Umsetzung Dienstanweisung personenbezogene Daten NRW (und andere Bundesländer?)

  • Da anscheinend die IT-Apokalypse in der Schule dämmert rege ich eine Diskussion an, wie mit der Dienstanweisung


    https://www.schulministerium.n…/DienstanweisungRdErl.pdf


    an den einzelnen Schulen umgegangen wird.


    Erfahrungsberichte, Best-Practices, fundierte rechtliche Einschätzungen sind gerne gesehen, Rants, Grundsatzdiskussionen und Ausgüsse über die Rückständigkeit des Schuluniversums bitte nur in homöopatischen Dosen zur Auflockerung und allgemeinen Erheiterung.


    Insbesondere wäre interessant, inwieweit der bisherige Ansatz (= Ignorieren) weiterhin trägt.

    --

    Keine Daten, keine Quellen? Kein Interesse.

  • Warum soll das eine Apokalypse werden? DIe Daten werden doch schon seit mindestens 10 Jahren elektronisch verarbeitet. Oder habt ihr nicht die SchiLD-Software im Einsatz?


    --> https://www.svws.nrw.de/index.php?id=schildnrw


    Was mir derweil etwas Bauchschmerzen bereitet ist die fehlende Hardware-Trennung zwischen Verwaltungs- und Schulnetz. Früher waren das wirklich zwei getrennte Netze. Heute hängt das alles über einen Router mit Firewall zusammen. Hoffentlich sind dessen Programmierung ausreichend fehlerfrei und die Paßwörter gut genug.

  • Ich sehe das auch alles kritisch. Das neue Datenschutzrecht ist sehr streng und mir persönlich ist völlig unklar, wie das an Schulen umgesetzt wird. Zum Glück bin ich kein Schulleiter. Aber an jeder Schule werden personenbezogene Daten in irgendeiner Art und Weise verarbeitet. Dafür muss (meiner Meinung nach) eine hieb-und stichfeste Datenschutzerklärung vorhanden sein. Ich bezweifel, dass dies an den meisten Schulen vorhanden ist. Viele Schulen bieten irgendwelche Dienste, beispielsweise Krankmeldungen oder Newsletter, auf ihren Homepages an. Da werden personenbezogene Daten erhoben. Unsere Windows-Server speichert beispielsweise Login-Zeiten von Schülern an den Rechnern sowie deren Nutzung. Ziemlich sicher sind das personenbezogene Daten.


    Die Verarbeitung von Daten in Schild halte ich dagegen fast für unkritisch.

  • Unsere Windows-Server speichert beispielsweise Login-Zeiten von Schülern an den Rechnern sowie deren Nutzung. Ziemlich sicher sind das personenbezogene Daten.

    Moin,


    die Logins halte ich für unkritisch so lange aus dem Login ohne zusätzliche Listen nicht auf die Person dahinter geschlossen werden kann. An der Schule, an die ich abgeordnet bin, haben alle (auch die Schüler) Logins in der Form Nachname.Vorname. Da sehe ich Dein Problem in ganzer Schärfe.


    Was SchiLD und die Datenerfassung angeht, sehe ich das weitaus kritischer, weil dort mitunter wirklich heiße Daten hinterlegt sind, z.B. die Krankenakte der Schüler (Atteste werden eingetragen). Meiner Meinung ist es da mit einer Datenschutzerklärung nicht getan. Sehr viele Kollegen werden die unterschreiben und dann trotzdem weitermachen, weil sie potentielle Gefahren gar nicht erkennen, insb. was den Umgang mit ihren privaten Geräten angeht.


    Und nein, wenn ich die Schülernoten bei mir auf dem Notebook oder Tablet habe, darf ich dieses Tablet eben nicht mehr im Klassenraum an den Beamer hängen. Aber erklär das mal den fachfremden Kollegen.


