SchDSV - Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen
SchDSV - Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen |
| Sektor | Staat und Verwaltung |
|---|---|
| Branche | Regierung u. Verwaltung |
| Ebene | Landesrecht |
| Bundesland | Hessen |
| Rechtsakt | Untergesetzlich |
Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen Hessen
SchDSV
§§ 1 VI 5; 2; 3 I, IV; 5; 10 IV; 11 VI; 12; 17 I§ 1 Grundsätze
(1) Schulen und Schulaufsichtsbehörden dürfen nach § 83 des Hessischen Schulgesetzes sowie nach den allgemeinen datenschutzrechtlichen Vorschriften die in der Anlage 1 dieser Verordnung genannten personenbezogenen Daten der Schülerinnen und Schüler und ihrer Eltern verarbeiten, soweit dies zur rechtmäßigen Erfüllung des Bildungs- und Erziehungsauftrags der Schule und für einen jeweils damit verbundenen Zweck, zur Durchführung schulorganisatorischer Maßnahmen oder zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlich ist.
(2) Die öffentlichen Schulen sind verpflichtet, die Lehrer- und Schülerdatenbank (LUSD) zu nutzen und die verpflichtet vorgegebenen Daten zeitnah einzugeben und zu aktualisieren. Schulen in freier Trägerschaft können die Lehrer- und Schülerdatenbank (LUSD) nutzen, wenn sie die Geltung des Hessischen Datenschutzgesetzes und dieser Verordnung anerkennen.
(3) Schulen führen Schulakten (Vorgänge der allgemeinen Verwaltung der Schule) und legen für jede Schülerin und jeden Schüler eine Schülerdatei an, in der die personenbezogenen Daten gespeichert werden. Die Schülerdatei kann in elektronischer Form (LUSD) und in Papierform (Schülerakte mit Schülerkarte) geführt werden. Die Schülerkarte kann durch den jeweils aktuellen Ausdruck des Stammdatenblatts und der Dokumentation des Bildungsgangs aus der LUSD ersetzt werden.
(4) Jede Lehrkraft ist verpflichtet, die in ihren Aufgabenbereich fallenden Daten einzutragen und die erforderlichen Nachweise zu führen.
(5) Auf privaten Datenverarbeitungseinrichtungen dürfen Lehrkräfte nach Maßgabe des § 3 personenbezogene Daten von Schülerinnen und Schülern oder Eltern nur im Zusammenhang mit eigenem Unterricht oder Klassenführung verarbeiten. Ebenso ist die Verarbeitung personenbezogener Daten zulässig, deren Verarbeitung für die Lehrkraft im Rahmen einer eigenen schulischen Funktion erforderlich ist. Darüber hinaus dürfen Förderschullehrkräfte und Berufsschullehrkräfte mit sonderpädagogischer Zusatzausbildung die zur Erstellung von sonderpädagogischen Gutachten erforderlichen personenbezogenen Daten verarbeiten.
(6) Daten über gesundheitliche Beeinträchtigungen und körperliche Behinderungen dürfen mit Ausnahme der in den Anlagen 1 A 4.1, A 4.5 und A 4.6 genannten schulartspezifischen Zusatzdaten nur mit der Einwilligung der Eltern oder der volljährigen Schülerin oder des volljährigen Schülers verarbeitet werden. Medizinische und psychologische Gutachten und sonstige Unterlagen mit besonders sensiblen Daten werden in einem verschlossenen Umschlag in die Schülerakte eingeheftet. Bei Einsichtnahme in diese Unterlagen müssen der Name der Leserin oder des Lesers, das Datum und der Grund der Einsichtnahme auf dem Umschlag mit Unterschrift versehen vermerkt werden. Der Umschlag ist nach jeder Einsichtnahme wieder zu verschließen. Sind solche Daten in elektronischen Dateien gespeichert, so ist sicherzustellen, dass die Speicherung nur auf Datenverarbeitungseinrichtungen der Schule und in verschlüsselter Form erfolgt und der Zugangs- und Zugriffsschutz nach § 10 des Hessischen Datenschutzgesetzes beachtet wird.
(7) In die Schülerakte einschließlich der Prüfungsunterlagen können nach § 72 Abs. 5 des Hessischen Schulgesetzes die Eltern als Betroffene, die Eltern minderjähriger Schülerinnen und Schüler, Jugendliche, noch minderjährige Schülerinnen und Schüler nach Vollendung des 14. Lebensjahres neben den Eltern, volljährige Schülerinnen und Schüler, bevollmächtigte Eltern volljähriger Schülerinnen und Schüler und von den Berechtigten Bevollmächtigte Einsicht nehmen. Das Recht auf Einsichtnahme erstreckt sich nur auf Vorgänge, die ausschließlich die jeweilige Schülerin oder den jeweiligen Schüler oder die jeweiligen Eltern betreffen. Die Einsichtsrechte weiterer Dritter bestimmen sich nach dem Hessischen Datenschutzgesetz. Sind personenbezogene Daten automatisiert gespeichert, gilt entsprechend das Auskunftsrecht nach § 18 Abs. 3 des Hessischen Datenschutzgesetzes.
