opac.hebib.de/region) zur Verfügungstellen. Mit diesem hessenweiten Verbund-OPAC können z.B. benachbarte Schulen gegen-seitig ihre Bestände abstimmen, die eigenenSchülerinnen und Schüler können auch in derSchulbibliothek der Nachbarschulen recherchie-ren usw. Dabei werden nach Angabe der Ser-vicestelle EDV in Schulbibliotheken und vonLITTERA GmbH keinerlei personenbezogeneDaten benötigt und übertragen.

Auch beim web.OPAC einer einzelnen Schulegibt es die Möglichkeit, auf jede Übertragungpersonenbezogener Daten zu verzichten (siehe

Beispiel im Anhang E.11). Dann haben allerdingsdie Nutzer auch keine Möglichkeit Medien online zu reservieren oder zu verlängern.

Aber: die Schule kann auch mit „minimaler“ Datenübertragung arbeiten:Wenn ein Leser oder eine Leserin der Schule eine Reservierung oder Verlängerung ausgeliehener Medien im web.OPAC der eigenen Schule per Internet durchführen will, dann muss er/sie die eigene Mailadresse selbst eingeben. Von der Schulbibliothek werden an den web.OPAC dann nur die Bibliotheksnummer, die Lesernummer und das Standardkennwort über-tragen. Vor der ersten Reservierung muss dann das Kennwort geändert werden. (Siehe Beispiel im Anhang E.4).

Datensicherheitin der Schulbibliothek

30

Der vorige Abschnitt befasst sich mit dem „Datenschutz“, siehe dazu § 1 HDSG.Dort geht es um formale und inhaltliche Fragender Zulässigkeit der Datenverarbeitung.

Die „Datensicherheit“ ist zwar Teil des Daten-schutzrechts, regelt aber nach § 10 HDSG etwasanderes: Datensicherheit bedeutet den Schutzder gespeicherten Daten vor Gefahren für dieVertraulichkeit, Integrität und Verfügbarkeit derDaten. Sie bezieht sich also z.B. auf die Doku-mentation der Verleihvorgänge, die (mühsam)erhobenen Mediendaten, die Prozessabläufe,Rechercheergebnisse usw.

Die Gesamtheit dieser Daten gilt es gegen Ver-lust oder Manipulation zu schützen. Und dasnicht nur bei Nutzung eines Computers in derSchulbibliothek: auch Karteikarten können ver-ändert, vernichtet oder gestohlen werden, eskann in der Schulbibliothek brennen oder einenWasserschaden geben. Für alle diese Ereignissegibt es praktische Beispiele, die den Betroffenenlebhaft in Erinnerung bleiben!

Dabei sind alle Maßnahmen, Verfahren und In-vestitionen zielführend, die im vorigen Abschnitt2 beschrieben werden!

Besonderer Wert ist dabei zu legen auf die in § 10 HDSG genannten Stichworte• Zutrittskontrolle (Schlüssel, …)• Benutzerkontrolle (Einschaltsicherungen für

den Rechner, …)• Zugriffskontrolle (Nutzerpassworte für die

Software, …)• Datenverarbeitungskontrolle (Definition von

Benutzerrechten, …)• Verantwortlichkeitskontrolle (Zwangsproto-

kollierung, …)sowie Virenschutz und Datensicherung.

Bei Beachtung der in Abschnitt 2 „Datenschutz“vorgegebenen Maßnahmen und Verfahren istauch die Datensicherheit für die Gesamtheit derDaten insgesamt gewährleistet.

Im allerbesten Fall sind alle nach § 10 HDSG vorgeschriebenen Maßnahmen im erwähnten IT-Sicherheitskonzept zusammengefasst.

