Cybersecurity Navigator Login

SchulDSV - Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen

SchulDSV - Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen

Sektor Staat und Verwaltung
Branche Regierung u. Verwaltung
Ebene Landesrecht
Bundesland Hamburg
Rechtsakt Untergesetzlich

  • Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen
    SchulDSV
    §§ 3; 8 V 1; 10 II; 19 III, IV; 22

     

    § 3 Sicherung personenbezogener Daten in der Schule

    (1) Der Schulbetrieb ist so zu gestalten, dass außer der Schulleitung und dem Schulsekretariat nur die jeweils für die Schülerin oder den Schüler zuständigen Lehrkräfte Zugang zu den personenbezogenen Unterlagen haben.

    (2) Soweit Schulen Daten von Schülerinnen und Schülern sowie von ihren Sorge- und Erziehungsberechtigten nach § 1 Absätze 1 und 3 automatisiert verarbeiten dürfen, ist der Einsatz automatisierter Datenverarbeitungsgeräte nur zulässig, wenn für eine sichere Trennung der in der schulinternen Verwaltung verwendeten Daten von Daten, die im Unterricht verwendet werden, gesorgt ist. Für die Einhaltung der Bestimmungen über Maßnahmen zur Datensicherung bei der automatisierten Verarbeitung personenbezogener Daten in der Schule nach § 8 Absatz 2 HmbDSG ist die Schulleitung verantwortlich. Vor der Einführung und vor wesentlichen Änderungen eines Verfahrens zur automatisierten Datenverarbeitung in einer Schule ist die Schulkonferenz oder der Schulvorstand über das vorgesehene Datenverarbeitungskonzept zu unterrichten.

    (3) Soweit die Daten von Schülerinnen und Schülern sowie ihren Sorge- und Erziehungsberechtigten automatisiert gespeichert sind, dürfen sie nur gesondert gespeichert werden, wenn die Schülerin oder der Schüler die Schule seit mehr als drei Jahren verlassen hat.

    (4) Einzelheiten der Verwendung privater Datenverarbeitungsgeräte durch Lehrkräfte zur Erfüllung ihrer dienstlichen Aufgaben regelt die zuständige Behörde durch Verwaltungsvorschrift. Die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist zu beteiligen.

     

    § 8 Datenverarbeitung durch die Schulen und die zuständige Behörde

    (1) Das Zentrale Schülerregister besteht aus einem automatisiert geführten einheitlichen Bestand von Daten. Es wird mit Hilfe von Ordnungsmerkmalen geführt. Diese dürfen keine personenbezogenen Daten enthalten.

    (2) Die personenbezogenen Daten des Zentralen Schülerregisters werden von den Schulen, die der staatlichen Schulaufsicht unterliegen und der zuständigen Behörde, einschließlich der für die Untersuchungen nach § 34 HmbSG zuständigen Behörde, nach Maßgabe dieser Verordnung und sonstiger Rechtsvorschriften verarbeitet. Dabei ist die Datenverarbeitung der Schulen auf die Daten der Personen begrenzt, die ihre Schule besuchen, besucht haben, besuchen wollen oder sollen.

    (3) Den Schulen, die der staatlichen Schulaufsicht unterliegen und der zuständigen Behörde sind Zugriffe auf den einheitlichen Datenbestand gestattet, um diesen zu berichtigen, zu ergänzen und Löschungen vorzunehmen, wenn durch Erklärung der Schülerin oder des Schülers oder eines Sorgeberechtigten oder Erziehungsberechtigten oder durch Mitteilung einer anderen Behörde oder Schule bekannt wird, dass sich die in § 7 genannten personenbezogenen Daten geändert haben.

    (4) Die Schulen und die zuständige Behörde sind zur Berichtigung und Ergänzung verpflichtet, wenn sie feststellen, dass gespeicherte Daten unrichtig oder unvollständig sind. Die gespeicherten Daten eines Kindes, einer oder eines Jugendlichen oder einer Schülerin oder eines Schülers werden zwei Jahre nach Wegfall der Voraussetzungen für die Aufnahme in das Zentrale Schülerregister gemäß § 7 gelöscht.

    (5) Die Schulen und die zuständige Behörde sind jeweils für die von ihnen verarbeiteten Daten verantwortlich. Die zuständige Behörde trägt für das Zentrale Schülerregister die datenschutzrechtliche Gesamtverantwortung gegenüber den Betroffenen. Sie hat die dazu erforderlichen technischen und organisatorischen Maßnahmen gemäß § 8 HmbDSG zu gewährleisten.

     

    § 10 Automatisierter Abruf durch andere Behörden

    (1) Durch automatisierten Abruf aus dem Zentralen Schülerregister dürfen zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nachstehende personenbezogene Daten übermittelt werden:

    1. den Polizeivollzugsdienststellen:

    a) Familiennamen,

    b) Vornamen,

    c) frühere Vor- und Familiennamen,

    d) Tag und Ort der Geburt,

    e) Geschlecht,

    f) Staatsangehörigkeit,

    g) gegenwärtige Anschriften,

    h) Telefonverbindungen,

    i) Angaben zu den Sorgeberechtigten (Namen, Anschrift, Telefonverbindung),

    j) Angaben zur Stammschule (Name, Anschrift),

    k) Angabe, ob eine andauernde Schulpflichtverletzung vorliegt,

    2. den Fachämter für Jugend- und Familienhilfe der Bezirke und der zuständigen Dienststelle in der Behörde für Arbeit, Gesundheit, Soziales, Familie und Integration:

    a) Familiennamen,

    b) Vornamen,

    c) Tag und Ort der Geburt,

    d) gegenwärtige Anschriften,

    e) Angaben zu den Sorgeberechtigten (Namen, Anschriften, Telefonverbindung),

    f) Angaben zur Stammschule (Name, Anschrift),

    g) Angabe, ob eine andauernde Schulpflichtverletzung vorliegt,

    3. den Fachämtern für Gesundheit der Bezirke:

    a) Familiennamen,

    b) Vornamen,

    c) Tag und Ort der Geburt,

    d) gegenwärtige Anschriften,

    e) Angaben zu den Sorgeberechtigten (Namen, Anschrift, Telefonverbindung),

    f) Angaben zur Stammschule (Name, Anschrift).

