LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode Drucksache 16/14116 31.01.2017 Datum des Originals: 31.01.2017/Ausgegeben: 03.02.2017 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 5502 vom 10. Januar 2017 der Abgeordneten Robert Stein und Michael-Ezzo Solf CDU Drucksache 16/13958 Wie ist es um den Datenschutz in den Schulen bestellt: Welche Maßnahmen werden ergriffen um personenbezogene Daten von Schülerinnen und Schülern auf Endgeräten zu gewährleisten? Vorbemerkung der Kleinen Anfrage Um den Lehrauftrag im digitalen Zeitalter erfüllen zu können, müssen Lehrerinnen und Lehrer personenbezogene Daten in Form von Anwesenheitslisten, Leistungsdaten, Gutachten zu besonderen Förderbedarfen, Verhaltensdaten, Krankheitsfällen, Berichte über die individuelle Entwicklungen und besondere Vorkommnisse sowie Adressdaten sammeln. Die Verarbeitung der Daten von Schülerinnen und Schülern ist bislang nur auf automatisierten oder automatischen Datenverarbeitungsanlagen (ADV-Anlagen) zulässig, die für Verwaltungszwecke eingerichtet sind. Darüber hinaus dürfen Lehrerinnen und Lehrer, auf Antrag und nach Nachweis eines angemessenen Schutzniveaus, Teilmengen von Schülerdaten auch auf privaten Endgeräten auswerten. Dies darf allerdings nur nach vorheriger Genehmigung durch die Schulleitung erfolgen. Dies stellt ein datenschutztechnisches Problem dar, da die Überprüfung eines „angemessenen “ Schutzniveaus auf privaten Endgeräten der Lehrkräfte, technisch wie auch personell , fast nicht zu bewältigen ist. In einem Schreiben der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein -Westfalen (LDI) vom Juni 2016, an das Ministerium für Schule und Weiterbildung des Landes Nordrhein-Westfalen, heißt es bezugnehmend auf einen früheren Entwurf der Neuauffassung der Verordnung über die zur Verarbeitung zugelassener Daten für Schülerinnen, Schülern und Eltern (VO-DV I) und der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO-DV II), „Die Schulleitung ist aufgrund der Vielfältigkeit der Risiken bei der Datenverarbeitung auf privaten ADV-Anlagen nicht in der Lage, alle technisch relevanten Sicherheitsaspekte zu überschauen. Sie müsste in eigener Verantwortung die LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/14116 2 Sicherheit jeder einzelnen privaten ADV-Anlage umfassend prüfen….Angesichts der rasanten technischen Entwicklung in den letzten Jahren ergeben sich deshalb gegen den Einsatz privater ADV-Anlagen zu dienstlichen Zwecken aus heutiger Sicht durchgreifende datenschutzrechtliche Bedenken. Dies gilt auch für den Einsatz neuer ADV-Anlagen wie Smartphones und Tablets. Nach hiesiger Kenntnis existiert bislang keine fundierte Risikoanalyse solcher Geräte. Daher ist es nicht möglich, Empfehlungen zur Herstellung der datenschutzrechtlich zu fordernden Datensicherheit solcher Geräte zu geben. Entsprechend können diese derzeit nicht für Verwaltungszwecke i.S.d. § 2 Abs. 1 S. 1 VO-VD I eingerichtet werden und deswegen kann die Schulleitung mangels Prüfgrundlage den Einsatz auch nicht genehmigen.“ In diesem Zusammenhang sollten die Maßnahmen zum Datenschutz auf privaten Endgeräten von Lehrkräften auf dem Prüfstand stehen. Diese Heterogenität der ADV-Anlagen und der dazugehörigen Rahmenbedingungen (verschiedene Hersteller, Betriebssoftware, Softwareversionen , Router, Firewall etc.) schafft keine eindeutig überprüfbaren Sicherheitsstandards. Die Gewährleistung des Datenschutzes an Schulen wird aufs Spiel gesetzt und schafft zusätzliche Probleme für Lehrkräfte, Schulleitungen, Eltern und Schülerinnen und Schüler. Die Ministerin für Schule und Weiterbildung hat die Kleine Anfrage 5502 mit Schreiben vom 31. Januar 2017 namens der Landesregierung beantwortet. 