Begriffsdefinition und Begründung für die Notwendigkeit

P

31

Praktische Umsetzung in der Schulbibliothek und mit der Software LITTERA LW

ZutrittskontrolleErforderliche Maßnahmen:• Auflistung der für die Schulbibliothek insge-

samt verfügbaren Schlüssel mit Schlüssel-nummern

• Auflistung der Schlüsselempfängerinnen undSchlüsselempfänger (Dauerausleihe) gegenUnterschrift und mit Bestätigung der Kennt-nisnahme der Regelungen zu Datenschutzund Datensicherheit

• Auflistung aller zum Abholen eines Schlüsselsim Sekretariat Berechtigten

• Falls ein Schlüssel von den ehrenamtlichenSchlüsselberechtigten z.B. im Sekretariat ab-geholt und wieder abgegeben wird: Protokol-lierung der Aus- und Rückgabe mit Datum,Uhrzeit und Name einschließlich deren Unter-schrift mit Bestätigung der Kenntnisnahmeder Regelungen zu Datenschutz und Datensi-cherheit

• Formulare zur Zutrittskontrolle siehe AnhangF.11 - F.14

BenutzerkontrolleErforderliche Maßnahmen:• Einrichtung von Benutzerkonten im Betriebs-

system des Rechners (z.B. WIN 7) für jedeneinzelnen Nutzer und jede einzelne Nutzerindes Bibliotheksrechners mit Zugriff nur auf diejeweils erforderliche Software (Standardbe-nutzerkonten, keine Administratorkonten)

• jeweils eigenes Passwort für den Start desRechners für jeden Nutzer und jede Nutzerin

• Hinterlegung von Notfallpasswörtern im Safeder Schule

• Hinweise zur Generierung „sinnvoller“ Pass-wörter sowie Beispiele und Formulare zur Be-nutzerkontrolle siehe Anhang D.2, E.1, F.3, F.4

ZugriffskontrolleErforderliche Maßnahmen:• Einrichtung eines LITTERA LW-Zugangs für

jeden einzelnen Nutzer und jede einzelne Nut-zerin

• jeweils eigenes Passwort pro Nutzerin undNutzer

• siehe Beispiel im Anhang E.13

DatenverarbeitungskontrolleErforderliche Maßnahme:• Definition von Rechten für jeden einzelnen

Nutzer und jede einzelne Nutzerin in LITTERA LW

• siehe Beispiel im Anhang E.13

VerantwortlichkeitskontrolleErforderliche Maßnahmen:• Nutzung der Protokollfunktion von LITTERA

LW• Regelmäßige Speicherung des Protokolls von

LITTERA LW auf einem eigenen USB-Stick• sichere Verwahrung des USB-Sticks in einem

verschlossenen Schrank, möglichst in einemanderen Raum oder einem anderen Gebäude-teil zusammen mit den USB-Sticks zur Daten-sicherung der LITTERA LW-Datenbank

• Regelmäßige Löschung der Teile des Proto-kolls in LITTERA LW zu jedem Halbjahres-wechsel, die älter als ein halbes Jahr sind

• siehe Beispiel im Anhang E.8

EMPF

EHLU

NG

EN

Schulleitung:Unterstützen Sie die Mitarbeiterinnen und Mitarbeiter der Schulbibliothek bei der täglichenUmsetzung aller Datenschutzmaßnahmen.

Datenschutzbeauftragte:Unterstützen Sie die Schulleitung und die Schulbibliothek bei der täglichen Umsetzung allerMaßnahmen zur Datensicherheit und zum Datenschutz. Insbesondere gilt dies für die kor-rekte Einstellung der Software und für die Auswahl geeigneter sicherer Hardware.

Schulbibliotheksleitung:Auch wenn es im täglichen Betrieb manchmal anstrengend und nervig ist: befolgen Sie un-bedingt alle oben genannten Maßnahmen; lassen Sie sich von der oder dem Datenschutz-beauftragten beraten und helfen.

Datensicherungin der Schulbibliothek

34

BFür die Gewährleistung von Datenschutz undDatensicherheit der Schulbibliotheks-EDV ist esunbedingt erforderlich, dass die dauerhafte Ver-fügbarkeit aller Daten gesichert ist. Dies ist dieAufgabe von Datensicherungen.

So wie Karteikarten mit personenbezogenenAngaben (z.B. Ausleihkarteikarten) oder Aus-leihlisten mit Namen und weiteren Angaben vonPersonen grundsätzlich nur in ausreichend si-cheren Schränken (in Abschnitt 8 des Erlassesüber IT-Sicherheit und Datenschutz ist aus-drücklich von Stahlschränken mit Sicherheits-schloss die Rede) verwahrt werden dürfen, somüssen auch die elektronisch gespeichertenDaten regelmäßig, zeitnah und wiederherstell-bar gesichert werden. Diese Sicherung hat nachoben genanntem Erlass als Tages-, Wochen-und Monatssicherung zu erfolgen.