(8) Für die Planung und Durchführung der Unterrichtsorganisation dürfen die Schulen die in Abschnitt B der Anlage 1 zu dieser Verordnung genannten Daten der Lehrkräfte verarbeiten. Dies schließt die Verarbeitung weiterer lediglich schulorganisatorischer Daten nicht aus. Eine Überwachung des Verhaltens und der Leistung einzelner Lehrkräfte erfolgt nicht.
§ 2 Organisation der Datenverarbeitung
(1) Anlagen zur Verarbeitung personenbezogener Daten in Schulen dürfen mit Datenverarbeitungseinrichtungen für Unterrichtszwecke nur vernetzt werden, wenn eine zuverlässige Trennung der Daten gewährleistet ist. Nach § 10 Abs. 2 Satz 2 des Hessischen Datenschutzgesetzes muss jede Schule ein IT-Sicherheitskonzept erstellen.
(2) Geräte zur Verarbeitung personenbezogener Daten dürfen nur an Einrichtungen zur elektronischen Kommunikation angeschlossen werden, wenn die in dem Gerät gespeicherten personenbezogenen Daten durch geeignete Maßnahmen gegen unberechtigten Zugriff geschützt werden.
(3) Bei der Datenverarbeitung in Schulen sind die Standards der von dem Bundesamt für Sicherheit in der Informationstechnik für den IT-Grundschutz veröffentlichten Regeln einzuhalten.
§ 3 Verarbeitung schulischer Daten auf privaten Anlagen
(1) Eine automatisierte Verarbeitung personenbezogener Schüler- und Schuldaten durch Lehrkräfte auf privaten Datenverarbeitungseinrichtungen außerhalb der Schule darf nur nach einer entsprechenden schriftlichen Anzeige bei der Schulleitung erfolgen. Die Anzeige muss enthalten:
1. Eine Beschreibung der vorgesehenen Datenarten und Einsatzzwecke,
2. eine Verpflichtung, die Datensicherheitsmaßnahmen im Sinne des § 10 des Hessischen Datenschutzgesetzes einzuhalten,
3. die Erklärung der Lehrkraft, sich der Kontrolle des Hessischen Datenschutzbeauftragten zu unterwerfen sowie die Verpflichtung, dessen Beauftragten nach vorheriger Terminvereinbarung Zugang zu der häuslichen Arbeitsstätte zu gewähren, um die vorhandenen Datensicherungsmaßnahmen und die Einhaltung der Datensicherungsmaßnahmen zu überprüfen. Die Verpflichtung muss die Zusicherung enthalten, dass mögliche Mitinhaberinnen oder Mitinhaber der Wohnung mit dieser Zugangsregelung einverstanden sind.
(2) Auf den privaten Datenverarbeitungseinrichtungen der Lehrkräfte dürfen nur die in Abschnitt A 6 der Anlage 1 genannten personenbezogenen Daten verarbeitet werden, soweit dies zu der jeweiligen dienstlichen Aufgabenerfüllung erforderlich ist. Nach Ende des Datenverarbeitungsvorgangs sind alle für die Schüler- oder die Schulaktenführung relevanten Daten unverzüglich zu diesen Akten zu nehmen.
(3) Bei einer automatisierten Texterstellung für Zeugnisse, Mitteilungen, Benachrichtigungen und ähnliche Schriftstücke sind die hierzu erforderlichen personenbezogenen Daten nach Abschluss der Aufgabe unverzüglich zu löschen. Ausschließlich zu dem in Satz 1 genannten Zweck ist auch die Verarbeitung von Leistungs- und Verhaltensbewertungen zulässig, die andere Lehrkräfte getroffen haben.
(4) Bei der Verarbeitung personenbezogener Daten im Rahmen der Erstellung von sonderpädagogischen Gutachten sind besondere Maßnahmen zu treffen, um diese Daten gegen unberechtigten Zugriff zu schützen. Nach Erstellung der Gutachten sind diese auf Datenverarbeitungseinrichtungen der Schule auszudrucken und alle personenbezogenen Daten unverzüglich zu löschen.
(5) Bei der Verarbeitung der personenbezogenen Daten durch eine Lehrkraft bleibt die Schule die datenverarbeitende Stelle im Sinne des Hessischen Datenschutzgesetzes und damit auch für die Datensicherheit verantwortlich.
