404

Page not found.

»Ja, ich will« – die datenschutzrechtliche Einwilligung im schulischen Kontext

Hinweise zu den Anforderungen der Datenschutz-Grundverordnung
(DS-GVO)

Quelle: SchulVerwaltung Niedersachsen 1/2024, S. 26-28. Wolters Kluwer Deutschland, Hürth
Wir bieten Ihnen hier mit freundlicher Genehmigung des Verlages einen jüngst erschienenen Artikel, verfasst von Julia Lahme (RLSB Osnabrück), zum Download an.

Im schulischen Alltag werden eine Vielzahl von personenbezogenen Daten der Schülerinnen und Schüler sowie der Erziehungsberechtigten verarbeitet. Hierzu bedarf es einer rechtlichen Grundlage. Der nachfolgende Beitrag setzt sich mit der Frage auseinander, wie die vorgenannte Datenverarbeitung legitimiert werden kann. Dabei wird der Schwerpunkt auf die datenschutzrechtliche Einwilligung gelegt.

Datenverarbeitung im Sekundentakt
Die Verarbeitung personenbezogener Daten ist unzulässig. Eine gewagte Behauptung, findet doch genau dies im Sekundentakt in einer schier unvorstellbaren Menge auf der gesamten
Welt statt, sei es beispielsweise bei der Nutzung von Social Media, dem Online-Banking oder dem Besuch im kameraüberwachten Supermarkt.

Aber auch im schulischen Kontext, um den es in dem vorliegenden Beitrag selbstverständlich gehen soll, ist die Verarbeitung personenbezogener Daten schlichtweg nicht wegzudenken, denn die Erfüllung des Bildungsauftrags ist ohne den Einbezug persönlicher Informationen der Schülerinnen und Schüler sowie der Erziehungsberechtigten gänzlich unmöglich. Man denke beispielsweise an die grundlegendste Aufgabe der Schule: Die Erteilung von Unterricht. Bereits hier werden durch die Kommunikation innerhalb der Klassen- oder Kursgemeinschaft und der Lehrkraft eine Vielzahl von personenbezogenen Daten benötigt – bspw. der Name, die Stimme, das Leistungsverhalten usw.

Aber wie passt dies alles mit der eingangs aufgestellten These zusammen? Verstoßen die Schulen etwa bei der Erfüllung ihrer tagtäglichen Aufgaben ununterbrochen gegen rechtliche Bestimmungen? Die Antwort drängt sich bereits auf: Natürlich nicht!

Verbot mit Erlaubnisvorbehalt
Das Verbot der Verarbeitung personenbezogener Daten gilt nicht uneingeschränkt. Es handelt sich hierbei vielmehr um ein sogenanntes »Verbot mit Erlaubnisvorbehalt«. Dies bedeutet, dass personenbezogene Daten grundsätzlich nicht verarbeitet werden dürfen, es sei denn, es gibt hierfür eine rechtliche Grundlage. Diese rechtliche Grundlage kann primär in einer Rechtsvorschrift bestehen, die die konkrete Datenverarbeitung erlaubt oder – sofern es eine solche Rechtsvorschrift eben nicht gibt – in der vorab erteilten Einwilligung der betroffenen Person.

§ 31 Niedersächsisches Schulgesetz
Dass Schule nicht ohne die Verarbeitung personenbezogener Daten der Schülerinnen und Schüler sowie der Erziehungsberechtigten funktionieren kann, ist auch dem Gesetzgeber bewusst. Die zentrale Erlaubnisnorm für die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern sowie deren Erziehungsberechtigten durch öffentliche Schulen findet sich daher seit 1993 in § 31 Niedersächsisches Schulgesetz (NSchG). 1 Diese Vorschrift deckt hierbei grundsätzlich sämtliche für Schulen relevanten Konstellationen ab, in denen es notwendigerweise zu einer Datenverarbeitung kommen muss. Die mit dem eingangs erwähn-ten Unterricht bzw. der Leistungsbewertung einhergehende Datenverarbeitung ist demnach von § 31 Abs. 1 Satz 1 Nr. 1 und 2 NSchG gedeckt, denn sie ist für die Erfüllung des Bildungsauftrages der Schule sowie für die Erziehung und Förderung der Schülerinnen und Schüler zwingend notwendig.

