Bei der Nutzung eines MDM-Systems, bzw. bei der Verwaltung von Tablets fallen je nach Setting unterschiedliche Arten von Daten an:

• Personenbezogene Daten (Namen, Benutzernamen, Mailadressen,…)
• Daten der Gerätenutzung (Installierte Apps, IP-Adressen, Gerätestandorte,…)

Insbesondere bei der Verarbeitung von personenbezogenen Daten muss daher besonders sorgfältig vorgegangen werden. Auch Daten zur Gerätenutzung können personenbeziehbar sein, wenn die Nutzung eines Gerätes einem einzelnen Benutzer zugeordent werden kann.

Das Schulministerium Nordrhein-Westfalen bietet eine übersichtlich aufbereitete Handreichung zum Thema „Datenschutz an Schulen, die unter https://www.medienberatung.schulministerium.nrw.de/_Medienberatung-NRW/Publikationen/Datenschutz_Schulen_NRW_2019.pdf aufgerufen werden kann.

Ein paar aus dieser Handrreichung entnommene Aspekte zeigen, was bei der Verarbeitung personenbezogener Daten zu beachten ist:

Nur befugte Personen können personenbezogene Daten einsehen und bearbeiten.

• Datenverarbeitung erfolgt durch einen eingeschränkten Personenkreis.
• An der Datenverarbeitung beteiligte Personen verpflichten sich zur Verschwiegenheit.
• Verschlüsselung der Daten

Die Daten bleiben während des Verarbeitungsprozesses unversehrt, vollständig und aktuell. Hierfür werden „technisch organisatorische Maßnahmen (TOM)“ umgesetzt.

• Nutzung aktueller Daten (z.B. aktuelle Benutzerlisten)
• Anpassung bei Änderungen
• Schutz der Daten vor Manipulation
• Umsetzung technisch organisatorischer Maßnahmen (Zugangsbeschränkungen (z.B. Passwort) zu den Verarbeitungssystemen; aktueller Virenscchutz; Einsatz aktueller Software und Betriebssystem-Versionen; Verschlüsselte Datenübertragung; …)

Mehr zu technisch organisaorischen Maßnahmen gibt es auf Datenschutz-Schule.info unter https://datenschutz-schule.info/themen/fachbegriffe-erklaert/technische-und-organisatorische-massnahmen/

Die Daten stehen zur Verfügung und können ordnungsgemäß verarbeitet werden.

• Datensicherungen
• Verfügbarkeit der Daten muss sicher gestellt werden (Stichwort: Ausfallsicherheit), dies ist in der Regel Aufgabe des Providers/Dienstleisters
• Formate für die Datenverarbeitung sind so gewählt, dass die Daten bearbeitet werden können (z.B. Tabellen in Form von .csv-Dateien)

Es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat.

• Protokollierung von Änderungen an den Daten

Die Verfahrensweisen bei der Verarbeitung personenbezogener Daten sind vollständig, aktuell und in einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden können.

• Dokumentation der Arbeit, z.B. über ein Ticket-System

Die Daten sollten außerdem nur dann erhoben werden, wenn sie wirklich notwendig für ein Verfahren sind.

• Nur die Daten verarbeiten, die für den Prozess notwendig sind, „überflüssige“ Informationen ausblenden (z.B. Tabellen Benutzernamen brauchen i.d.R. keine. Geburtsdaten oder Mailadressen,…)

Daten dürfen nur wenn es wirklich notwendig ist mit Dritten geteilt werden. Unterbinden der Weitergabe von Daten an Dritte, bzw. der Verwendung für andere Zwecke.

• Einhaltung der Löschfristen - Daten müssen nach Verwendung, bzw. wenn der Verwendungszweck erlischt, gelöscht werden.
• Striktes Einhalten der Regel, dass Daten nicht weiter gegeben werden dürfen und AUSSCHLIEßLich für den Zweck der Datenerhebung (also z.B. für den Betrieb des MDM-Servers) genutzt werden dürfen. Andere Nutzungen sind nicht erlaubt.

Damit Daten erhoben und verarbeitet werden dürfen, bedarf es einer rechtlichen Grundlage oder der Zustimmung der Betroffenen.

• Die Erhebungsgrundlage dürfte sich aus dem Erziehungs- und Bildungsauftrag ergeben.
• Die Zustimmung erfolgt durch den Abschluss von Nutzungsverträgen mit den SuS, bzw. deren Erziehungsberechtigten. wiki:mdm:vertraege

Personenbezogene Daten können jederzeit ihrem Ursprung zugeordnet werden. Daten werden zum Bespiel aus Schulverwartungsprogramm übernommen.

Unsere Materialien sind unter der Creative-Commons-Lizenz „CC-BY-SA 4.0“ lizensiert. Du kannst sie konstenlos verwenden, teilen und bearbeiten.

Bedingungen sind, dass die Autoren genannt werden und du die Materialien unter den gleichen Bedingungen weitergibst (Lizenz einfach erklärt).