Die Datenträger sind geschützt aufzubewahren(Schutz gegen unbefugten Zugriff, gegen Be-schädigung durch Feuer, Wasser oder Vandalis-mus). Notwendig ist die Aufbewahrung in einemanderen Raum, möglichst in einem anderen Ge-bäude(teil).

Falls die Schulbibliotheks-EDV auf einem Client-Server-System betrieben wird sind die Datengrundsätzlich auf dem Server zu speichern, dortzentral zu sichern und die Sicherungsdatenträ-ger in separaten Räumlichkeiten zu verwahren!Es darf in diesem Fall keine lokale Speicherungvon personenbezogenen Daten auf den Clientsgeben. (Siehe Anlage A.6)

Begriffsdefinition und Begründung für die Notwendigkeit

Technische Grundlagen

Datensicherungen erfolgen üblicherweise ent-weder direkt in einem Server durch Einsatz einerzweiten stationär eingebauten Festplatte(„RAID“, „Spiegelung“), durch den zeitweisenAnschluss einer externen Festplatte, durch dasBrennen von CD-ROMs oder DVDs oder aberdurch den Einsatz von mobilen Datenträgernwie USB-Sticks.

Die Spiegelung auf einer zusätzlichen stationä-ren Festplatte ist für die Schulbibliotheks-EDVuntypisch.

Der Anschluss einer externen Festplatte ist überden USB-Anschluss leicht möglich, aber die ge-forderte Einrichtung von Tages-, Wochen- undMonatssicherungen erfordert einige Überlegun-

gen und sicheren Umgang, möglicherweise denEinsatz zusätzlicher „Backupsoftware“.

Das Brennen von DVDs hat sich durchaus be-währt, wenn die Datenträger sukzessive be-schrieben werden und es neben einer DVD fürMontag, Dienstag, … noch Wochen-DVDs undMonats-DVDs gibt. Dies erfordert Kenntnisseder Brennsoftware, ein sorgsames Vorgehen, istaber machbar und wird auch praktiziert. DerVorteil ist die Preisgünstigkeit des Sicherungs-verfahrens, der geringe Platzbedarf der Daten-träger und die leichte Transportierbarkeit.

Am einfachsten (weil z. B. über die Software LITTERA direkt umsetzbar) ist die Datensiche-rung auf USB-Sticks (siehe nächster Abschnitt).

35

Praktische Umsetzung mit der Schulbibliotheks-Software LITTERA LW

Die praktische Umsetzung der Datensicherungmit LITTERA LW ist in einem Beispiel im Anhangsowie in der LITTERA LW-Hilfefunktion ausführ-lich in einzelnen Schritten beschrieben. (SieheBeispiel im Anhang E.3)Auch wenn die Datenbank von LITTERA LW inder Sicherung ebenfalls verschlüsselt ist, ist un-bedingt Sorgfalt bei der Sicherung, dem Trans-

port und der Aufbewahrung des Sicherungsme-diums erforderlich.Für eine eventuell (hoffentlich selten) notwen-dige Rückkopie einer Datensicherung ist es sinn-voll, die Hilfe eines EDV-Experten oder/und desDatenschutzbeauftragten anzufordern. (KeineSchülerinnen oder Schüler und keine unbefug-ten Eltern!)

EMPF

EHLU

NG

ENSchulleitung:Unterstützen Sie die Mitarbeiterinnen und Mitarbeiter der Schulbibliothek und des Sekre-tariats bei der täglichen Umsetzung aller Maßnahmen zur Datensicherung.

Datenschutzbeauftragte:Unterstützen Sie die Schulleitung und die Schulbibliothek bei der täglichen Umsetzung allerMaßnahmen zur Datensicherung.

Schulbibliotheksleitung:Auch wenn es gerade zum Ende einer „Schicht“ mit der Datensicherung manchmal nichtpasst: die Daten sind das kostbarste Gut in Ihrer Schulbibliothek. Hier stecken Hunderte vonArbeitsstunden drin, vom möglichen Ärger mit Lesern ganz zu schweigen, wenn nach einemComputercrash die Verleihdaten nicht mehr stimmen. Nutzen Sie auch alle Beispiele undFormulare im Anhang im Zusammenhang mit dem Einsatz von USB-Sticks zur Daten-sicherung! (E.3, F.7, F.8)

Zusammenfassung

einzuholen. Möchte man diesen Aufwand nicht,dann muss auf die Nutzung von Schülerfotosverzichtet werden.

