Datenschutz und Schulträger

Alles, was sonst keinen Platz findet.

Moderatoren: Raffenberg, A. Schüller, Pfotenhauer

Antworten
MarcusStr
Beiträge: 2
Registriert: Montag 8. März 2021, 22:04
Schulform: Gymnasium

Datenschutz und Schulträger

Beitrag von MarcusStr »

Hallo zusammen,

ich bin ein wenig verzweifelt. Die Datenschutzbeauftragte unseres (öffentlichen) Schulträgers ist ohne Angabe von Gründen der Ansicht, dass ein Vertrag zur Auftragsverarbeitung zwischen dem Schulträger und der Schule (Gymnasium) obsolet sei, obwohl sowohl das Schulverwaltungsnetz als auch das pädagogische Netz komplett durch Mitarbeiter einer zentralen Supportgruppe des Schulträgers administriert wird. Mit dem letzten Update wurden uns ohne Vorankündigung selbst im pädagogischen Netz alle über das Zurücksetzen von Passwörtern hinausgehenden Rechte genommen. Die Pläne des Schulträgers führen nun wohl Richtung Schulverwaltung in der Cloud, was bei mir alle Alarmglocken klingeln lässt. Auch die Verwaltung der Lehrerendgeräte soll zum Beispiel personenbezogen über Microsoft Intune gelöst werden.

Meine Frage ist daher, ob jemand bereits ein ähnliches Problem hatte und aus diesem Grund bereits überzeugende Argumente für die Notwendigkeit eines solchen Vertrages gesammelt hat und diese mir und eventuell der ganzen Forengemeinschaft zur Verfügung stellen würde.

Vielleicht liege ich aber auch mit meiner Einschätzung falsch und die Datenschutzbeauftragte des Schulträgers hat Recht.

Herzliche Grüße und vielen Dank im Voraus!
Benutzeravatar
Pfotenhauer
Beiträge: 3081
Registriert: Dienstag 25. September 2018, 12:53
Wohnort: Wuppertal
Schulform: Realschule
Motto: Wer schnell hilft, hilft doppelt!
Kontaktdaten:

Re: Datenschutz und Schulträger

Beitrag von Pfotenhauer »

Hallo.

§2 VO DV:

(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.

Also ich würde behaupten, dass die Schule hier berechtigt ist so einen Vertrag zu fordern!
Mit freundlichen Grüßen
Frank Pfotenhauer
---
Fachberater für die Schulverwaltungssoftware des MSB
Referat 135

E-Mail: frank.pfotenhauer@msb.nrw.de
011marTusch
Beiträge: 181
Registriert: Montag 3. Dezember 2018, 19:50
Schulform: - keine Schule -

Re: Datenschutz und Schulträger

Beitrag von 011marTusch »

MarcusStr hat geschrieben: Montag 8. März 2021, 22:32 Die Datenschutzbeauftragte unseres (öffentlichen) Schulträgers ist ohne Angabe von Gründen der Ansicht, dass ein Vertrag zur Auftragsverarbeitung zwischen dem Schulträger und der Schule (Gymnasium) obsolet sei...
Dieser Ansicht kann sie natürlich sein. Dies ist aber offenbar frei von rechtlichen Erkenntnissen (s. Verweis von Herrn Pfotenhauer) und darüber hinaus vermutlich auch bar einer Zuständigkeit. In der Anderen für Schulen in Datenschutzfragen relevanten Verordnung (Lehrerdaten) ist unter § 1 Abs. 6 VO-DV II zu lesen, dass das Schulamt (= untere staatliche Schulaufsichtsbehörde) einer Gemeinde eine*n Datenschutzbeauftragte*n für die Schulen bestellt. Nach § 1 Abs. 3 VO-DV I (das ist die Verordnung für Schüler- und Elterndaten) ist diese Person auch für Schüler/Eltern zuständig. Rein rechtlich könnte die Datenschutzbeauftragte des Schulträgers vermutlich mit beiden Rollen beauftragt werden. Genau an dieser Stelle entsteht aber erkennbar ein großer Interessenkonflikt.

Die Erkenntnis, dass Schule vom Schulverwaltungsamt verwaltet wird (Schule = "nicht rechtsfähige Anstalt des Schulträgers") hat sich wohl rumgesprochen. Das der Gesetzgeber aber den Schulen (jeder Einzelnen) ausgerechnet die Datenhoheit übertragen hat ( § 5 Abs. 1 Datenschutzgesetz NRW), ist in weiten Teilen der Verwaltungen unbekannt. Schüler-, Eltern- und Lehrerdaten gehören der Schule. Allein verantwortlich ist die Schulleiterin/ der Schulleiter.
MarcusStr hat geschrieben: Montag 8. März 2021, 22:32 ...obwohl sowohl das Schulverwaltungsnetz als auch das pädagogische Netz komplett durch Mitarbeiter einer zentralen Supportgruppe des Schulträgers administriert wird...
Da ist offenbar bereits einiges geschehen. Ich bin sicher, dass es dazu Gespräche und Informationen gab. Und ja, dazu gehört sicher auch der Auftrag zur Datenverarbeitung. Hierbei ist es natürlich nicht möglich, einzelne Vereinbarungen mit jeder Schule abzuschließen. Gemeinsam muss eine Formulierung gefunden werden, die jede Schule unterschreiben kann.

Ich habe jahrelang für ein Schulverwaltungsnetz gearbeitet. In Wuppertal wurde die Verwaltungs-IT der Schulen gleichberechtigt in die IT des Schulträgers übernommen. Nein, man kann nicht mehr einfach ein beliebiges Programm installieren. Dafür gibt es einen sicheren Fullservice. Und ja, auch der Schuträger profitiert davon. Die komplette IT ist einheitlich und kann leicht administriert und gewartet werden. Statistikdaten (anonym) gibt es tagesfrisch. Bis zu seiner Pensionierung hat ein Schuleiter die Daten seiner Schule auf einem Laptop verwaltet. Das durfte er.