    Der Abruf darf nur unter Verwendung von Vor- und Familiennamen, des Tages der Geburt sowie von Anschriften erfolgen.

    (2) Durch technische oder organisatorische Maßnahmen ist sicherzustellen, dass Abrufe nur durch Berechtigte erfolgen. Die Abrufe sind zu protokollieren und mit allen Daten sowie der Kennung des zum Abruf zugelassenen Datenendgerätes, der Dienstnummer des abrufenden Bediensteten, des Zeitpunktes des Datenabrufs und der beim Abruf verwandten Merkmale sowie dem Aktenzeichen der abrufenden Dienststelle sechs Monate zu speichern. Diese Daten dürfen nur zur Kontrolle der Zulässigkeit der Abrufe genutzt werden und sind der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf Verlangen zugänglich zu machen.

     

    § 19 Technische Ausgestaltung der Videoüberwachung

    (1) Die Videoüberwachung erfolgt automatisiert. Eine automatische Identifizierung aufgrund biometrischer Daten ist nicht zulässig.

    (2) Bei dem Betrieb von Videoüberwachungsanlagen sind die erforderlichen technischen und organisatorischen Maßnahmen gemäß § 8 Absatz 2 HmbDSG zu gewährleisten. Alle Komponenten der Videoüberwachungsanlage sind so anzubringen und aufzubewahren, dass sie nicht durch einfachen Fremdeingriff beschädigt oder manipuliert werden können. Die Standorte der Videokameras sowie die zu überwachenden Bereiche sind schriftlich zu dokumentieren.

    (3) Für die Datenübertragung von den Videokameras zu den aufzeichnenden Komponenten sind sichere Verbindungswege zu wählen. Die Bilddaten sind unverzüglich von der Videokamera an die aufzeichnenden Komponenten zu übermitteln. Eine Archivierung von Bilddaten in der Videokamera ist unzulässig.

    (4) Bilddaten des Videoüberwachungssystems werden ausschließlich in einem eigenständigen und mit keinem anderen verbundenen System verarbeitet. Zugang zu diesem System haben nur die Schulleitung und die von dieser autorisierten Personen. Der Kreis der zugangsberechtigten Personen ist festzulegen und zu dokumentieren. Der Zugang zu dem System ist durch Kennungen und Passwörter entsprechend der Passwortrichtlinie vom 10. Oktober 2007 (Mitteilungen der Verwaltung S. 96) in der jeweils geltenden Fassung zu sichern. Bedienungsvorgänge sind unter Angabe der Gründe zu protokollieren. Die Speichermedien sind vor dem Zugriff Unbefugter zu schützen.

     

    § 22 Aufbewahrungsfristen

    (1) Liegen keine Anhaltspunkte für eine Notwendigkeit der Auswertung der gespeicherten Daten vor, so sind diese nach sechs Wochen automatisch zu löschen. Sie sind unverzüglich zu löschen, soweit schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

    (2) Daten, die im Sinne des § 21 Absatz 1 ausgewertet wurden, sind zu löschen, wenn binnen einen Monats keine weitere Prüfung erfolgt.

    (3) Im Übrigen hat eine Löschung der nach § 21 Absatz 1 ausgewerteten Daten unverzüglich nach einer rechtskräftigen Entscheidung in dem Verfahren, in dem sie benötigt wurden, zu erfolgen.

  • Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
  • Albrecht/Schmid, K&R 2013, 529 (E-Government)
  • BT-Drs. 18/4096
  • BT-Drs. 18/5121
  • Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
  • Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
  • Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
  • Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
  • Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
  • Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
  • Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
  • Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
  • Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
  • Geis, K&R 2002, 59 (Singnaturverordnung)
  • Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
  • Gola, K&R 2017, 145 (Interpretation der DSGVO)
  • Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
  • Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
  • Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
  • Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
  • Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
  • Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
  • König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
  • Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
  • Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
  • Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
  • Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
  • Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
  • Prell, NVwZ 2013, 1514 (E-Government)
  • Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
  • Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
  • Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
  • Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
  • Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
  • Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
  • Schulte/ Schröder, Handbuch des Technikrechts, 2011
  • Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
  • Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
  • Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
  • Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
  • Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
  • VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
  • Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
  • Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
  • Suche in Deutsch und Englisch

    Thema


    Ergebnis 1

    NIST FIPS 199:2004-02



    Ergebnis 2

    NIST FIPS 200:2006-03



    Ergebnis 3

    BSI TR 03105 Teil 1.1



    Ergebnis 4

    BSI TR 03105 Teil 1.2



    Ergebnis 5

    BSI TR 03105 Teil 2



    Ergebnis 6

    BSI TR 03105 Teil 3.1



    Ergebnis 7

    BSI TR 03105 Teil 3.2



    Ergebnis 8

    BSI TR 03105 Teil 3.3



    Ergebnis 9

    BSI TR 03105 Teil 3.4



    Ergebnis 10

    BSI TR 03105 Teil 4