    Also wenn Du es nagelfest machen willst, reicht so eine Dienstanweisung meiner Meinung nach nicht aus. Dann muß ganz klar das System zur Datenverarbeitung aus einer Hand vom Schulministerium gestellt und administriert werden, so daß alle Nutzer (und die Schulleitung ist dann auch Nutzer) sich um den Datenschutz keine Gedanken mehr machen müssen. Ich traue jedenfalls den "normalen" Schulleitern im Üblichen nicht zu, daß sie das alles überblicken, wenn sie nicht gerade vorher selber Informatik unterrichtet haben.

  • Bei uns sind die Logins (historisch) auch Vorname.Nachname. Der Zugang zum Server an sich ist natürlich beschränkt (ausschließlich ich). Das hilft aber natürlich nix, weil ich die Daten auch einsehen kann, wenn kein akuter Vorfall vorhanden ist, der Recherche benötigt. Die Idee, eine Liste zu führen, auf der anonymisierte Logins gespeichert sind und diese dann beispielsweise bei der Schulleitung zu hinterlegen, könnte das Problem entschärfen. Spannenderweise gab es an unserer Schule noch überhaupt keine Infos zur neuen Datenschutzverordnung. Ich habe da nach dem Konsum einer aktuellen ct mal einige Leute drauf aufmerksam gemacht, aber offenbar wird das Problem nicht als ernst gesehen.


    Die Datenverarbeiten auf privaten Geräten wird natürlich genauso weiter gehen wie sie es bisher gegangen ist. Da interessiert sich keiner für - so hart es ist. Wenn ich mich recht entsinne, waren die Anforderungen an korrektes Verarbeiten in NRW auch so unpraktisch, dass sie nicht umsetzbar sind. Nicht mein Problem, ich bin immer noch in der guten alten Papierwelt unterwegs.


    Bei Schild nehme ich naiverweise an, dass dort hoffentlich ein Datenschutzbeauftragter mal drüber geschaut hat. Bei unserer Datenschutzbestimmung auf unserer Homepage hat das sicherlich keiner gemacht. Auch unsere Datenschutzvereinbarung für die Nutzung der schulischen IT durch die Schüler erscheint mir eher mit der heißen Nadel gestrickt. Eine Kollegin hat bei der Einführung von Moodle mal versucht, den Datenschutzbeauftragen des Schulträgers dazu zu bekommen, eine saubere Vereinbarung zur Verfügung zu stellen. Ist natürlich nicht geschehen. (Moodle - halte ich fast noch für kritischer als unseren Server, denn dort sind auch sämtliche Login-Daten für die Moodle-Admins einsehbar).

    • Offizieller Beitrag

    Schild - da es eine Anwendung ist, die vom Ministerium zur Verfügung gestellt wurde, gehe ich mal davon aus, dass es datenschutzrechtlich abgesegnet ist. Wäre komisch, wenn nicht. (Ich muss aber zu meiner Schande gestehen, dass ich das bisher immer automatisch vorausgesetzt habe. Ich werde es mal hinterfragen.)


    Private Daten: die neue Erklärung für die Kolleginnen macht ziemlich viel Wirbel. Verständlicherweise. Ich muss mal in Ruhe schauen, was es da genau neues gibt . Denn eine entsprechende Datenschutzerklärung gibt es ja schon seit Jahren. Die haben auch alle Kolleginnen ohne Widerstand unterschrieben. Ich kann den Widerstand der Kolleginnen und der Gewerkschaften im aktuellen Fall aber schon verstehen. Stimme da Kalle29 zu. Die Anforderungen sind für die Arbeit zuhause nur schwer 100%-ig umzusetzen.


    Pädagogisches / Verwaltungsnetz: mich wundert ehrlich gesagt, dass sich das noch nicht durchgesetzt hat, dass es in der Schule 2 verschiedene, voneinander strikt getrennte Netzwerke gibt.


    Ich halte den Datenschutz aber schon für wichtig. Auch wenn er schwierig umzusetzen ist.


    kl. gr. frosch

  • Pädagogisches / Verwaltungsnetz: mich wundert ehrlich gesagt, dass sich das noch nicht durchgesetzt hat, dass es in der Schule 2 verschiedene, voneinander strikt getrennte Netzwerke gibt.