(6) Die Verarbeitung personenbezogener Daten auf privaten Datenverarbeitungseinrichtungen kann einer Lehrkraft durch die Schulleiterin oder den Schulleiter untersagt werden, wenn ein Verstoß der Lehrkraft gegen eine Bestimmung dieser Verordnung oder des Hessischen Datenschutzgesetzes festgestellt wird.
§ 5 Allgemeine Bestimmungen für die Übermittlung von Daten
Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Für den Versand von Daten auf elektronischen Speichermedien oder über eine elektronische Verbindung durch öffentlich zugängliche Netze sind die personenbezogenen Daten auf eine geeignete, dem jeweiligen Stand der Technik entsprechende Weise vor unautorisierten Zugriffen zu schützen.
§ 10 Aufbewahrungsfristen und Löschung von Daten, Vernichtung von Akten
(1) In Schulen sind personenbezogene Daten nur so lange aufzubewahren, wie sie für die Erfüllung des Bildungs- und Erziehungsauftrags, die Erteilung zulässiger Auskünfte oder für das Ausstellen von Bescheinigungen erforderlich sind. Die Aufbewahrungsfristen richten sich nach Anlage 3. Im Übrigen wird die Erforderlichkeit durch die Erfüllung der jeweiligen Aufgabe bestimmt.
(2) Wird eine Schule geschlossen, werden die dauerhaft aufzubewahrenden Unterlagen nach Anlage 3 dem zuständigen Staatsarchiv nach Anlage 3 B Nr. 7 angeboten. Lehnt dieses die Übernahme ab, regelt der Schulträger die Aufbewahrung. Noch befristet aufzubewahrende Dateien werden entweder der Schule übergeben, die die Funktion der geschlossenen Schule übernimmt oder es wird durch den Schulträger im Benehmen mit der Schulaufsichtsbehörde ein Aufbewahrungsort festgelegt.
(3) Die in privaten Datenverarbeitungseinrichtungen oder Speichermedien der Lehrkräfte gespeicherten personenbezogenen Daten sind zu löschen, wenn ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist, spätestens jedoch ein Jahr nach dem Ende des jeweiligen Schuljahres.
(4) Akten, Unterlagen und Daten, deren Aufbewahrungsfristen abgelaufen sind, müssen nach Abstimmung mit dem zuständigen Staatsarchiv unverzüglich vernichtet werden. In automatisierten Verfahren gespeicherte Daten sind zu löschen.
(5) Zur Führung einer Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet speichern:
1. Vor- und Familienname,
2. Geburtsdatum,
3. Geschlecht,
4.letzte Anschrift während des Schulbesuchs,
5. Daten über die Schulbesuchsdauer.
§ 11 Schulische Datenschutzbeauftragte
(1) Die Schulleitung bestellt die Datenschutzbeauftragte oder den Datenschutzbeauftragten der Schule sowie eine Vertreterin oder einen Vertreter. Die Bestellung soll nach Erwerb oder Nachweis der nach § 5 Abs. 1 des Hessischen Datenschutzgesetzes erforderlichen Sachkenntnis im Einverständnis mit den Betroffenen erfolgen. Sie erfüllen die gesetzlichen Aufgaben als Datenschutzbeauftragte nach § 5 Abs. 2 des Hessischen Datenschutzgesetzes im Rahmen ihres Beschäftigungsverhältnisses.
(2) Schulleiterinnen und Schulleiter sowie ihre Stellvertreterinnen und Stellvertreter können nicht zu Datenschutzbeauftragten bestellt werden.
(3) Für mehrere Schulen können unbeschadet der Vorschrift des § 5 Abs. 3 Satz 1 des Hessischen Datenschutzgesetzes durch die Schulleiterinnen und Schulleiter gemeinsame Datenschutzbeauftragte bestellt werden. Zum Zuständigkeitsbereich solcher Datenschutzbeauftragten darf höchstens eine Schule mit mehr als 10 Lehrkräften gehören.
(4) Zu den Aufgaben der schulischen Datenschutzbeauftragten nach § 5 des Hessischen Datenschutzgesetzes gehört auch die Beratung der Schülerinnen und Schüler, ihrer Eltern und der Lehrkräfte in Datenschutzangelegenheiten. Dazu gehört auch die Beratung in der Anwendung des Hessischen Datenschutzgesetzes. Sie erstreckt sich darüber hinaus auf die Beratung in der Anwendung anderer Vorschriften zur Regelung der Verarbeitung personenbezogener Daten. Im Rahmen dieser Tätigkeit informieren schulische Datenschutzbeauftragte insbesondere neu eintretendes Personal über die in der Schule wesentlichen Datenschutzvorschriften.