Die zwingende Notwendigkeit ist im Zusammenhang von § 31 NSchG ein wichtiges Stichwort, denn durch diese Vorschrift können nur Sachverhalte geregelt werden, in denen die Datenverarbeitung für die Schulen unerlässlich ist. Dies geht insbesondere auf den im Datenschutzrecht geltenden Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) zurück, nach welchem personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Ist kein Tatbestand des § 31 NSchG erfüllt bzw. ist die Datenverarbeitung zwar nützlich, aber gerade nicht zu den in dieser Vorschrift genannten Zwecken notwendig, so bedarf es in der Regel einer Einwilligung der betroffenen Person in die Datenverarbeitung.

Die datenschutzrechtliche Einwilligung
Gemäß Art. 6 Abs. 1 lit. a) DS-GVO ist eine Datenverarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Die Definition einer Einwilligung findet sich hingegen in Art. 4 Nr. 11 DS-GVO. Hiernach ist eine Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Aus den vorgenannten Normen lassen sich somit bereits die grundlegenden Anforderungen an eine rechtswirksame Einwilligung gut ableiten:

Es bedarf zunächst einer unmissverständlich abgegebenen Erklärung oder einer eindeutigen bestätigenden Handlung. In diesem Zusammenhang ist Art. 7 Abs. 1 DS-GVO zu beachten. Dieser schreibt vor, dass der Verantwortliche (also in diesem Fall die Schule) zum Nachweis in der Lage sein muss, dass die betreffende Person in die Verarbeitung ihrer Daten eingewilligt hat (so auch Erwägungsgrund 42 zur DS-GVO). Aus diesem Grund ist es daher in jedem Fall empfehlenswert, Einwilligungen schriftlich einzuholen, auch wenn dies von der DS-GVO nicht zwingend vorgeschrieben wird.

Die Einwilligung muss informiert genug und für einen bestimmten Fall erfolgen. Dies bedeutet, dass die betroffene Person vor Abgabe ihrer Einwilligung konkret wissen muss, welche ihrer Daten von wem zu welchem bestimmten Zweck und auf welche Art und Weise verarbeitet werden (man beachte insoweit auch die Informationspflichten nach Art. 13 DS-GVO). Der Verarbeitungszweck ist konkret festzulegen. »Pauschaleinwilligungen« sind aus rechtlicher Sicht äußerst risikobehaftet und im Zweifel unwirksam. Entsprechend Art. 7 Abs. 3 DS-GVO ist die betroffene Person darauf hinzuweisen, dass sie ihre Einwilligung jederzeit widerrufen kann. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt (Art. 7 Abs. 3 Satz 2 DS-GVO). Es ist darauf zu achten, dass eine klare und einfache Sprache genutzt wird (siehe Erwägungsgrund 32 zur DS-GVO). Wie eingangs empfohlen, sollten Einwilligungen immer schriftlich eingeholt werden. Es bietet sich daher nicht nur an, sondern ist auch dringend zu empfehlen, die vorgenannten erforderlichen Informationen für die betroffene Person diesem Einwilligungsschreiben in der gebotenen Kürze, aber in ausreichend verständlicher Art und Weise voranzustellen.

Die Einwilligung ist vor der jeweiligen Datenverarbeitung einzuholen. Eine nachträglich eingeholte Einwilligung reicht grundsätzlich nicht aus, um eine bereits vorgenommene Datenverarbeitung zu legitimieren.

Bei minderjährigen Kindern stellt sich die Frage, ob diese die Einwilligung selbst abgeben können oder ob eine solche durch die Erziehungsberechtigten erfolgen muss. Gemäß Erwägungsgrund 38 zur DS-GVO verdienen Kinder bzgl. ihrer personenbezogenen Daten besonderen Schutz, da sie sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei deren Verarbeitung möglicherweise weniger bewusst sind. Entscheidend ist daher im Einzelfall, ob bei dem betreffenden Kind bereits die nötige Einsichtsfähigkeit gegeben ist, die Konsequenzen seines Handels zu überblicken. Eine starre Altersgrenze gibt es hierbei grund-sätzlich nicht (anders bei Diensten der Informationsgesellschaft wie beispielsweise Sozialen Netzwerken, siehe Art. 8 DS-GVO). I.d.R. dürfte eine gewisse Einsichtsfähigkeit ab einem Alter von 14 Jahren angenommen werden können. Der rechtssichere Weg dürfte es daher sein, bei minderjährigen Schülerinnen und Schülern die Einwilligung der Erziehungsberechtigten bzw. ab einem Alter von 14 Jahren zusätzlich zu der Einwilligung der Eltern auch die Einwilligung des Kindes einzuholen.

