Inhaltsverzeichnis
Maßnahmen bei der Datenverarbeitung
Haftungsausschluss
Wir, die Autoren und Betreiber dieses Wikis, weisen ausdrücklich darauf hin, dass die Inhalte aus unseren Beiträgen nach bestem Wissen und Gewissen erstellt wurden. Insbesondere die Beiträge zu rechtlichen Fragestellungen bieten lediglich Anregungen zur eigenen Praxis. Wir empfehlen dringend rechtliche Fragestellungen mit der Schulleitung und dem schulischen Datenschutzbeauftragten zu klären.
Bei der Nutzung eines MDM-Systems, bzw. bei der Verwaltung von Tablets fallen je nach Setting unterschiedliche Arten von Daten an:
- Personenbezogene Daten (Namen, Benutzernamen, Mailadressen,…)
- Daten der Gerätenutzung (Installierte Apps, IP-Adressen, Gerätestandorte,…)
Insbesondere bei der Verarbeitung von personenbezogenen Daten muss daher besonders sorgfältig vorgegangen werden. Auch Daten zur Gerätenutzung können personenbeziehbar sein, wenn die Nutzung eines Gerätes einem einzelnen Benutzer zugeordent werden kann.
Das Schulministerium Nordrhein-Westfalen bietet eine übersichtlich aufbereitete Handreichung zum Thema „Datenschutz an Schulen, die unter https://www.medienberatung.schulministerium.nrw.de/_Medienberatung-NRW/Publikationen/Datenschutz_Schulen_NRW_2019.pdf aufgerufen werden kann.
Ein paar aus dieser Handrreichung entnommene Aspekte zeigen, was bei der Verarbeitung personenbezogener Daten zu beachten ist:
Vertraulichkeit
Nur befugte Personen können personenbezogene Daten einsehen und bearbeiten.
Maßnahmen
- Datenverarbeitung erfolgt durch einen eingeschränkten Personenkreis.
- An der Datenverarbeitung beteiligte Personen verpflichten sich zur Verschwiegenheit.
- Verschlüsselung der Daten
Integrität
Die Daten bleiben während des Verarbeitungsprozesses unversehrt, vollständig und aktuell. Hierfür werden „technisch organisatorische Maßnahmen (TOM)“ umgesetzt.
Maßnahmen
- Nutzung aktueller Daten (z.B. aktuelle Benutzerlisten)
- Anpassung bei Änderungen
- Schutz der Daten vor Manipulation
- Umsetzung technisch organisatorischer Maßnahmen (Zugangsbeschränkungen (z.B. Passwort) zu den Verarbeitungssystemen; aktueller Virenscchutz; Einsatz aktueller Software und Betriebssystem-Versionen; Verschlüsselte Datenübertragung; …)
Links
Mehr zu technisch organisaorischen Maßnahmen gibt es auf Datenschutz-Schule.info unter https://datenschutz-schule.info/themen/fachbegriffe-erklaert/technische-und-organisatorische-massnahmen/
Verfügbarkeit
Die Daten stehen zur Verfügung und können ordnungsgemäß verarbeitet werden.
Maßnahmen
- Datensicherungen
- Verfügbarkeit der Daten muss sicher gestellt werden (Stichwort: Ausfallsicherheit), dies ist in der Regel Aufgabe des Providers/Dienstleisters
- Formate für die Datenverarbeitung sind so gewählt, dass die Daten bearbeitet werden können (z.B. Tabellen in Form von .csv-Dateien)
Revisionsfähigkeit
Es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.
Maßnahmen
- Protokollierung von Änderungen an den Daten
Transparenz
Die Verfahrensweisen bei der Verarbeitung personenbezogener Daten sind vollständig, aktuell und in einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden können.
Maßnahmen
- Dokumentation der Arbeit, z.B. über ein Ticket-System
Datenvermeidung und Datensparsamkeit
Die Daten sollten außerdem nur dann erhoben werden, wenn sie wirklich notwendig für ein Verfahren sind.
Maßnahmen
- Nur die Daten verarbeiten, die für den Prozess notwendig sind, „überflüssige“ Informationen ausblenden (z.B. Tabellen Benutzernamen brauchen i.d.R. keine. Geburtsdaten oder Mailadressen,…)
Zweckbindung
Daten dürfen nur wenn es wirklich notwendig ist mit Dritten geteilt werden. Unterbinden der Weitergabe von Daten an Dritte, bzw. der Verwendung für andere Zwecke.
Maßnahmen
- Einhaltung der Löschfristen - Daten müssen nach Verwendung, bzw. wenn der Verwendungszweck erlischt, gelöscht werden.
- Striktes Einhalten der Regel, dass Daten nicht weiter gegeben werden dürfen und AUSSCHLIEßLich für den Zweck der Datenerhebung (also z.B. für den Betrieb des MDM-Servers) genutzt werden dürfen. Andere Nutzungen sind nicht erlaubt.
Erhebungsgrundlage
Damit Daten erhoben und verarbeitet werden dürfen, bedarf es einer rechtlichen Grundlage oder der Zustimmung der Betroffenen.
Maßnahmen
- Die Erhebungsgrundlage dürfte sich aus dem Erziehungs- und Bildungsauftrag ergeben.
- Die Zustimmung erfolgt durch den Abschluss von Nutzungsverträgen mit den SuS, bzw. deren Erziehungsberechtigten. wiki:mdm:vertraege
Authentizität
Personenbezogene Daten können jederzeit ihrem Ursprung zugeordnet werden. Daten werden zum Bespiel aus Schulverwartungsprogramm übernommen.
Lizenz
Unsere Materialien sind unter der Creative-Commons-Lizenz „CC-BY-SA 4.0“ lizensiert. Du kannst sie konstenlos verwenden, teilen und bearbeiten.
Bedingungen sind, dass die Autoren genannt werden und du die Materialien unter den gleichen Bedingungen weitergibst (Lizenz einfach erklärt).
