BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/3382 21. Wahlperiode 01.03.16 Schriftliche Kleine Anfrage der Abgeordneten Anna-Elisabeth von Treuenfels-Frowein (FDP) vom 22.02.16 und Antwort des Senats Betr.: Wie steht es um den Datenschutz an Hamburgs Schulen? Die Datenbanken der staatlichen Schulen in Hamburg sowie der Behörde für Schule und Berufsbildung (BSB) enthalten große Mengen an personenbezogenen , oft sensiblen Daten der Schüler, deren Familien, der Lehrkräfte und weiteren Schulangestellten. Grundsätzlich ist die Datenverarbeitung personenbezogener Daten in Deutschland aufgrund des informationellen Selbstbestimmungsrechts untersagt. Ausnahmen sind in Hamburg in den §§ 98 – 101 HmbSG sowie in der „Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen“ (Schul-Datenschutzverordnung) geregelt. Die erhobenen Daten müssen gemäß § 8 HmbDSG gegen die Gefahren des Verlustes der Vertraulichkeit, Integrität und Verfügbarkeit der Daten angemessen geschützt werden. Für die Erstellung von Statistiken fehlt der BSB die gesetzliche Grundlage. Dies hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kritisiert und wurde auch durch ein externes Rechtsgutachten festgestellt.1 Des Weiteren hält der HmbBfDI die Nutzung sozialer Medien wie Facebook für die Verarbeitung personenbezogener Daten durch Lehrkräfte zu dienstlichen Kommunikationszwecken für rechtswidrig, da diese Netzwerke in der Regel nicht deutschen Datenschutzstandards genügen.2 Die gesetzlichen Grundlagen für den Datenschutz an Hamburgs Schulen sind folglich nicht ausreichend. Zudem stellt sich die Frage, inwieweit die vorhandenen Regelungen auch in der Praxis beachtet werden. In Hessen sieht § 2 Absatz 1 der „Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen“ vor, das jede Schule ein IT-Sicherheitskonzept erstellen muss. In § 2 Absatz 3 dieser Verordnung ist darüber hinaus vorgeschrieben, dass Schulen bei der Datenverarbeitung die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Standards einhalten muss. Vor diesem Hintergrund frage ich den Senat: 1. Wann beabsichtigt der Senat, eine gesetzliche Grundlage für die statistischen Tätigkeiten der BSB zu schaffen? Die zuständige Behörde beabsichtigt, die bestehende Rechtsgrundlage für die statistischen Tätigkeiten entsprechend anzupassen. Ein Gesetzesentwurf befindet sich in 1 Abschnitt 7.1 im 24. Tätigkeitsbericht Datenschutz des HmbBfDI (Drs. 20/10974, Seite 98). 2 Abschnitt 7.2 im 24. Tätigkeitsbericht Datenschutz des HmbBfDI (Drs. 20/10974, Seite 99 folgende). Drucksache 21/3382 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 der Abstimmung unter anderem mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) und soll noch vor der Sommerpause der Hamburgischen Bürgerschaft vorgelegt werden. 2. Gibt es für Hamburgs Schulen eine vergleichbare Verordnung wie in Hessen, nach der jede Schule ein IT-Sicherheitskonzept erstellen muss? Wenn ja: Wie wird sichergestellt, dass jede Schule dieser Vorschrift nachkommt? Wenn nein: warum nicht? In § 3 Absatz 2 Satz 3 der Verordnung über die Verarbeitung personenbezogener Daten im Schulwesen (Schul-Datenschutzverordnung) vom 20. Juni 2006 (HmbGVBl. 