Ferner ist eine Einwilligung nur rechtswirksam, wenn sie freiwillig erteilt wird. Erwägungsgrund 42 der DS-GVO führt hierzu aus: »Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Per-son] ihre Einwilligung freiwillig ge-geben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.« Auf die Freiwilligkeit ist im schulischen Zusammenhang besonderes Augenmerk zu legen, da die Schülerinnen und Schüler bzw. Erziehungsberechtigten im Kontext Schule in einem gewissen Über-/Unterordnungsverhältnis stehen. Den Einwilligenden ist daher eindrücklich zu kommunizieren, dass keine Nachteile erfolgen, sollte die Einwilligung nicht erteilt werden. Dieser Hinweis sollte auch in der zu unterzeichnenden Einwilligungserklärung noch einmal konkret aufgenommen werden (»Diese Einwilligung ist freiwillig. Bei Nichterteilung entstehen Ihnen bzw. Ihrem Kind keine Nachteile.«) Auch der Eindruck etwaiger Gruppenzwänge ist tunlichst zu vermeiden.

Im Hinblick auf die Geltungsdauer einer Einwilligung ist zu beachten, dass diese grundsätzlich bis zu ihrem Widerruf gilt, solange kein bestimmter Zeitraum vereinbart worden ist. Um zu vermeiden, dass einmal erteilte Einwilligungen bei den Schülerinnen und Schülern bzw. Eltern in Vergessenheit geraten und so zu Disputen führen, bietet es sich an, diese turnusmäßig (wie beispielsweise zu Beginn eines Schuljahres) zu erneuern oder zumindest mittels Elternbrief daran zu erinnern, dass die Einwilligung in der Vergangenheit erteilt worden ist und bis zu ihrem Widerruf weiterhin gilt.

Im schulischen Kontext spielen Einwilligungen insbesondere bei der Anfertigung und Veröffentlichung von Fotoaufnahmen durch die Schule selbst eine Rolle (etwaige urheberrechtliche Fragestellungen sollen allerdings nicht Teil dieses Beitrags sein). Sollte in diesem Zusammenhang bspw. auch der Name der betreffenden Schülerin:des betreffenden Schülers angegeben werden, so bedarf auch dies der Einwilligung.

Weitere Fälle, in denen im Kontext Schule eine Einwilligung erforderlich sein dürfte: Die Nutzung einer bestimmten digitalen Kommunikationsplattform zum Austausch mit den Erziehungsberechtigten, die Weitergabe von Kontaktdaten der Eltern an den schulischen Förderverein oder die Einsichtnahme in die Schülerakte durch die Schulbegleitung.

Fazit
§ 31 NSchG ist die zentrale datenschutzrechtliche Erlaubnisnorm für öffentliche Schulen. Sachverhalte, die nicht von dieser Norm gedeckt sind, bedürfen einer Einwilligung. Diese sollte schriftlich eingeholt werden. Hierbei ist die betroffene Person über die beabsichtigte Datenverarbeitung ausreichend zu informieren sowie auf deren Freiwilligkeit und Wiederrufbarkeit hinzuweisen. Bei minderjährigen Schülerinnen und Schülern ist ab dem 14. Lebensjahr neben der Einwilligung der Erziehungsberechtigten auch die Einwilligung des Kindes einzuholen.
Bei weiteren Fragen zu dieser Thematik kontaktieren Sie gerne die für Sie zuständige Dezernentin oder den für Sie zuständigen Dezernenten für Datenschutz der Regionalen Landes-ämter für Schule und Bildung. „


Literatur
Im Bildungsportal Niedersachsen finden Sie eine detaillierte (grafische) Darstellung der Befugnisse, die § 31 NSchG den Schulen verleiht sowie Muster für die Einwilligung in die Anfertigung und Veröffentlichung von Fotoaufnahmen.


Fußnote
1 Die zentrale Erlaubnisnorm für die Verarbeitung personenbezogener Daten von Lehrkräften durch die Schule befindet sich hingegen in § 88 Niedersächsisches Beamtengesetz (ggf. i.V.m. § 12 Niedersächsisches Datenschutzgesetz) und ist ausdrücklich nicht Gegenstand dieses Artikels.

