Betrieb eines Schulverwaltungsnetzes

Um gegenseitige Beeinträchtigungen von Schulverwaltungs- und Unterrichtsnetz auszuschließen, bietet sich eine physikalische Trennung der Netzwerke an. Denn: Wenn sich die im Unterricht genutzten Computer und die Systeme der Schulleitung bzw. Schulverwaltung im selben physikalischen Netzwerk befinden und lediglich eine logische Trennung durch die Verwendung unterschiedlicher Adressbereiche erfolgt, besteht die grundsätzliche Möglichkeit, durch geeignete Veränderung an den Konfigurationseinstellungen der beteiligten Rechner in den jeweils anderen Netzbereich zu gelangen. Um dies zu vermeiden, sollten die Netzbereiche also physikalisch getrennt sein, das heißt Schulverwaltung und Unterrichtsbereich im Ergebnis auf getrennten Netzsegmenten vorgehalten werden. Zur gemeinsamen Nutzung des Internetübergangs ist der Einsatz einer entsprechenden Hardwarefirewall zu empfehlen, die über getrennte Schnittstellen für die beiden Netzsegmente verfügt und ein Routing von Datenpaketen zwischen den Netzsegmenten verhindert.

Die automatisierte Verarbeitung personenbezogener Daten birgt gegenüber der Datenverarbeitung in Papierform besondere Risiken. Die Gefahr des Datenverlustes, der Manipulation elektronischer Dokumente oder der unbefugten Kenntnisnahme ist größer als dies bei der Datenverarbeitung auf Papier der Fall ist. Dementsprechend sehen die Regelungen in den Schulordnungen für die automatisierte Verarbeitung personenbezogener Daten besondere Regelungen vor. Nach den Bestimmungen in den jeweiligen Schulordnungen (§ 49 Abs. 2 GrSchulO, § 89 Abs. 2 ÜSchO, § 55 Abs. 2 Schulordnung für die öffentlichen berufsbildenden Schulen - BBiSchulO, § 55 Schulordnung für die öffentlichen Förderschulen - FöSchulO) dürfen etwa die zulässigerweise erhobenen Daten nicht ausnahmslos in die Schul-EDV übernommen werden, sondern nur dann, wenn dies den Verwaltungsaufgaben der Schule, insbesondere der Erstellung von Zeugnissen und der schulischen Korrespondenz, dient. Personenbezogene Daten über besondere außerunterrichtliche, insbesondere schulärztliche und schulpsychologische Maßnahmen sowie Ordnungsmaßnahmen dürfen nicht gespeichert werden, sondern sind unverzüglich nach Fertigstellung des jeweiligen Textes zu löschen.

Neben dieser inhaltlichen Komponente sehen die Bestimmungen in den Schulordnungen vor, dass die Schule diejenigen technischen und organisatorischen Maßnahmen nach Art. 5, Art. 25 und Art. 32 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung, DS-GVO zu treffen hat, die erforderlich sind, um den Zugriff Unbefugter zu verhindern (§ 50 Abs. 1 GrSchulO, § 90 Abs. 1 ÜSchO; § 56 Abs. 1 BBiSchulO; § 56 FöSchulO). An Schulverwaltungsprogramme sind aus technisch-organisatorischer Sicht insbesondere folgende Anforderungen zu stellen (vgl. Art. 5, Art. 25 und Art. 32 DS-GVO):