2006, S. 349) ist an Schulen für dort dezentral betriebene IT-Verfahren die Erstellung eines mit der Regelung in Hessen vergleichbares Datenverarbeitungskonzepts vorgesehen , über welches die jeweilige Schulkonferenz oder der Schulvorstand zu unterrichten ist. Dieses Datenverarbeitungskonzept soll auch Regelungen beinhalten, welche die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten nach § 8 Absatz 2 Hamburgisches Datenschutzgesetz (HmbDSG) vom 5. Juli 1990 (HmbGVBl. 1990, S. 133) betreffen. Für die Einhaltung der Bestimmungen über Maßnahmen zur Datensicherung bei der automatisierten Verarbeitung personenbezogener Daten in der Schule ist gemäß § 3 Absatz 2 Satz 2 Schul-Datenschutzverordnung die Schulleitung verantwortlich. Sie wird dabei von der IT-Abteilung, der beziehungsweise dem Informationssicherheitsbeauftragten und der beziehungsweise dem behördlichen Datenschutzbeauftragten der zuständigen Behörde beraten und unterstützt. Diese Dienststellen nehmen im Rahmen der Aufsicht anlassbezogen sowie stichprobenartig Überprüfungen betreffend die Einhaltung der datenschutzrechtlichen Vorschriften in Schulen vor. 3. Gibt es für Hamburgs Schulen eine vergleichbare Verordnung wie in Hessen, nach der sich jede Schule an den IT-Sicherheitsstandards des BSI orientieren muss? Wenn ja: Wie wird sichergestellt, dass jede Schule dieser Vorschrift nachkommt? Wenn nein: warum nicht? Die IT-Sicherheitsstandards des BSI werden für IT-Verfahren regelhaft im Rahmen der gemäß § 8 Absatz 2 HmbDSG vorzuhaltenden Risikoanalyse im angemessenen Umfang berücksichtigt. Darüber hinaus gelten für das schulische Verwaltungsnetz bei stationären und mobilen Endgeräten die Grundsätze, die in der sogenannten Richtlinie über die Sicherheit der Datenverarbeitung auf Arbeitsplatzrechnern und sonstigen Endgeräten (PC-RL) vom 1. Juni 2006 (MittVw, S. 74) geregelt sind. Zur Zuständigkeit für die effektive Umsetzung der IT-Sicherheitsstandards an Schulen siehe Antwort zu 2. 4. Durch welche Mechanismen wird ausgeschlossen, dass Lehrkräfte zu dienstlichen Kommunikationszwecken personenbezogene Daten über soziale Netzwerke wie Facebook übermitteln? Die zuständige Behörde hält die Regelung in § 3 Absatz 2 Schul-Datenschutzverordnung für ausreichend. Soweit in der Kommunikation innerhalb der Lerngruppen weitere Medien genutzt werden, ist dies im Einverständnis bei allen Beteiligten zulässig . In Zweifelsfragen beraten die in Antwort zu 2. genannten Dienststellen der zuständigen Behörde die Schulen. Ferner sind die mit einer Preisgabe von personenbezogenen Daten gegenüber Dritten einhergehenden Gefahren Unterrichtsgegenstand , siehe „Hamburger Medienpass“, https://www.datenschutz-hamburg.de/uploads/ media/Broschuere_Meine_Daten_kriegt_ihr_nicht.pdf. Im Übrigen siehe Drs. 20/8743. 5. Durch welche Mechanismen wird sichergestellt, dass die Antragsunterlagen für Ermäßigungen bei Angeboten im Ganztagsbereich wie vorgeschrieben in den Schulbüros getrennt von den Schülerakten in einem verschlossenen Schrank aufbewahrt werden, zu dem nur Schulleitung Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/3382 3 und Sekretariat Zugang haben? Überprüft die zuständige Behörde die Durchführung dieser Vorschrift? Wenn ja: Wird sie an allen Schulen eingehalten? Wenn nein: warum nicht? Antragsunterlagen, die im Zusammenhang mit der Beantragungen von Leistungen im Rahmen der ganztägigen Betreuung an Schulen (GBS/GTS) innerhalb der Schulen verarbeitet werden, sind nach den einschlägigen Anlagen der sogenannten Verwaltungsvorschriften