 

Quelle: NIBIS Portal Datenschutz »Ja, ich will« – die datenschutzrechtliche Einwilligung im schulischen Kontext

Online-Fortbildungsangebot “Datenschutz für Datenschutzbeauftragte an Schulen” (OS, GÖ)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 16.01.2024 (Termin 1 von insgesamt 7!)
Uhrzeit: 16.00 bis 17.30 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=143008

Beschreibung:

Dieses Angebot richtet sich an Datenschutzbeauftragte und Interessierte in Schulen.

Ziel dieser Reihe ist es Grundlagenwissen zu vermitteln und Hilfen bei der Arbeit im schulischen Alltag zur Verfügung zu stellen.

Die Fortbildung ist als Online-Fortbildung mit 6 Modulen konzipiert.  Der Kurszeitraum umfasst etwa 5 Monate. Als Teilnehmerinnen und Teilnehmer arbeiten Sie auf unserer Moodle-Plattform an den Modulen. Dabei werden Sie vom Moderatoren-Team der Medienberatung des NLQ begleitet und können sich zugleich mit anderen Teilnehmenden austauschen.

Die sechs Online-Lerneinheiten dauern zwischen zwei und vier Wochen (exklusive Ferienzeiten). Sie werden mit den zentralen Aspekten des schulischen Datenschutzes vertraut gemacht. Dabei spielt neben dem Kennenlernen der gesetzlichen Vorgaben die Umsetzung im schulischen Alltag eine zentrale Rolle: Ausgehend von praxisnahen und für Sie aufbereiteten Materialien zielen die zu bearbeitenden Aufgabenstellungen auf konkrete Handlungssituationen ab. Im Verlauf der Fortbildung erstellen Sie unter anderem wichtige Dokumente für den Datenschutz an Ihrer Schule oder überprüfen die schon vorhandenen Unterlagen.

Module:

• Warum Datenschutz?
• Rechtliche Grundlagen
• Schulische Publikationen
• Schul-IT
• Mobiles Lernen
• Urheberrecht

Ein Angebot des Netzwerks Medienberatung

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Datenschutz für Datenschutzbeauftragte an Schulen” (OS, GÖ)

Online-Fortbildungsangebot “Datenschutz an Schulen” (STD)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 14.09.2023 (Termin 1 von insgesamt 6!)
Uhrzeit: 15.00 bis 16.00 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=142867

Beschreibung:

Dieses Angebot richtet sich an Datenschutzbeauftragte und Interessierte in Schulen.

Ziel dieser Reihe ist es Grundlagenwissen zu vermitteln und Hilfen bei der Arbeit im schulischen Alltag zur Verfügung zu stellen.

Die Fortbildung ist auf 6 Onlineveranstaltungen(45-minütig) aufgeteilt, die alle besucht werden sollen. Zwischen zwei Terminen liegen zusätzliche Selbstlernphasen mit Material und Fallbeispielen, die der Vertiefung dienen.

Inhalte:
• Grundlagen des Datenschutzes / Europäische Datenschutzgrundverordnung (DS-GVO)
• Aufgaben des schulischen Datenschutzbeauftragten
• Dienstliche Daten auf privaten Medien und Geräten
• Nutzung von Cloud Angeboten, Lernplattformen, Apps etc.
• Elektronisches Klassenbuch
• Tablet-PCs / Smartphones / schülereigene Endgeräte

Module:

Do 08.02.2024 15 Uhr Grundlagen DSGVO, §31 NSchG

Do 22.02.2024 15 Uhr Erste Schritte DSGVO

Do 14.03.2024 15 Uhr TOM, Auftragsverarbeitung

Do 18.04.2024 15 Uhr Apps, Cloud Angebote

Do 16.05.2024 15 Uhr DS Folgenabschätzung, LMS, Klassenbuch

Do 30.05.2024 15 Uhr Urheber-/Nutzungsrecht

Ein Angebot des Netzwerk Medienberatung Mitte Nord, RKMN, RK-MN

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Datenschutz an Schulen” (STD)

Online-Fortbildungsangebot “Best Practice Selbstdatenschutz – Was habe ich zu verbergen und wie mache ich das?” (GÖ)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 13.12.2023
Uhrzeit: 16.00 bis 17.00 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=142655

Ausgehend von einem kompakten Überblick, was wir als Nutzerinnen und Nutzer digitaler (Internet-)Dienste zu verbergen haben, werden Grundlagen des Selbstdatenschutzes bzw. der digitalen Selbstverteidigung vorgestellt: Mit welchen Techniken bzw. Strategien lässt es sich möglichst sicher browsen, kommunizieren, Passwörter verwalten und vieles mehr? Dabei soll es auch darum gehen, welche Lösungsansätze im Spannungsfeld von Sicherheit und Nutzbarkeit bzw. Komfort realistisch sein können.