Niemand in der Schulbibliothek ist alleine: dieHilfestellung des oder der schulischen Daten-schutzbeauftragten sollte immer genutzt werden, die Schulleitung ist generell für den Datenschutz verantwortlich und notfalls hilftdie „Servicestelle EDV für Schulbibliotheken“.Holen Sie sich in der Schulbibliothek sei es alsLeiterin und Leiter oder als ehrenamtliche Biblio-theksmutter oder ehrenamtlicher Bibliotheks -vater diese Hilfe!

Und zögern Sie nicht, sich an die Landesarbeits-gemeinschaft Schulbibliotheken in Hessen e.V.zu wenden, wenn Sie Fragen zu dieser Broschürehaben, Ergänzungen wünschen oder eigene Bei-spiele beitragen können.

Gutes Gelingen!ZFür den öffentlichen / schulischen Bereich ist esein Muss, die datenschutzrechtlichen Regelun-gen zu kennen und zu beachten.

LITTERA LW ist ein mächtiges Programm zurBewältigung aller Arbeiten, die man sich im Be-reich der Schulbibliothek vorstellen kann.

Da LITTERA LW an einigen Stellen mehr kannals an Schulen erlaubt ist, müssen diese Bereichebewusst ausgeblendet werden. Ein Beispielhierzu ist die mögliche Nutzung „HistorischerVerleihdaten des Lesers“: die Erstellung einerLese(r)historie ist eindeutig verboten, wäre mitLITTERA LW aber machbar; auch das LITTERA-Handbuch weist darauf hin!

Andere Möglichkeiten des Programms wie dieNutzung von Schülerfotos auf Leserausweisenund beim Verleihvorgang sind in der Praxis sehrnützlich, erfordern aber den Aufwand, eineschriftliche Einwilligung der Betroffenen vorher

L38

Links und LiteraturDie Linkliste führt auch auf die Homepage der LAG: www.schulbibliotheken.de

Dort können unter dem Menüpunkt Service/Datenschutz die meisten der unten angegebenenQuellen, Formulare und Beispiele abgerufen werden. Dabei kann keine Gewähr dafür übernommenwerden, dass alle dort zum Download angebotenen Dateien noch dem allerneuesten Stand ent-sprechen. (Das unten jeweils angegebene Datum ist der Zeitpunkt der Recherche.)

39

A. GESETZE UND VERORDNUNGEN

A.1 Bundesdatenschutzgesetz (BDSG) in der Fassung vom 14. Januar 2003 (BGBl. I S. 66); zuletzt geändert durch Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) https://www.datenschutz.hessen.de/gesetzestexte.htm (03.11.2014)

A.2 Hessisches Datenschutzgesetz (HDSG) in der Fassung vom 7. Januar 1999 (GVBl. I S. 98)https://www.datenschutz.hessen.de/gesetzestexte.htm (03.11.2014)

A.3 Hessisches Schulgesetz (HSchG) – Auszug in der Fassung vom 14. Juni 2005 (GVBl. I S. 442), zuletzt geändert durch Gesetz vom 22. Mai 2014 (GVBl. S. 134) https://kultusministerium.hessen.de/schule/schulrecht (21.03.2015)

A.4 Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen vom 4. Februar 2009 (ABl. 2009 S. 131)https://www.datenschutz.hessen.de/schuvo.htm (03.11.2014)

A.5 Erlass über die Information von Eltern und volljährigen Schülerinnen und Schülern über die Datenverarbeitung in der Schule vom 19. Oktober 2009 (ABl. 2009 S. 811) www.hessisches-amtsblatt.de/download/pdf_2009/alle_user/11_2009.pdf (03.11.2014)

A.6 Erlass über IT-Sicherheit und Datenschutz in Schulverwaltungen, zur Nutzung von E-Mail und zur Erhebung und Veröffentlichung interner Daten vom 27. November 2009 (ABl. 2010 S.11)www.hessisches-amtsblatt.de/download/pdf_2010/alle_user/01_2010.pdf (03.11.2014)