    Er setze "noch nicht" durch "nicht mehr" und Du weißt, wie es läuft. Früher hatten wir das alles schön getrennt, heute geht das aus irgendwelchen Gründen nicht mehr und alle Kollegen wundern sich, warum sie auf dem SchiLD-Rechner auf einmal google.de öffnen können.

  • Naja, was hat sich geändert:

    • Der Schulleiter muss nun stichprobenhaft kontrollieren.
    • Das Auskunftsrecht wurde in den Erlaß übernommen.

    Alles andere galt vorher doch auch schon, wenn nicht über den alten Erlaß, dann über die entsprechenden Gesetze.

    • Offizieller Beitrag

    Danke, kodi. Ich nutze die Ferien dennoch mal, um mich da nochmal genauer einzulesen. Sitze morgen eh nutzlos in der Schule herum, während ich auf die Fensterputzer warte. Da habe ich genug Zeit und Langeweile. ;)


    kl. gr. frosch

  • Kannst du uns deine Erkenntnisse mitteilen? Ich bin auch interessiert. Zum Glück scheint die gesamte Verantwortung nicht delegierbar bei der Schulleitung zu liegen.


    Edit: Ich hab das Gefühl, dass in NRW da nicht mal das Ministerium richtig drüber nachdenkt oder das die ct (Ausgabe 5/18) Quatsch erzählt.


    Minsteriumswebseite, darunter dann ct 5/18 (bin zu blöde, das richtig zu formatieren)

    Zitat

    Beim Einsatz elektronischer Verarbeitungsprozesse werden Daten wie z. B. Protokolldaten über Loginzeiten an Lernplattformen oder die IP-Adressen angemeldeter Endgeräte erhoben bzw. generiert. Diese Daten dienen der Gewährleistung von Systemintegrität und Revisionsfähigkeit der infomationstechnischen Systeme gemäß DSG NRW3. Grundlage zur Erhebung dieser Daten ist also nicht das Schulgesetz. Die pädagogische Nutzung von Protokolldaten ist somit für die Schule unzulässig.

    Zitat

    Beim Website-Betreiber kann das beispielsweise das Interesse an der Betriebssicherheit seiner Homepage sein. Um Angriffe erkennen und abwehren zu können, dürfen sie dafür die IP-Adressen der Besucher für kurze Zeit speichern. Auf die Dauer der Speicherung, die im Falle von IP-Adressen nicht länger als 14 Tage betragen sollte, muss er seine Besucher wiederum in der Datenschutzerklärung hinweisen

    Mag sein, dass die Speicherung zulässig ist. Aber ich vermisse einen Hinweis, dass dies in der Datenschutzverordnung der Webseite hinterlegt werden muss. Außerdem fallen diese Daten ja auch an unseren pädagogischen Schulsystem an.

    2 Mal editiert, zuletzt von Kalle29 ()

  • Ich bezieh mich im folgenden nur auf den für normale Lehrer relevanten Teil (DV auf privaten Endgeräten):


    Dazu gibt es von der GEW hier findet sich eine kurze Info der GEW zum Thema.


    Wir haben den DV-Antrag wie in einer GEW-Rundmail empfohlen um diesen Passus ergänzt:

    Zitat

    Ich weise darauf hin, dass ich kein ausgebildeter IT-Spezialist bin und deshalb nicht alle geforderten Maßnahmen für mein privates Gerät bis ins Detail überblicken kann und somit jegliche persönliche Haftung ausschließe.

    Ob das im Zweifelsfall eine rechtliche Wirkung hat, ist bisher unklar.



    Was heißt der Antrag für den normalen Lehrer?