Neben dem orientierenden Input zu diesen Aspekten besteht Gelegenheit für Fragen und den gegenseitigen Austausch.

Es werden keine Vorkenntnisse benötigt, das Angebot richtet sich an „ganz normale Nutzerinnen und Nutzer“. Die Inhalte sind als digitale Allgemeinbildung zu verstehen. Die Frage, wie sich diese im Unterricht vermitteln lässt, wird nur am Rande thematisiert – im Vordergrund stehen zunächst Kenntnisse und Kompetenzen der Teilnehmenden. Gleichwohl lassen sich die behandelten Inhalte auch verwenden, um insbesondere den Kompetenzbereich 4 des Orientierungsrahmens Medienbildung „Schützen und sicher Agieren“ im eigenen Unterricht zu stärken.

### WICHTIGER HINWEIS ZUR DURCHFÜHRUNG ###

Der erste Teil der Inhalte liegt als Video mit dem Titel „Warum Datenschutz? Was haben wir eigentlich zu verbergen?“ vor. Es hat eine Länge von gut 20 Minuten. Sie erhalten rechtzeitig vor der Veranstaltung einen Link zu dem Video, um dieses im Vorfeld zu sehen und ggf. Fragen zu sammeln.

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Best Practice Selbstdatenschutz – Was habe ich zu verbergen und wie mache ich das?” (GÖ)

Urheberrecht in Schulen (BMBF)

Ein Überblick für Lehrkräfte sowie Schülerinnen und Schüler (07/2023)

Darf ich im Schulunterricht ein Video zeigen oder Kopien aus einem urheberrechtlich geschützten Werk in der Klasse verteilen? Diese und andere Fragen greift die aktualisierte und vollständig überarbeitete Handreichung “Urheberrecht in Schulen” auf und beantwortet praxisnah und verständlich typische Fragen des Urheberrechts für den Schulalltag.

https://www.bmbf.de/SharedDocs/Publikationen/de/bmbf/1/31616_Urheberrecht_in_Schulen.html

 

Quelle: NIBIS Portal Datenschutz Urheberrecht in Schulen (BMBF)

LfD: Einsatz von Microsoft 365: Praxis-Tipps für Verträge mit Microsoft

Der Landesbeauftragte für den Datenschutz Niedersachsen, Pressemitteilung Nr. 08/2023 vom 22. September 2023

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von „Microsoft 365″ erarbeitet. Diese hat der LfD heute auf seiner Homepage veröffentlicht.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365″ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Products and Services Data Protection Addendum, kurz „DPA”) nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Hierbei hatte die DSK bestimmte Problemfelder des DPA betrachtet und erläutert.

In Anknüpfung an diese Problemfelder haben mehrere Datenschutzaufsichtsbehörden gemeinsam eine Handreichung für die Verantwortlichen erarbeitet, um diese dabei zu unterstützen, auf entsprechende vertragliche Änderungen hinzuwirken.

So sind laut der Handreichung etwa die im DPA aufgeführten Löschfristen vertraglich anzupassen, ferner werden in der Handreichung die Anforderungen an die Information über den Einsatz von Unterauftragsverarbeitern aufgeführt. Ein weiterer wichtiger Aspekt der Handreichung ist der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken.

Ausgenommen von der Handreichung sind auf Grund der zum Erstellungszeitpunkt noch nicht abgeschlossenen Bewertung die Themen internationaler Datentransfer und extraterritorialer Anwendungsbereich von US-Gesetzen. Zudem ersetzt die Umsetzung der in der Handreichung enthaltenen Empfehlungen insbesondere nicht die datenschutzrechtliche Bewertung sämtlicher technischer Funktionen von „Microsoft 365″, die dem Verantwortlichen potenziell zur Verfügung gestellt werden. Eine solche Bewertung muss der Verantwortliche in Abhängigkeit davon vornehmen, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten eingesetzt werden sollen.