1. Wie werden Schulleitungen, Lehrerinnen und Lehrer für den Datenschutz sensibilisiert und bei den gestiegenen Anforderungen an den Datenschutz unterstützt? Zum Schutz der personenbezogenen Daten der Schülerinnen und Schüler, Eltern und Lehrkräfte existieren umfangreiche, detaillierte rechtliche Vorgaben in der Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO DV I) und in der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO DV II). Die VO DV I und VO DV II sind in der schulischen Vorschriftensammlung BASS veröffentlicht und für alle Lehrkräfte jederzeit verfügbar. Zusätzlich sind die Vorschriften sowie weitere Hinweise im Bildungsportal eingestellt. Daneben hat die Medienberatung in Zusammenarbeit mit dem Ministerium für Schule und Weiterbildung eine Handreichung mit datenschutzrechtlichen Hinweisen für Schulleitungen veröffentlicht, die ebenfalls im Bildungsportal einsehbar ist. Zudem werden die Schulen in datenschutzrechtlichen Fragestellungen durch die Behördlichen Datenschutzbeauftragten an Schulen und die Schulaufsichtsbehörden unterstützt. Zusätzlich wird die Einführung von LOGINEO NRW durch Information und Beratung der jeweiligen Schule durch die Medienberaterinnen und Medienberater begleitet. 2. Durch welche Maßnahmen wird der Datenschutz auf den Endgeräten gewährleistet , mit denen die Lehrkräfte außerhalb der Schule arbeiten? In § 2 Absatz 2 der VO DV ist vorgegeben, dass Lehrkräfte zur Verarbeitung von Schülerdaten nur dann private ADV-Anlagen nutzen können, wenn die Schulleitung dies auf der Grundlage eines Verfahrensverzeichnisses genehmigt hat. Für das Erstellen des Verfahrensverzeichnisses hat die Lehrkraft alle erforderlichen Auskünfte zu erteilen. Die notwendigen Inhalte sind in § 8 Datenschutzgesetz NRW (DSG) vorgegeben. Es müssen z.B. die eingesetzte Hard- und Software erfasst sowie die technischen und organisatorischen Maßnahmen für den Zugangs- LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/14116 3 schutz nachgewiesen sein. Das Verfahrensverzeichnis ist vom zuständigen behördlichen Datenschutzbeauftragten zu prüfen und zur Einsichtnahme Beteiligter zu führen (§ 32 a DSG). Mit der Einführung von LOGINEO NRW beabsichtigt das Ministerium für Schule und Weiterbildung jeder Lehrkraft ein ausführliches Genehmigungsformular zur Unterstützung an die Hand zu geben. 3. Welche Qualifizierungsmaßnahmen sind für Schulleitungen und schulische Administratoren vorgesehen, wenn sie gewährleisten sollen, dass auch an ADV-Anlagen außerhalb der Verwaltung sensible personenbezogene Daten verarbeitet werden dürfen? Mit dem Fortbildungsprogramm „Lernmittel- und Medienberatung“ stellt das Land ein landesweit verfügbares Unterstützungsangebot für Schulleitungen und Lehrkräfte zur Verfügung. Modul 4 des Programms befasst sich mit der verantwortungsvollen und rechtsicheren Nutzung digitaler Medien. Die Fortbildung wird von Medienberaterinnen und Medienberatern der Kompetenzteams durchgeführt. In der Basisqualifikation werden neben dem Datenschutz an Schulen bei Verarbeitung sensibler Daten und Dokumente auch die Themen Urheberrecht, freie Lern- und Lehrmaterialien mit einer offenen Lizenz sowie LOGINEO NRW behandelt. Für die Arbeit der Medienberaterinnen und Medienberater stehen seit dem Schuljahr 2016/17 insgesamt 60 Stellen zur Verfügung. Die Anzahl der Teilnehmertage für das Fortbildungsprogramm „Lernmittel- und Medienberatung “ wächst seit drei Schuljahren kontinuierlich an. 4. Welche Instrumente stehen den schulischen Datenschutzbeauftragten zur Verfügung , um ein „angemessenes“ Schutzniveau auf privaten Endgeräten der Lehrkräfte zu ermitteln? Die Ermittlung erfolgt anhand des aussagekräftigen Verfahrensverzeichnisses. Auf die Antwort zu Frage 2 wird verwiesen. 5. Welche Maßnahmen hat die Landesregierung in ihrer Legislaturperiode ergriffen, um einen adäquaten Schutz sensibler Daten von Lehrkräften und Schülerinnen und Schülern zu gewährleisten? Der Datenschutz wird durch die o.g. landesrechtlichen Vorgaben und aufgezeigten Unterstützungsangebote gewährleistet. Zusätzlich haben sich das Land NRW und die kommunalen Spitzenverbände darauf verständigt , den Schulen in NRW eine datenschutzkonforme und geschützte Arbeitsplattform (LOGI- NEO NRW) zur schulischen Kommunikation, Organisation und Dokumentenverwaltung zur Verfügung zu stellen, mit der die Belange des Datenschutzes deutlich verbessert werden können . Koordiniert wird das Projekt LOGINEO NRW von der Medienberatung NRW im Auftrag des Ministeriums für Schule und Weiterbildung. Auf das systematische Fortbildungsprogramm „Lernmittel- und Medienberatung“ wird verwiesen. Nordrhein-Westfalen Drucksache 16/14116