1. Zugriffskontrolle
   Für den Fall, dass mehrere Anwendergruppen wie Schulleitung, Schulsekretariat, Kollegium usw. vorgesehen sind, ist eine differenzierte Zugriffskontrolle in Form unterschiedlicher Benutzerprofile zu ermöglichen.
2. Betriebssystemzugriff
   Ein generell eröffneter Betriebssystemzugriff ist hinsichtlich der Zugriffskontrolle grundsätzlich problematisch, da auf diesem Weg bestehende Zugriffsregelungen ggf. umgangen werden können. Auf einen Betriebssystemzugang aus der Anwendung heraus sollte daher möglichst verzichtet werden.
3. Datenübermittlung
   Für die Datenübermittlung an das Statistische Landesamt Bad Ems und die Schulaufsichtsbehörden auf der Basis des von der Kultusministerkonferenz beschlossenen Kerndatensatzes (siehe Quellen und Links) sollten entsprechende Funktionen zur Verfügung stehen, die einen Zugriff auf Systemebene verzichtbar machen, wie z. B. das Schulverwaltungsprogramm edoo.sys RLP. Dies gilt auch für die Übernahme von Daten anderer Anwendungen. Sämtliche von edoo.sys RLP verwaltete Daten können mithilfe eines integrierten Replikationsprozesses in einer zentralen Datenbank gesichert werden. Daraus werden die für schulübergreifende Prozesse und für die Statistik erforderlichen Daten in eine Landeszentrale Datenbank überführt. Dies ermöglicht u. a. schulübergreifende Bewerbungsverfahren und den Schulwechsel. Zudem bietet edoo.sys RLP als plattformunabhängige, schulartübergreifende Softwarelösung Module für alle erforderlichen Funktionen für die Administration von Schülerinnen und Lehrkräften, Klassen und Kursen, Noten und Zeugnissen, siehe Quellen und Links.
   Gleiches gilt für die zur Abwicklung eines Datenaustauschs erforderlichen Dienstprogramme (Exportfunktion, Datenträgerformatierung, Datensicherung, Verschlüsselung, Erstellung von Begleitscheinen/Etiketten, Übertragung mittels Verbundnetze).
4. Protokollierung
   Die im Rahmen der Übermittlungs- und Eingabekontrolle gestellten Anforderungen müssen umgesetzt werden. Die Nutzung des Schulverwaltungsprogramms muss angemessen nachvollziehbar sein. Darüber hinaus sollte die Protokollierung sicherheitsrelevante Ereignisse wie erfolglose Anmeldeversuche und Verstöße gegen Zugriffsbeschränkungen erfassen.
5. Löschung
   Die Schulordnungen bestimmen, dass personenbezogene Daten in automatisierten Dateien zu löschen sind, sobald ihre Kenntnis für die Aufgabenerfüllung der Schule nicht mehr erforderlich ist, spätestens jedoch ein Jahr nach dem Ende des Schuljahres, in dem die Schülerin oder der Schüler die Schule verlassen hat (§ 50 Abs. 2 GrSchulO, § 92 Abs. 2 ÜSchO; § 56 Abs. 2 BBiSchulO; § 56 FöSchulO). Gleiches gilt für die Erziehungsberechtigten und das Personal. Hiervon ausgenommen sind die Namen und Aktennachweise der Schülerinnen und Schüler, die bis zur Vernichtung der Akte gespeichert werden können. Die Einhaltung der Löschungszeitpunkte ist möglichst automatisiert zu überwachen, d. h. die Datensätze sollten bereits bei der Anlage mit einem Datum versehen werden können, nach dessen Erreichen eine Prüfung der weiteren Speicherung erfolgen muss. Zur Aufbewahrung, Aussonderung, Archivierung und Vernichtung des amtlichen Schriftguts in Schulen: siehe Rundschreiben des Kultusministeriums vom 6. März 1986 unter Quellen und Links.

Die technisch-organisatorischen Sicherungsmaßnahmen sind in einer Dienstanweisung im Einzelnen festzulegen. Die Schulen sind weiterhin verpflichtet, ein Verzeichnis der Verfahren zu führen, in denen personenbezogene Daten automatisiert verarbeitet werden (sog. Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO). Dies ist zunächst Aufgabe der Verantwortlichen, also der Schule bzw. der Schulleitung. Diese kann das Führen des Verzeichnisses aber auf die schulische Datenschutzbeauftragte bzw. den schulischen Datenschutzbeauftragten delegieren, siehe dazu Baustein 1.4 – Aufgaben der Datenschutzbeauftragten.

Für jedes Verfahren ist in das Verzeichnis einzutragen:

• Name und Anschrift der verantwortlichen Stelle,
• die Bezeichnung des Verfahrens einschließlich des eingesetzten Betriebssystems und der genutzten Programme,
• die Rechtsgrundlage und die Zweckbestimmung der Datenverarbeitung,
• eine Beschreibung der betroffenen Personengruppe und der diesbezüglichen Daten,
• die empfangenden Stellen, denen Daten übermittelt werden,
• die Regelfristen für die Sperrung und Löschung der Daten,
• die Verarbeitung personenbezogener Daten im Auftrag,
• die zugriffsberechtigten Personen sowie
• die ergänzenden technisch-organisatorischen Datenschutzmaßnahmen nach Art. 32 DS-GVO.

Das edoo.sys RLP-Formular zur Erfassung der Verarbeitungstätigkeiten steht zum Download zur Verfügung, siehe Quellen und Links.

Darüber hinaus empfiehlt es sich, ein Löschkonzept für die Schule zu entwickeln, welches sich an den entsprechenden Fristen und Vorgaben zur Vorhaltung und Archivierung orientiert, siehe hierzu Quellen und Links sowie Baustein 4.3 – Notenverwaltung, Archivierung und Löschfristen.

Gemäß § 8 Abs. 2 Landesdatenschutzgesetz sind alle Personen, die personenbezogene Daten in automatisierter Form verarbeiten, bei der Aufnahme dieser Tätigkeit auf das Datengeheimnis besonders zu verpflichten. Im Unterschied zur allgemeinen Amtsverschwiegenheit betrifft das Datengeheimnis auch den innerdienstlichen Verkehr; es gilt also auch gegenüber Kolleginnen und Kollegen. Außerdem sollen mit der Verpflichtung nicht nur unzulässige Übermittlungen verhindert werden; es geht auch darum, dass Bedienstete die Daten nur zu dem Zweck verarbeiten, zu dem sie zulässigerweise gespeichert werden.