Die Handreichung kann hier abgerufen werden:

Handreichung Microsoft 365 (PDF)

Hintergrund:

Bereits im September 2020 kam die Bewertung der DSK hinsichtlich der Vorgängerregelungen des DPA zu dem Ergebnis, „dass auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich” sei. Dem folgten weitere Gespräche zwischen Microsoft und der Arbeitsgruppe „Microsoft-Onlinedienste” der DSK, die zum Beschluss aus dem November 2022 (s.o.) führten.

Der Abschlussbericht der Arbeitsgruppe „Microsoft-Onlinedienste” der DSK und weitere Beschlüsse und Festlegungen der DSK sind auf der Webseite des LfD Niedersachsen verfügbar.

Herausgeber: Der Landesbeauftragte für den Datenschutz Niedersachsen

 

Diese Presseinformation im Portal des Landes Niedersachsen: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/einsatz-von-microsoft-365-praxis-tipps-fur-vertrage-mit-microsoft-225722.html

Quelle: NIBIS Portal Datenschutz LfD: Einsatz von Microsoft 365: Praxis-Tipps für Verträge mit Microsoft

Einsatz von Microsoft 365 im öffentlichen Bereich (LfD)

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, 28. Tätigkeitsbericht 2022, S. 119; online verfügbar unter: https://lfd.niedersachsen.de/startseite/infothek/tatigkeitsberichte/2022/28-tatigkeitsbericht-2022-223047.html (Abrufdatum: 2023-06-21)

Wie bereits im letzten Berichtszeitraum (Tätigkeitsbericht 2021, Kapitel E.6, S. 43) macht der Einsatz von Microsoft 365 weiterhin Schlagzeilen und ist häufig Gegenstand von Beratungs-anfragen sowohl im nicht-öffentlichen als auch im öffentlichen Bereich.

Was hat sich im Berichtszeitraum getan?

Die Datenschutzkonferenz (DSK) hat ihre Gespräche mit Microsoft fortgeführt. Dabei ging es sowohl um die Mängel des Datenschutznachtrags von Microsoft („Data Protection Addendum – DPA“) als auch die Auswirkungen des Schrems II-Urteils des Europäischen Gerichtshofs auf den internationalen Datenverkehr. Auf der Grundlage der Befunde, die die DSK bereits im Jahr 2020 veröffentlichte, wurden umfangreiche, weitere Verhandlungsrunden mit Microsoft zu den aufgezeigten Defiziten durchgeführt. Der Abschlussbericht der DSK vom 02.11.2022 hat deutlich gezeigt, dass Microsoft auch die im diesem Berichtszeitraum geführten Gespräche leider nicht dazu genutzt hat, die Mängel des DPA in der am 15.9.2022 veröffentlichten Neufassung vollständig zu beheben. Wie die DSK in ihrer Festlegung vom 25.11.2022 festgestellt hat, kann der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten DPA vom 15. September 2022 nicht geführt werden. Damit können Verantwortliche durch den Abschluss der Standardvertragsunter-
lagen von Microsoft ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Und jetzt?

Ich werde mich im kommenden Berichtszeitraum sowohl mit dem zum 01.01.2023 aktualisier-ten DPA als auch mit den Entwicklungen im Bereich des internationalen Datenverkehrs befas-sen und den Verantwortlichen im öffentlichen Bereich auch beratend zur Seite stehen. Die Verantwortlichen sehe ich weiterhin in der Pflicht, die Datenschutzkonformität als unabding-bares Kriterium im Rahmen der IT-Beschaffungsprozesse einzusetzen.

Quelle: NIBIS Portal Datenschutz Einsatz von Microsoft 365 im öffentlichen Bereich (LfD)

Update für das Standard-Datenschutzmodell (LfD)

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, 28. Tätigkeitsbericht 2022, S. 44f. online verfügbar unter: https://lfd.niedersachsen.de/startseite/infothek/tatigkeitsberichte/2022/28-tatigkeitsbericht-2022-223047.html

Am 24.11.2022 stimmte die Konferenz der unabhängigen Datenschutzaufsichtsbehör-
den des Bundes und der Länder (DSK) der aktuellen Version 3.0 des Standard-Daten-
schutzmodells (SDM) zu. Es wurden die Bedeutung von „Verarbeitung“ und den damit
verbunden „Risiken“ herausgearbeitet.