B. TÄTIGKEITSBERICHTE DES HESSISCHEN DATENSCHUTZBEAUFTRAGTEN

B.1 25. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten 19967.3 Das schulische Bibliotheksprogramm LITTERA 2www.datenschutz.hessen.de/_old_content/tb25/k7p3.htm (08.09.2014)

B.2 36. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten 20075.6.4 Datenschutzfragen bei der Erstellung und Behandlung von Schülerfotoshttps://www.datenschutz.hessen.de/tb36inhalt.htm (23.10.2014)

B.3 38. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten 20094.5.1 Verordnung Verarbeitung personenbezogener Daten in Schulenhttps://www.datenschutz.hessen.de/tb38inhalt.htm (23.10.2014)

B.4 39. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten 20104.5.4 Beratung von Schulträgern bei der Einführung von Informationstechnikhttps://www.datenschutz.hessen.de/tb39inhalt.htm (23.10.2014)

B.5 41. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten 20123.3.3.4 Einverständniserklärung zur Veröffentlichung von Schülerdaten im Internethttps://www.datenschutz.hessen.de/tb41inhalt.htm (23.10.2014)

C. VERÖFFENTLICHUNGEN DES HESSISCHEN DATENSCHUTZBEAUFTRAGTEN

C.1 Der Hessische Datenschutzbeauftragte: Aufgaben des schulischen Datenschutzbeauftragtenhttps://www.datenschutz.hessen.de/ds004.htm (03.11.2014)

40

C.2 Der Hessische Datenschutzbeauftragte: Datenschutz in Schulen - Überblick und Materialien zur Durchführung des Datenschutzes in Schulen (Wiesbaden, 2010)https://www.datenschutz.hessen.de/downloads/173.pdf (03.11.2014)

C.3 Der Hessische Datenschutzbeauftragte: Downloadliste: Übersicht Datenschutz in Schulenhttps://www.datenschutz.hessen.de/ft-schulen.htm (08.09.2014)

C.4 Der Hessische Datenschutzbeauftragte: DV-Dienstleistungen für Schulen durch Schulträger und deren Auftragnehmer (Stand 22.August 2008)– Wartung, Fernwartung und Fernbetreuung –https://www.datenschutz.hessen.de/ds008.htm (03.11.2014)

C.5 Der Hessische Datenschutzbeauftragte: Einführungserlass zum Verfahrensverzeichnishttps://www.datenschutz.hessen.de/einfuehrungserlass.htm (03.11.2014)

C.6 Der Hessische Datenschutzbeauftragte: Einsatz von Chipkartenhttps://www.datenschutz.hessen.de/tf009.htm (13.11.2014)

C.7 Der Hessische Datenschutzbeauftragte: Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach § 7 Abs.6 Hessisches Datenschutzgesetzhttps://www.datenschutz.hessen.de/tf001.htm (03.11.2014)

C.8 Der Hessische Datenschutzbeauftragte: Handreichungen zur Nutzung von Smartphones und Tablet-Computernhttps://www.datenschutz.hessen.de/tf015.htm (13.11.2014)

C.9 Der Hessische Datenschutzbeauftragte: Verarbeitung von Schüler- oder Elterndaten auf privaten Datenverarbeitungseinrichtungen der Lehrkräfte, Stand 14.09.2009https://www.datenschutz.hessen.de/ds010.htm (03.11.2014)

D. LITERATUR ZU DATENSCHUTZ, DATENSICHERHEIT UND DATENSICHERUNG

D.1 BITKOM: Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG – Ein Praxisleitfadenwww.bitkom.org/files/documents/BITKOM_Verfahrensverzeichnis_V_2.0.pdf (03.11.2014)

D.2 Bundesamt für Sicherheit in der Informationstechnik: M2.11 Regelung des Passwortgebrauchswww.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02011.html (03.11.2014)und: www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.htm

D.3 Haag, Sophie: Datenschutz in Bibliothekenwww.edoeb.admin.ch/datenschutz (03.11.2014)

D.4 Jung-Mack, Andrea / LAG (2011): LITTERA web.OPAC; Handreichung für die Nutzung einer Schulbibliothek am Beispiel der Weidigschule ButzbachNähere Informationen unter www.schulbibliotheken.de/service/broschüren-der-lag/