In der schulischen Praxis erfolgt die Administration der EDV-Systeme meist entweder durch entsprechend ausgebildetes Personal des Schulträgers oder durch einen privaten Dienstleister. Werden die Wartungsarbeiten durch schulfremdes Personal vorgenommen, handelt es sich rechtlich um eine Form der Auftragsverarbeitung nach Art. 28 DS-GVO. Diese Vorschrift bestimmt, dass die auftraggebende Stelle, also die Schule, für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich bleibt.

Als Maßnahme des technisch-organisatorischen Datenschutzes ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der auftraggebenden Stelle verarbeitet werden können. Wesentliches Mittel hierfür ist die vertragliche Vereinbarung mit dem Auftragnehmer, die schriftlich zu erfolgen hat. Eine „Formulierungshilfe für einen Vertrag zur Auftragsverarbeitung für den öffentlichen Bereich im Anwendungsbereich der DS-GVO“ steht zum Download zur Verfügung, siehe Quellen und Links.

Elemente einer Vertragsgestaltung sind insbesondere

• die konkrete Bezeichnung des Gegenstandes des Vertrages,
• Vereinbarungen zur Vertragsänderung und -verlängerung,
• Regelungen hinsichtlich etwaiger Unterauftragsverhältnisse,
• Verpflichtung des Auftragnehmers auf die datenschutzrechtlichen Bestimmungen,
• Weisungs-, Prüfungs- und Kontrollrechte des Auftraggebers,
• sicherzustellende technisch-organisatorische Datenschutzmaßnahmen des Auftragnehmers,
• Regelungen über gegenseitige Hinweispflichten,
• Sanktionen bei Nichterfüllung vertraglicher Leistungen sowie
• Haftungsregelungen.

Wenn die Prüfung oder Wartung automatisierter Verfahren oder sonstige Hilfstätigkeiten durch andere Personen oder Stellen im Auftrag vorgenommen werden und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, gelten die Bestimmungen über die Auftragsdatenverarbeitung entsprechend. Wichtig ist, dass der Zugriff auf personenbezogene Daten im Wege der Fernwartung nur nach vorheriger Freischaltung durch die Schule erfolgt und dass die Wartungsarbeiten nachvollziehbar protokolliert werden.

§ 49 Abs. 2 GrSchulO, § 89 Abs. 2 ÜSchO, § 55 Abs. 2 BBiSchulO, § 55 Abs. FöSchulO - Verarbeitung personenbezogener Daten

§ 50 Abs. 1 GrSchulO, § 90 Abs. 1 ÜSchO; § 56 Abs. 1 BBiSchulO; § 56 Abs. 1 FöSchulO - Sicherung personenbezogener Daten

§ 50 Abs. 2 GrSchulO, § 90 Abs. 2 ÜSchO; § 56 Abs. 2 BBiSchulO; § 56 Abs. 1 FöSchulO - Aufbewahrung

Schulverwaltungsprogramm edoo.sys RLP
Abrufbar unter https://www.svp-rlp.de/anwendungen/edoo-sys-rlp

Statistische Veröffentlichungen der Kultusministerkonferenz im Schulbereich (Schulstatistik)
Abrufbar unter https://www.kmk.org/dokumentation-statistik/statistik/schulstatistik.html

Rundschreiben des Kultusministeriums vom 6. März 1986 zur Aufbewahrung, Aussonderung, Archivierung und Vernichtung des amtlichen Schriftguts (Amtsblatt des Kultusministeriums 1986, S. 227 ff)
Abrufbar unter http://www.schule-leiten.de/index.php/Aufbewahrung,_Aussonderung,_Archivierung_und_Vernichtung_des_amtlichen_Schriftgutes_vom_6._M%C3%A4rz_1986#6_Dauer_der_Aufbewahrungsfristen
 

Formular zur Erfassung von Verarbeitungstätigkeiten, edoo.sys RLP
Abrufbar unter lokaler Download

Unabhängige Datenschutzbehörden des Bundes und der Länder ( Datenschutzkonferenz – DSK) Kurzpapier Nr. 1 „Verzeichnis von Verarbeitungstätigkeiten“
Abrufbar unter
https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Orientierungshilfen/DSK_KPNr_1_Verzeichnis_Verarbeitungstaetigkeiten.pdf 

DSK Kurzpapier Nr. 13 „Auftragsverarbeitung“
Abrufbar unter
https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/Kurzpapiere/20180116_Kurzpapier_13_Auftragsverarbeitung.html

Formulierungshilfe des Landesbeautragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) für einen Vertrag zur Auftragsverarbeitung für den öffentlichen Bereich im Anwendungsbereich der DS-GVO
Abrufbar unter lokaler Download

Informationen für Verbraucherinnen und Verbraucher vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
Abrufbar unter https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html