Mit dem SDM stellt die DSK eine Methode zur systematischen Herleitung von technischen und
organisatorischen Maßnahmen (TOM) bei der Verarbeitung personenbezogener Daten aus den
rechtlichen Vorgaben der DS-GVO zur Verfügung. Das SDM wird gemeinschaftlich von den deut-
schen Datenschutzaufsichtsbehörden weiterentwickelt und liegt jetzt in einer überarbeiteten Fassung vor. In der Vergangenheit habe ich immer wieder die aktuellen Entwicklungen in meinen Tätigkeitsberichten dargestellt.

Kurzlink: https://t1p.de/SDM3

In der aktuellen Fassung des SDM wurde der neue Abschnitt D 2.1 „Aufbereitung einer Verarbei-
tungstätigkeit in Vorgänge oder in Phasen eines Datenlebenszyklus“ aufgenommen. Ausgangs-
punkt ist dabei die Begriffsbestimmung des Artikels 4 Abs. 2 der DS-GVO zur „Verarbeitung“,
die aus bis zu 14 „elementaren Verarbeitungsschritten“ bestehen kann. Diese elementaren Ver-
arbeitungsschritte werden nun in neun Gruppen von Verarbeitungsvorgängen unterteilt, die zum besseren Verständnis wiederum in vier „Phasen der Datenverarbeitung“ gegliedert sind. Die Zuordnung der elementaren Verarbeitungsvorgänge zu Gruppen oder Phasen erfolgt auf Basis datenschutzrechtlicher Anforderungen, die erfahrungsgemäß ähnlich sind.

Mit dem Abschnitt D 2.5 wird ein „Überblick über die Modellierungstechniken des SDM (,SDM-
Würfel‘)“eingeführt. Dazu werden die rechtlichen Anforderungen der DS-GVO in sieben Ge-
währleistungsziele „übersetzt“, die es dem Verantwortlichen ermöglichen sollen, eine DS-GVO-
konforme Verarbeitung personenbezogener Daten (pb Daten) zu gewährleisten.

Die sieben Gewährleistungsziele des SDM sind:
• Datenminimierung (übergreifende Anforderung),
• Verfügbarkeit,
• Integrität,
• Vertraulichkeit,
• Nichtverkettung,
• Transparenz und
• Intervenierbarkeit.

Auf dieser Basis können die Risiken analysiert und angemessene technische und organisatorische Maßnahmen ausgewählt werden, die das Risiko der Verarbeitung so gering wie möglich halten.
Der „SDM Würfel“ unterstützt so den Anwender dabei, die Risiken auch in technisch komplexen
Verarbeitungssituationen vollständig erfassen, analysieren und bewerten zu können.

Quelle: NIBIS Portal Datenschutz Update für das Standard-Datenschutzmodell (LfD)

Online-Fortbildungsangebot “Rechtliche Grundlagen des Datenschutzes an Schulen” (H)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 17.05.2023
Uhrzeit: 16.00 bis 18.00 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=137153

Beschreibung:

In dieser Fortbildung werden Grundkenntnisse über allgemeine Bestimmungen des Datenschutzrechts, über das Niedersächsische Datenschutzgesetz und die Europäische Datenschutzgrundverordnung (DS-GVO) sowie über die besonderen Datenschutzbestimmungen an Schulen vermittelt.

Die Online-Fortbildung wird mit dem Videokonferenztool BigBlueButton durchgeführt. Die Zugangsdaten erhalten Sie wenige Tage vor der Fortbildung.

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Rechtliche Grundlagen des Datenschutzes an Schulen” (H)

Online-Fortbildungsangebot “Datenschutz für Einsteiger*innen” (UE)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 07.11.2023
Uhrzeit: 16.00 bis 18.00 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=138548

Beschreibung:

Es soll in die Datenschutzproblematik an Schulen eingeführt werden, geeignete Lösungswege werden aufgezeigt. Gerade unter Beachtung der DS-GVO, die am 25. Mai 2018 in Kraft getreten ist, kommt es vielfach zu einem Anpassungsbedarf des schulischen Datenschutzes.

Exemplarisch soll an den Themen: Wo trifft Datenschutz auf schulische Belange, Informationspflicht, Verzeichnis der Verarbeitungstätigkeit und Auftragsdatenverarbeitung ein Grundverständnis für den schulischen Datenschutz und daraus folgende notwendige Handlungen erlangt werden.

Diese Veranstaltung ist für Datenschutzeinsteiger*innen gedacht!

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Datenschutz für Einsteiger*innen” (UE)