D.5 Krystek-Theissen, Ulrike u.a.: Schulbibliothek der Weidigschule Butzbach; Handbuch der Mitarbeiterinnen 2007Downloadbar im Bereich: www.schulbibliotheken.de/service/datenschutz/ (17.11.14)

D.6 Koupsky, Nicolas: Datensicherung der vom BVÖ geförderten Bibliotheksprogramme in: Büchereiperspektiven 02/05www.publikationen.bvoe.at/perspektiven/bp2_05/s20-21.pdf (03.11.2014)

41

D.7 LAG Schulbibliotheken in Hessen e.V. (2000). Lust? Last? Luxus? Schulbibliotheken in Hessen.Nähere Informationen unter www.schulbibliotheken.de/service/broschüren-der-lag/

D.8 LAG Schulbibliotheken in Hessen e.V. (2008). LAG-BAUSTEINE für ein hessisches Schulbibliothekswesen. Nähere Informationen unter www.schulbibliotheken.de/service/broschüren-der-lag/

D.9 SSA Kassel: Empfehlungen zum Thema IT-Sicherheit / Nutzung des Privat-PCs für dienstliche Aufgaben http://schulamt-kassel.lsa.hessen.de dort unter: Service > Datenschutz / IT-Sicherheit > Rechtsvorschriften (05.11.2014)

D.10 Viehweger, Bernd: Datenschutz / Datensicherheit (HU Berlin 2008)http://iwi.wiwi.hu-berlin.de/~viehweger/datenschutz-2008-1.pdf (03.11.2014)

D.11 Weitz, Manfred: Verarbeitung von Schulverwaltungsdaten auf privaten Rechnern der Lehrkräfte - die Regelungen in Hessenwww.datenschutzkurs.de/fileadmin/datenschutzkurs/Schulverwaltungsdaten_auf_privaten_Rechnern.pdf (03.11.2014)

E. BEISPIELE ZU DATENSCHUTZ, DATENSICHERHEIT UND DATENSICHERUNG WENN NICHT ANDERS ANGEGEBEN: DOWNLOADBAR VONwww.schulbibliotheken.de/service/datenschutz/

E.1 Beispiel: Benutzerkontrolle: Erstellung eines Benutzerkontos in WIN 7

E.2 Beispiel: Datensicherheit: Verschlüsselung der Datenbank von LITTERA LW

E.3 Beispiel: Datensicherung: tägliche Datensicherung mit LITTERA LW

E.4 Beispiel: Einrichtung des LITTERA web.OPAC zur online-Reservierung und online-Verlängerung bei minimaler Übertragung personenbezogener Daten

E.5 Beispiel: Import der Leserdaten aus der LUSD nach LITTERA LW

E.6 Beispiel: Leserdatenexport an einen externen Dienstleister zum Druck von Leserausweisen mit Porträtfotos

E.7 Beispiel: Personenbezogener Datenbankauszug nach § 72 HSchG aus LITTERA LW

E.8 Beispiel: Verantwortlichkeitskontrolle: Protokollfunktion in LITTERA LW

E.9 Beispiel: Verfahrensverzeichnis nach § 6 HDSG (ausgefülltes Muster für eine Gemeindeverwaltung)

E.10 Beispiel: Verfahrensverzeichnis nach § 6 HDSG (ausgefülltes Muster für eine Schulbibliothek mit LITTERA)

E.11 Beispiel: Vermeidung der Nutzung personenbezogener Daten im LITTERA web.OPAC

E.12 Beispiel: Vermeidung der Speicherung „Historischer Verleihdaten“ in LITTERA LW

E.13 Beispiel: Zugriffskontrolle und Datenverarbeitungskontrolle: Definition von Benutzerrechten in LITTERA LW

E.14 Divibib GmbH: Datenschutzerklärung der divibib GmbH für die Nutzung der „Onleihe“(Wiesbaden 2013)www.cms.onleihe.de/opencms/export/sites/default/divibib-customer/common/de/AllgemeineDatenschutzerklaerung.pdf (03.11.2014)

F. FORMULARE (PDF)/(WORD) WENN NICHT ANDERS ANGEGEBEN: DOWNLOADBAR VONwww.schulbibliotheken.de/service/datenschutz/

F.1 Beispiel / Formblatt: Verfahrensverzeichnis Muster / Vorlage nach § 6 HDSG: Einzelverfahrenwww.datenschutz.hessen.de/einfuehrungserlass.htm#entry2249 (03.11.2014)