für Zahlungen, Buchführung und Rechnungslegung (VV-ZBR) revisionssicher für sechs Jahre aufzubewahren. Schon aus Gründen der internen und externen Rechnungs- und Kassenprüfung bedarf es einer getrennten Datenhaltung der leistungsbegründenden Belege. Die sonstigen schülerbezogenen Daten des laufenden Unterrichtsbetriebs sind davon getrennt gemäß § 11 Schul-Datenschutzverordnung in den Schülerbögen aufzubewahren. Eine mit der Risikokontrolle beauftragte Dienststelle der zuständigen Behörde überprüft in regelmäßigen Abständen die im Zusammenhang mit GBS/GTS stehenden organisatorischen Abläufe in den Schulen . Die Einhaltung der datenschutzrechtlichen Vorgaben an Schulen ist zudem Gegenstand anlassbezogener Prüfungen der beziehungsweise des behördlichen Datenschutzbeauftragten der zuständigen Behörde. Beanstandungen hat es bislang nicht gegeben. 6. Durch welche Mechanismen wird sichergestellt, dass gemäß § 1 Absatz 4 der Schul-Datenschutzverordnung Übermittlungen von personenbezogenen Daten innerhalb einer Schule oder der BSB aktenkundig gemacht werden? Überprüft die zuständige Behörde die Durchführung dieser Vorschrift? Wenn ja: Wird sie an allen Schulen eingehalten? Wenn nein: warum nicht? Bei der Weitergabe personenbezogener Daten innerhalb einer Schule, an andere Schulen beziehungsweise an Dienststellen der zuständigen Behörde handelt es sich um keine Datenübermittlung gemäß § 4 Absatz Satz 2 Nummer 4 HmbDSG, da die Daten innerhalb derselben Daten verarbeitenden Stelle verbleiben. Aufgrund der sich unter anderem aus § 29 Hamburgisches Verwaltungsverfahrensgesetz (HmbVwVfG) ergebenden Pflicht zur Aktenführung werden an Schulen auch Akten über solche Vorgänge geführt, in denen externe Dritte eine Datenübermittlung begehren. Eine Überprüfung der ordnungsgemäßen Aktenführung findet stichprobenartig oder anlassbezogen zum Beispiel anlässlich einer Eingabe von Schülerinnen und Schüler oder deren Sorgeberechtigten statt. Bis auf wenige Ausnahmen werden die Vorgaben durch die überwiegende Mehrheit der Schulen rechtskonform umgesetzt. 7. Gemäß § 2 der Schul-Datenschutzverordnung haben Schüler beziehungsweise deren Erziehungsberechtigte das Recht auf Einsichtnahme in ihre Akten. Wie viele Anträge auf Akteneinsicht haben Schüler beziehungsweise Erziehungsberechtigte gestellt? Wie vielen davon wurde stattgegeben und wie viele wurden abgewiesen? Bitte schuljahresweise angeben für die Schuljahre seit 2010/2011. Anträge auf Akteneinsicht werden in allen Schulen sowie in sämtlichen Dienststellen der zuständigen Behörde im Zusammenhang mit den unterschiedlichsten Anliegen (Widerspruchsverfahren und sonstige Rechtsbehelfe, Antragsverfahren, Anträge nach dem Hamburgischen Transparenzgesetz et cetera) gestellt und statistisch nicht gesondert erfasst. Um die genaue Anzahl der Anträge zu ermitteln, wäre eine Durchsicht sämtlicher Scülerbögen erforderlich. Dieser Aufwand kann innerhalb der für die Beantwortung einer Parlamentarischen Anfrage zur Verfügung stehenden Zeit nicht realisiert werden. 