(5) Die oder der schulische Datenschutzbeauftragte prüft jährlich, ob erforderliche Löschungen vollzogen worden sind.
(6) Die oder der schulische Datenschutzbeauftragte überwacht nach § 5 Abs. 2 des Hessischen Datenschutzgesetzes neben der Einhaltung datenschutzrechtlicher Vorschriften auch stichprobenartig die Beachtung des § 10 Abs. 2 des Hessischen Datenschutzgesetzes.
§ 12 Organisation des Datenschutzes
In den Schulen ist sicherzustellen, dass
1. Verfahrensbeschreibungen und Geräteverzeichnis regelmäßig aktualisiert werden,
2. regelmäßig Aufklärung aller in der Schule Beschäftigten über notwendige Datensicherheitsmaßnahmen und die Wahrung des Datengeheimnisses durchgeführt werden,
3. keine unbekannten Datenträger benutzt werden,
4. Akten, Ausdrucke und Datenträger mit personenbezogenen Daten datenschutzgerecht entsorgt werden.
§ 17 Übermittlung der Daten
(1) Das Hessische Kultusministerium übermittelt erhobene Daten nach § 14 für Zwecke der amtlichen Statistik an das Hessische Statistische Landesamt. Die Übermittlung an andere Stellen, insbesondere Hessische Lehrkräfteakademie, Schulträger und Kirchen ist zulässig, wenn die Daten zur Erfüllung der dem Empfänger durch Rechtsvorschrift zugewiesenen Aufgaben erforderlich sind oder ein berechtigtes Interesse nach § 16 Abs. 3 des Hessischen Landesstatistikgesetzes nachgewiesen werden kann und die übermittelten Daten nicht Zwecken des Verwaltungsvollzuges dienen. Die Daten empfangenden Stellen sind für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.
(2) Das Hessische Statistische Landesamt kann erhobene Daten für Zwecke nach § 13 auf Anforderung an das Hessische Kultusministerium übermitteln. Ausgenommen davon sind Einzeldatensätze der Lehrkräfte an Schulen in freier Trägerschaft.
(3) Einzeldatensätze von Lehrkräften an Schulen in freier Trägerschaft, die nach § 15 Abs. 1 vom Kultusministerium erhoben werden, dürfen nur vom Hessischen Statistischen Landesamt ausgewertet werden.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- Albrecht/Schmid, K&R 2013, 529 (E-Government)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
- Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
- Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Geis, K&R 2002, 59 (Singnaturverordnung)
- Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
- Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
- Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
- Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
- Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
- Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
- König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
- Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
- Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
- Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
- Prell, NVwZ 2013, 1514 (E-Government)
- Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
- Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
- Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
- Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
- Schulte/ Schröder, Handbuch des Technikrechts, 2011
- Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
- Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
- Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
- Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
- Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
-
Ergebnis 1
NIST FIPS 199:2004-02
Deutsch: —
Englisch: Standards for Security Categorization of Federal Information and Information Systems
Ergebnis 2
NIST FIPS 200:2006-03
Deutsch: —
Englisch: Minimum Security Requirements for Federal Information and Information Systems
Ergebnis 3
BSI TR 03105 Teil 1.1
Deutsch: —
Englisch: A framework for official electronic ID document conformity tests; Version 1.04.1
Ergebnis 4
BSI TR 03105 Teil 1.2
Deutsch: —
Englisch: Component specification RFID; Version 1.02.1
Ergebnis 5
BSI TR 03105 Teil 2
Deutsch: —
Englisch: Test plan for official electronic ID documents with secure contactless integrated circuit; Version 3.0
Ergebnis 6
BSI TR 03105 Teil 3.1
Deutsch: —
Englisch: Test plan for eMRTD Application Protocol and Logical Data Structure; Version 1.2.1
Ergebnis 7
BSI TR 03105 Teil 3.2
Deutsch: —
Englisch: Conformity Tests for Official Electronic ID Documents - Part 3.2: Test plan for eMRTDs with Advanced Security Mechanisms - EAC 1 Version 1.5
Ergebnis 8
BSI TR 03105 Teil 3.3
Deutsch: —
Englisch: Conformity Tests for Official Electronic ID Documents - Part 3.3: Test Plan for eID-Cards withAdvanced Security Mechanisms - EAC 2; Version 1.1
Ergebnis 9
BSI TR 03105 Teil 3.4
Deutsch: —
Englisch: Test plan for eID-cards with eSign-application acc. to BSI TR-03117; Version 1.0
Ergebnis 10
BSI TR 03105 Teil 4
Deutsch: —
Englisch: Test plan for ICAO-compliant proximity coupling devices (PCD) on layers 1-4; Version 3.0