F.2 Formular: Anmeldung eines häuslichen Arbeitsplatzeshttps://www.datenschutz.hessen.de/downloads/284.pdf (23.10.2014)

F.3 Formular: Benutzerkontrolle: Liste der Benutzerkonten

F.4 Formular: Benutzerkontrolle: Notfallpasswörter für die Benutzerkonten

F.5 Formular: Bestätigung der Einweisung in Datenschutz und Datensicherheit

F.6 Formular: Bestellung eines Datenschutzbeauftragten (HDSB)www.datenschutz.hessen.de/ds005.htm (03.11.2014)

F.7 Formular: Datensicherung: Protokoll der Datensicherungen der Datenbank von LITTERA LW

F.8 Formular: Datensicherung: Registrierung der Datenträger zur Datensicherung

F.9 Formular: Einwilligung in die Nutzung von Schülerfotos in der Schulbibliothek und auf Bibliotheksausweisen

F.10 Formular: Verfahrensverzeichnis nach § 6 HDSG

F.11 Formular: Zutrittskontrolle: Ausleihliste der Schlüssel für die Schulbibliothek

F.12 Formular: Zutrittskontrolle: Dauerausleihliste der Schlüssel für die Schulbibliothek

F.13 Formular: Zutrittskontrolle: Registrierung der Berechtigten für die Schlüsselausleihe für die Schulbibliothek

F.14 Formular: Zutrittskontrolle: Registrierung der Schlüssel für die Schulbibliothek

G. DATENSCHUTZ-BLOG:http://www.datenschutzbeauftragter-online.de/das-bundesdatenschutzgesetz-bdsg

42

I

43

Herausgeber: ©Landesarbeitsgemeinschaft Schulbibliotheken in Hessen e.V.November 2014 , 1.Überarbeitung der Online-Version März 2015

Redaktion: Rolf-Reiner Laaschrl@schulbibliotheken.de

Fotografien: shutterstock

Konzeption und Gestaltung: PeakADVERTISE, Kruse International GmbH, Hofheim am Taunus

www.peakadvertise.com

Druck: Westdeutsche Verlags- und Druckerei GmbH, Mörfelden Walldorf

GenderingDisclaimer: Wir haben versucht, durchgängig beide geschlechtsbezogenen Schreibweisen zu

verwenden. Wo dies nicht geschehen ist (z.B. bei Zitaten aus Gesetzen oder bei Nutzung von Begriffen wie „Der Hessische Datenschutzbeauftragte“) möchten wir darauf hinweisen, dass diese Schreibweise bitte als geschlechtsunabhängig verstanden werden soll.

Auflage: 2.500 Exemplare, November 2014

Hinweise: Diese Broschüre wurde mit größter Sorgfalt erstellt. Sie gilt jedoch nicht als Rechtsmittel. Die zitierten Rechtsquellen sind als Information zu sehen. Gültig sind jeweils nur die im Amtsblatt oder Gesetzesblatt veröffentlichten Rechtsvorschriften.

Diese Broschüre berücksichtigt den Rechtsstand bis Oktober 2014.

Beratung: Manfred Weitz; Datenschutzberater für Schule in HessenJurist und früherer Mitarbeiter des Hessischen Datenschutzbeauftragten

Hinweis: Als Online-Fassung finden Sie diese Publikation auch auf unserer Homepage: www.schulbibliotheken.de

Adressen: Landesarbeitsgemeinschaft Schulbibliotheken in Hessen e.V.c/o Günther Brée, Dahlienweg 17, 35396 Gießengb@schulbibliotheken.dewww.schulbibliotheken.de

Servicestelle EDV für SchulbibliothekenStephan Wülfing, Medienzentrum des WetteraukreisesAm Seebach 8, 61169 Friedbergservicestelle@servicestelle.infowww.dms-schule.bildung.hessen.de/allgemeines/servicestelle/inhalt/startseite.html

LITTERA GmbHLandshuter Allee 8-10, 80637 Münchenoffice@littera.euwww.littera.eu

Impressum

LAG Schulbibliotheken in Hessen e.V.

www.schulbibliotheken.de