8. Wo ist die Verwaltungsvorschrift zu finden, die gemäß § 3 Absatz 4 der Schul-Datenschutzverordnung vorgesehen ist zur Verwendung privater Datenverarbeitungsgeräte durch Lehrkräfte? Welche Verfahrensweisen sieht diese Verwaltungsvorschrift konkret vor? Drucksache 21/3382 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 9. Ist es Lehrkräften grundsätzlich gestattet, personenbezogene Daten mit nach Hause zu nehmen? Wenn ja: unter welchen Bedingungen? Wie wird dabei sichergestellt, dass diese Daten weiterhin umfassend geschützt werden? Der Entwurf einer „Richtlinie zur Verwendung privater Datenverarbeitungsgeräte für dienstliche Verarbeitung personenbezogener Daten durch pädagogisches Personal der Schulen (Privat-PC-Richtlinie)“ befindet sich zurzeit in Abstimmung mit dem HmbBfDI und soll demnächst beschlossen und veröffentlicht werden. 10. Sind die schüler-, lehrer- und elternbezogenen Daten zentral gespeichert oder dezentral an jeder Schule? a. Wenn sie zentral gespeichert werden: Wie wird sichergestellt, dass ausschließlich die zuständigen Mitarbeiter der zuständigen Schule Zugriff auf die Daten haben? b. Wenn sie dezentral gespeichert werden: Wie wird sichergestellt, dass ausschließlich die zuständigen Mitarbeiter an der jeweiligen Schule Zugriff auf die Daten haben? Die zuständige Behörde stellt zentrale Fachverfahren für die Verarbeitung der schüler -, lehrer- und elternbezogenen Daten zur Verfügung. Daten für die Unterrichtsplanung und die Zeugniserstellung sind dezentral in der Schule auf Rechnern gespeichert , die in das FHH-Netz eingebunden sind. Es werden technische und organisatorische Maßnahmen gemäß § 8 Absatz 2 HmbSG ergriffen, um sicherzustellen, dass nur befugte Personen Zugriff auf die für die Dienstausübung erforderlichen Daten haben. Für jedes zentrale Fachverfahren gibt es ein Rechte- und Rollenkonzept, das den Zugriff auf die Daten regelt. Die dezentral auf Verwaltungsrechnern in den Schulen verarbeiteten Daten sind im Bereich der Unterrichtsplanung durch die Vergabe von schulspezifischen Lizenzen und Nutzerkennungen geschützt. Sollten darüber hinaus Daten dezentral an den Schulen verarbeitet oder gespeichert werden, ist für die Einhaltung der datenschutzrechtlichen Vorgaben die jeweilige Schulleitung verantwortlich , siehe auch Antwort zu 2. 11. Sind über den HmbBfDI hinaus externe Institute oder Firmen beauftragt mit der Sicherstellung der Einhaltung der Datenschutzbestimmungen an Schulen? Wenn ja: bitte erläutern. Nein. 12. Wenn Schulen WLAN anbieten: Wie wird sichergestellt, dass nur befugte Personen dieses Netzwerk nutzen können? Überprüft die BSB die Einhaltung von Sicherheitsstandards? Wenn nein: warum nicht? Der Betrieb und die Berechtigung zum Zugriff auf das schuleigene WLAN liegen in der Verantwortung der jeweiligen Schulleitung gemäß § 3 Absatz 2 Satz 2 Schul-Datenschutzverordnung . Seitens der zuständigen Behörde gibt es verbindliche Standards und Empfehlungen. Eine regelhafte, anlasslose Überprüfung ist zurzeit nicht vorgesehen . Die Schulen werden anlassbezogen durch die in der Antwort zu 2. genannten Dienststellen der zuständigen Behörde fachlich beraten und unterstützt. Im Übrigen siehe Drs. 21/1806 und in Dr. 21/3267. 13. Ist es in der Vergangenheit zu Missbrauch mit Daten gekommen, die von Schulen oder der BSB erhoben worden sind? Wenn ja: bitte erläutern. Es sind der zu ständigen Behörde keine Vorfälle bekannt. 14. Ist es in der Vergangenheit zu Cyber-Angriffen auf Schulen gekommen? Wenn ja: bitte erläutern. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/3382 5 Über die Drs. 21/3206 und Drs. 21/3361 hinaus liegen der zuständigen Behörde keine Erkenntnisse vor.