    • Keine Datenverarbeitung auf privaten Geräten ohne Genehmigung.
    • Nur die Daten verarbeiten, die explizit im Antrag stehen.
    • Eigenes Benutzerkonto für Schuldaten
    • Aktuelles Betriebssystem auf aktuellem Sicherheitsstand.
    • Firewall und Virsenscanner, sofern nicht im Betriebssystem intesgriert, wie z.B. bei Win10.
    • Bildschirmsperre einrichten
    • USB-Datenträger verschlüsseln <-- Hauptproblem in meinem Kollegium
    • Backups machen
    • Löschfristen einhalten. Am besten durch entsprechende Datenorganisation: Ordner mit Schuljahr, den man dann löschen kann (auch aus Backups).
    • Cloudbackup für Schulbenutzerkonto abstellen
    • Bei Handy/Tableteinsatz: Keine Schulkommunikation per WhatsApp und Co. Keine Schultelefonnummern (Eltern/Schüler) ins Adressbuch übernehmen, solange WhatsApp und Co darauf Zugriff haben. Cloudbackup ausstellen.


    Den DV-Antrag als Word-Datei hat dankenswerterweise ein Kollege hier im Schild-Forum bereit gestellt. Das Ministerium stellt natürlich mal wieder nur ein PDF bereit.... O_o

    • Offizieller Beitrag

    Der PhV beschwert sich auch über die neuen Vorgaben.
    Ich finde die Vorgaben einerseits in Teilen sinnvoll, andererseits aber praxisfern, weil es zu viele digital Dummies unter den Kollegen gibt.
    Mein Gerät würde - mit Ausnahme des USB-Sticks, den ich aber für die Datenübermittlung in der Regel nicht verwende - alle Vorgaben erfüllen. Mal sehen, ob unsere SL demnächst alle Kollegen zur Beantragung der DV-Erlaubnis auf privaten Geräten anweist oder ob doch die rheinische Lösung bevorzugt wird.

  • Insbesondere wäre interessant, inwieweit der bisherige Ansatz (= Ignorieren) weiterhin trägt.

    Wo kein Kläger, da kein Richter. Die Dienstanweisung ist in der Praxis nicht umsetzbar, wenn der Dienstherr keine Vollzeitstelle für die Administration schafft und nicht ausreichend Rechnerarbeitsplätze zur Verfügung stellt.

  • V.a. frage ich mich ob der SL ohne rechtliche Grundlage einfach und gegen meinen Willen Einsicht in meine privaten Rechner / digitalen Endgeräte (Laptop, PC, Smartphone, Tablet) nehmen darf (stichpunkthaft kontrollieren). Solange ich ihm freiwillig Einblick gewähre, wäre es rechtlich kein großer Akt. Wenn ich aber sage: "Ich möchte nicht, dass sie in meine Daten (sei es privat, sei es schulisch) Einblick nehmen.": Was dann?
    Schließlich darf selbst die Polizei in diese nur dann Einsicht nehmen, wenn zumindest der Verdacht einer Straftat im Raume steht und eine richterliche Genehmigung eingeholt wurde.
    Kennt sich mein SL so gut aus, dass er überprüfen kann, ob alle genannten Maßnahmen eingehalten wurden meinerseits? Darf er es - wenn er sich damit nicht auskennt - einfach unseren IT-Admin beauftragen? Der wird sich bedanken.
    Was, wenn ich mich weigere irgendeinen PC / Laptop etc. bei ihm anzugeben? (So weit sind wir zum Glück noch nicht!).
    Was, wenn ich diese Dienstanweisung unterschreibe (da ich echt davon ausgehe, dass ich die Anforderungen erfülle) und diese Anforderungen dann doch nicht erfüllt sind?
    Steht in all diesen Fällen dann eines Tages die Polizei vor meiner Türe oder muss ich dann mit dienstrechtlichen Konsequenzen rechnen? Die Polizei wird sich bedanken! Hat ja auch sonst nix zu tun! Die Bezirksregierung oder irgendwelche Gerichte, die sich möglicherweise mit solchen dienstrechtlichen Konsequenzen beschäftigen müssen, werden sich auch freuen (braucht es doch dann bei der BezReg auch IT-Spezialisten).