Suchen Sie sich Gesprächspartner bei der Schulverwaltung oder bei dem IT-Dienstleister und sprechen ihre Sorgen an. Was meinen die Nachbarschulen zu diesem Thema?

Zum Nachlesen:
Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I)
Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO-DV II)

Ansonsten: Nicht verzagen, WWW fragen. Suchbegriffe: Muster Auftrag Datenverarbeitung Schulen
Zuletzt geändert von 011marTusch am Samstag 13. März 2021, 10:45, insgesamt 1-mal geändert.
Viele Grüße aus Wuppertal
Ottmar Tusch
Pensionist :geek:
MarcusStr
Beiträge: 2
Registriert: Montag 8. März 2021, 22:04
Schulform: Gymnasium

Re: Datenschutz und Schulträger

Beitrag von MarcusStr »

Hallo zusammen,

zunächst einmal vielen Dank für die Antworten.

Über das Update im pädagogischen Netz wurde gesprochen. Allerdings wurde nicht erwähnt, dass man uns im Zuge dessen alle Berechtigungen nehmen will, die vorher für viele Jahre vorhanden waren. Ein Mitspracherecht in diesem Punkt wurde uns nicht eingeräumt.

Auch unsere Nachbarschulen haben das Thema bereits angesprochen und hätten gerne einen Vertrag – mit identischem Ergebnis. Bisher haben wir versucht, unsere Absicht diplomatisch zu vermitteln, indem wir darauf hingewiesen haben, dass der Schulträger diese Daten nicht ohne Weiteres verarbeiten darf und ein Vertrag der Rechtssicherheit aller diene. Man wollte es daraufhin klären. Das Ergebnis dieser schulträgerinternen Klärung war, dass man keinen Vertrag bräuchte mit Hinweis auf die bereits genannten Ansichten der Datenschutzbeauftragten und darauf, dass man kein IT-Dienstleister sei. Dies wurde uns so vom Dezernenten (Rechtsdirektor) für den Bereich Kultur und Bildung (Schulverwaltungsamt, Schulamt, ...) mitgeteilt.

Prinzipiell begrüße ich es, dass uns die Administrationsarbeit abgenommen wird. Schulverwaltungssoftware in der Cloud mit einem zentralen Identitätsmanagement für alle Schulen, in dem alle SuS und KuK gemischt mit Personal des Schulträgers enthalten sein sollen, halte ich nicht nur für datenschutzrechtlich problematisch, sondern auch, weil es all unsere internen Prozesse sprengt. Wir haben an verschiedenen Stellen im jetzigen Netz, das auch bereits vereinheitlicht ist, Backups (z.B. SchILD-Datenbanken) und Zugangsdaten (SQL-DB-Server) anderer Schulen gefunden und den Schulträger selbstverständlich darauf hingewiesen. Da könnten fast Zweifel aufkommen, ob der Vertrag nach §2 Abs. 3 VO-DV I ("Die Schulen […] sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen.") überhaupt zulässig wäre.

Herzliche Grüße
011marTusch
Beiträge: 181
Registriert: Montag 3. Dezember 2018, 19:50
Schulform: - keine Schule -

Re: Datenschutz und Schulträger

Beitrag von 011marTusch »

MarcusStr hat geschrieben: Donnerstag 11. März 2021, 07:53 Das Ergebnis dieser schulträgerinternen Klärung war, dass man keinen Vertrag bräuchte mit Hinweis auf die bereits genannten Ansichten der Datenschutzbeauftragten und darauf, dass man kein IT-Dienstleister sei. Dies wurde uns so vom Dezernenten (Rechtsdirektor) für den Bereich Kultur und Bildung (Schulverwaltungsamt, Schulamt, ...) mitgeteilt.
Die Angelegenheit erscheint mir etwas suspekt. Die Zentralisierung der IT aller Schulen bedarf eines gewissen Vorlaufes. Ich denke da eher an Jahre als an Monate. Es müssen doch im Vorfeld Informationen ausgetauscht worden sein. Wenn alle Fragen geklärt sind, werden die Daten der Schulen an die IT des Schulträgers übergeben.

Der Schuldezernent ist insbesondere als Jurist in der Lage, die einschlägigen Rechtsquellen für den Datenschutz an Schulen (Datenschutzgesetz NRW, Landesverordnungen Datenverarbeitung I und II) zu lesen und zu werten. Das oben zitierte Schulverwaltungsamt ist berechtigter Kunde der Schulen für anonyme Statistikdaten. Personenbezogene Schüler-, Eltern- und Lehrerdaten sowie die Korrespondenz der Schulen sind hingegen tabu und dürfen nur der jeweiligen Schule zugänglich sein.

Das o.a. Schulamt (für GS, HS und FS) gehört nicht zum Schulträger, sondern ist eine eigenständige staatliche Behörde. Diese führt eine Generalie Datenschutz und bestellt den behördlichen Datenschutzbeauftragten für die Schulen der Gemeinde. Auch diese Behörde verwaltet eine Menge personenbezogener Personaldaten und ist zudem vorgesetzte Dienststelle des Personals der genannten Schulformen. Welche Meinung wird dort vertreten?

Es wurde nicht deutlich, in welcher Eigenschaft Sie involviert sind. Möglicherweise gibt es Sprecher*innen der Schulformen, die eine lautere Stimme haben.
Viele Grüße aus Wuppertal
Ottmar Tusch
Pensionist :geek:
Antworten

Zurück zu „Verschiedenes“