BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/3518 21. Wahlperiode 08.03.16 Schriftliche Kleine Anfrage der Abgeordneten Anna-Elisabeth von Treuenfels-Frowein (FDP) vom 02.03.16 und Antwort des Senats Betr.: Wie steht es um den Datenschutz an Hamburgs Schulen? (II) Mit Drs. 21/3382 hatte der Senat erste Fragen zum Thema beantwortet. Demnach sind letztlich die Schulleitungen dafür verantwortlich, dass für dezentral an den Schulen betriebene IT-Verfahren zum Schutz personenbezogener Daten ein IT-Sicherheits- beziehungsweise Datenverarbeitungskonzept erstellt und eingehalten wird. IT-Abteilung, Informationssicherheitsbeauftragte und behördliche Datenschutzbeauftrage der zuständigen Behörde können dabei unterstützen und auch anlassbezogene Überprüfungen vornehmen . Vor diesem Hintergrund frage ich den Senat: 1. Welche Schulen nutzen derzeit dezentrale IT-Verfahren? (Bitte nach Schultypen differenziert und als Gesamtzahl auflisten.) 2. Welche dieser Schulen haben jeweils ein eigenes Datenverarbeitungskonzept erstellt, welche noch nicht? a. Welche Schulen haben seit der Erstellung des jeweiligen Datenverarbeitungskonzeptes aus welchen Gründen beziehungsweise Anlässen eine Aktualisierung vorgenommen? b. Von jeweils wann datieren die Aktualisierungen von Datenverarbeitungskonzepten in den jeweiligen Schulen? c. In wie vielen Fällen wurden durch Schulkonferenzen oder -vorstände Nachbesserungen an den Datenverarbeitungskonzepten verlangt? Die erfragten Daten werden von der zuständigen Behörde nicht zentral erfasst. Aufgrund der Frühjahrsferien und der für die Beantwortung einer Schriftlichen Kleinen Anfrage zur Verfügung stehenden Zeit konnte eine Abfrage an den Schulen nicht durchgeführt werden. 3. Wie viele anlassbezogene Überprüfungen der Einhaltung der datenschutzrechtlichen Vorschriften in Schulen gab es seit 2011 durch IT- Abteilung, Informationssicherheitsbeauftragte und behördliche Datenschutzbeauftrage ? a. Was waren die jeweiligen Anlässe? b. Zu welchen Ergebnissen kamen die Überprüfungen beziehungsweise welche Kritikpunkte gab es gegebenenfalls? c. Wie und wann wurden mögliche Kritikpunkte durch wen abgearbeitet ? Drucksache 21/3518 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 (Bitte für alle Fragen jahresweise auflisten.) 4. Wie viele anlassbezogene Fälle von Beratung und Unterstützung durch IT-Abteilung, Informationssicherheitsbeauftragte und behördliche Datenschutzbeauftrage gab es für Schulen beziehungsweise deren Schulleitungen in Bezug auf die jeweiligen Datenschutz- beziehungsweise IT- Sicherheitskonzepte in den Jahren seit 2011? Was waren die typischen sowie wichtigsten Anlässe? (Bitte jahresweise auflisten.) Für datenschutzrechtliche Anfragen und Anliegen von Schulen ist der behördliche Datenschutzbeauftragte gemäß § 10a Hamburgisches Datenschutzgesetz (HmbDSG) vom 5. Juli 1990 (HmbGVBl. 1990, S. 133) zuständig. Fälle der anlassbezogenen Überprüfung der Einhaltung der datenschutzrechtlichen Vorschriften in Schulen sowie der Beratung und Unterstützung der Schulen werden statistisch nicht erfasst. Die unterschiedlichen Anliegen werden dem behördlichen Datenschutzbeauftragten unter anderem durch Schulleitungen und schulische IT- Verantwortliche telefonisch, elektronisch (per E-Mail) oder schriftlich bekannt gegeben . Typischerweise handelt es sich dabei um Anfragen, in denen die Frage der Zulässigkeit der Übermittlung personenbezogener Daten zwischen den Dienststellen der zuständigen Behörde oder gegenüber Dritten thematisiert wird. Ein Großteil der Fälle bezieht sich auf die datenschutzrechtliche Zulässigkeit der