    Streng genommen müsste man doch dann auch sein Notenbuch in Papierform so sichern, dass dort kein unbefugter hereinschauen kann. Wie sieht das Ganze aus, wenn in der Schule zu bestimmten Terminen offen die Notenlisten im LZ herumfliegen, damit jeder Kollege die Gelegenheit hat die eingetragenen Noten zu kontrollieren und ggf. abzuändern?

  • Und wie wird so etwas in der "freien" Wirtschaft gehandhabt?


    Die Mitarbeiter bekommen von ihrer Firma dienstliche Geräte gestellt (Notebooks, Tablets, Smartphones) die von der Firma zentral datenschutzkonform administriert werden. Da braucht sich keiner Gedanken darüber machen, ob das System dem aktuellen Stand der Technik enspricht.


    Nur wir Lehrer lassen uns wieder verar...


    Noch ein Grund mehr, die alten bewährten Papierlisten zu führen und personenbezogene Schülerdaten nur an den schulischen Geräten zu verarbeiten. Wenn dann etwas schiefgeht, ist die Schule schuld und nicht der einzelne Kollege.


    Gruß !

    Mikael - Experte für das Lehren und Lernen

    • Offizieller Beitrag

    @Mikael


    Das wäre bei uns in der Schule mit sage und schreibe drei für alle Kollegen zugänglichen Verwaltungsrechnern logistisch nicht mehr machbar.


    Für mich stellt nebenbei die Abkehr vom Papier eine ungeheure Arbeitserleichterung dar - vor allem dann, wenn man mit Software arbeitet, die Notenverwaltung, Kalender und Unterrichtsvorbereitung mit Office-Anbindung kann.
    Letztlich wird es sowieso nur so weiterlaufen wie bisher - wo kein Kläger, da kein Richter.

  • Ich führe meine Notenlisten und schülerbezogenen Notizen nur in Papierform, also ganz datenschutzkonform. Alle halbe Jahr gebe ich dann die Zeugnisnoten in die schulischen PCs ein.


    Deshalb brauche ich auch keinen Wisch zu unterschreiben, der dem Dienstherrn Zugriff auf meine privaten PCs erlauben würde.


    Gruß !

    Mikael - Experte für das Lehren und Lernen

  • Ich bringe das ganze noch mal nach oben. Viel Presse, einige Blogs und Websites haben (temporär) zugemacht, über persönliche Umstellungen von Lehrern habe ich wenig gelesen (und wenn, dann idR Rants über die Rückständigkeit von Datenschutz)


    Wie sieht's an eurer Schule inzwischen aus?


    - Habt ihr offiziell (Konferenz o.Ä.) drüber gesprochen? Mehr als 3min?
    - Wurdet ihr "gezwungen", euch nahegelegt, euch angeboten eine Erklärung zum datenschutzkonformen Gebrauch privater IT zu unterschreiben? Habt ihr's getan?
    - Habt ihr persönlich im schulischen Umgang mit Daten etwas geändert?
    - Sitzt ihr/ eure Schulleitung das einfach aus? (So wie einige hier in der Umgebung ....)

    --

    Keine Daten, keine Quellen? Kein Interesse.

  • Bei uns (Nds) gab es Informationen zur neuen DSGVO im Rahmen einer Dienstbesprechung.


    Einen Wisch, dass ich schulische, personenbezogene Daten auf meinen privaten PCs verarbeiten darf, habe ich noch nie unterschrieben, da ich keine schulischen, personenbezogenen Daten auf meinen privaten PCs verarbeite.


    Wenn der Dienstherr will, dass ich schulische, personenbezogene Daten verarbeite, soll er mir erst einmal einen Dienst-PC stellen und diesen auch datenschutzkonform administrieren, so wie in der "freien" Wirtschaft, dem großen Vorbild für uns "faule Säcke", üblich.


    Gruß !

    Mikael - Experte für das Lehren und Lernen

    2 Mal editiert, zuletzt von Mikael ()

Werbung