schulischen Verarbeitung von Personenabbildungen (zum Beispiel Jahrbuch, Schulhomepage, Foto-CDs). Ferner geht es um Auskunftsbegehren, die im Zusammenhang mit der konkreten Nutzung , Sicherung beziehungsweise Ausgestaltung von IT-Verfahren wie „Schul- CommSy“, „IServ“ oder den anlässlich des Pilotprojekts „Start in die nächste Generation “ genutzten Verfahren stehen (siehe Drs. 20/11952, Drs. 20/11961 und Drs. 20/1364). In allen Fällen nehmen die Dienststellen der zuständigen Behörde eine Prüfung der Art, des Zwecks und des Umfangs der Datenverarbeitung vor. Die Prüfung der Anliegen findet grundsätzlich unter Zugrundelegung einer Stellungnahme der Schule sowie der für den jeweiligen Anlass maßgeblichen Verfahrensdokumente statt. In den meisten Fällen hat die datenschutzrechtliche Überprüfung ergeben, dass sich die Schulen auf Grundlage der geltenden Vorschriften rechtskonform verhalten haben. In einigen Fällen wurden Datenschutzverstöße festgestellt. In den meisten Fällen handelte es sich dabei um eine unzulässige Datenübermittlung an Dritte, die auf keine Rechtsgrundlage gestützt werden konnte. Durch normenverdeutlichende Gespräche mit den jeweiligen Schulleitungen, die durch die Schulaufsicht oder den behördlichen Datenschutzbeauftragten geführt wurden, sowie durch eine damit einhergehende unverzügliche Löschung der Daten konnte in allen Fällen ein datenschutzkonformer Zustand hergestellt werden. Neben der individuellen Beratung der Schulleitungen und der sonstigen Betroffenen werden aktuelle datenschutzrechtliche Themenfelder schulformübergreifend auch durch den behördlichen Datenschutzbeauftragten anlässlich zentraler Schulleiterkonferenzen oder durch einen Besuch von Schulkonferenzen einzelner Schulen präsentiert . 5. Wer ist zuständig für die Überwachung der Einhaltung der einschlägigen Datenschutz- und Sicherheitsbestimmungen der den Schulen zentral durch die zuständige Behörde zur Verfügung gestellten Fachverfahren? a. Zu welchen Beanstandungen ist es hierbei jeweils wann in den Jahren seit 2011 durch jeweils wen gekommen? b. Wie wurde hierauf jeweils wann durch jeweils wen reagiert? Gemäß §§ 2 Absatz 1, 10 Satz 2 HmbDSG hat die zuständige Behörde, das heißt die für ein Fachverfahren jeweils fachlich zuständige Leitstelle, dafür zu sorgen, dass die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht wird. Sie wird dabei durch den behördlichen Datenschutzbeauftragten unterstützt. Der behördliche Informationssicherheitsbeauftragte prüft, ob in der zuständigen Behörde alle vorgeschriebenen Maßnahmen zur Informationssicherheit umgesetzt werden. Einzelne Bean- Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/3518 3 standungen werden statistisch nicht zentral erfasst. Seit dem Jahr 2011 ist es in Bezug auf die in den Schulen zur Verfügung gestellten Fachverfahren „Zentrales Schülerregister“ (ZSR) „SchulCommSy“, „IServ“, „Logineo und itslearning“ (Start in die nächste Generation) zu einzelnen Eingaben durch von der Datenverarbeitung Betroffene und zu einzelnen Rückfragen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gekommen. Diese wurden federführend durch die jeweils fachlich zuständige Leitstelle, die Schulaufsicht oder den behördlichen Datenschutzbeauftragten beantwortet (siehe auch Drs. 20/5109 und Drs. 20/13674). 6. Welche schulischen IT-Fachverfahren laufen über dieselben Server wie das SchulCommSy? a. Inwieweit bestand durch den Hack des SchulCommSy-Systems potenzieller oder gar tatsächlicher Zugriff auf die Daten dieser anderen IT-Fachverfahren? b. Welche Daten sind in diesen anderen IT-Fachverfahren hinterlegt? Keine.