18. Tätigkeitsbericht (1996)



4.9

Kultusbereich

4.9.1

Automatisiertes Schulverwaltungssystem für die Beruflichen Schulen

Das Land fördert die Einführung eines Schulverwaltungssystems für Berufsschulen, in dem neben den personenbezogenen Schülerdaten auch Lehrerpersonaldaten verarbeitet werden sollen. Unsere Verbesserungsvorschläge wurden berücksichtigt.

Wir haben auf Wunsch des Bildungsministeriums das geplante Schulverwaltungsprogramm "WinSchool" datenschutzrechtlich begutachtet und dabei Abweichungen vom Datenkatalog des Schulgesetzes festgestellt. Da es sich zudem um ein vernetztes Verfahren handelt, haben wir auf die erhöhten Anforderungen hinsichtlich der Datensicherheit hingewiesen und entsprechende Vorschläge gemacht. Unsere Hinweise wurden in "WinSchool" berücksichtigt.


Das Bildungsministerium hat im Zusammenhang mit der Einführung des Schulverwaltungsprogrammes eine Rahmendienstvereinbarung mit den zuständigen Gewerkschaften geschlossen. Diese sieht u.a. Qualifizierungs- sowie Aus- und Weiterbildungsmaßnahmen für die zukünftigen Benutzer dieses Systems vor. Deshalb führt die DATENSCHUTZAKADEMIE gemeinsam mit dem Landesinstitut Schleswig-Holstein für Praxis und Theorie der Schule (IPTS) Kurse für zukünftige Anwender dieses Programmes durch.

4.9.2

Kosten für die Datensicherheit treffen Schulträger

Soll ein Schulgebäude nach Unterrichtsschluß für andere Zwecke genutzt werden und ist damit ein unbeaufsichtigter Zugang zu Räumlichkeiten der Schulverwaltung möglich, müssen die erforderlichen Datensicherheitsmaßnahmen getroffen werden, um zu verhindern, daß schulfremde Personen Zugang zu personenbezogenen Daten der Schüler und Lehrer erhalten. Dies ist Sache des Schulträgers.

Rektoren verschiedener Schulen haben sich mit der Frage an uns gewandt, ob die Schulträger verpflichtet seien, die Kosten für Schlösser zu den Lehrerzimmern zu tragen, wenn nach Unterrichtsschluß Kurse der Volkshochschulen im Schulgebäude stattfänden. Die Kursleiter hätten Eingangsschlüssel bekommen, um den Kursteilnehmern den Zugang zum Gebäude zu ermöglichen. Mit Hilfe dieser Schlüssel könnten auch Räumlichkeiten aufgeschlossen werden, in denen personenbezogene Daten der Schüler und Lehrer verwahrt würden.

Nach dem Schulgesetz trägt die Schulleitung die Verantwortung für die Verwaltung der Schule und damit auch für den Schutz personenbezogener Daten der Schüler sowie der Lehrer. Die erforderlichen und angemessenen Datensicherheitssmaßnahmen sind von den Schulträgern zu realisieren. Daraus folgt auch die Verpflichtung, die erforderlichen finanziellen bzw. Sachmittel zur Verfügung zu stellen.

Was ist zu tun?
Die Schulträger müssen die Kosten für erforderliche und angemessene Datensicherheitsmaßnahmen übernehmen.

4.9.3

Datenschutzverordnung zum Schulgesetz läßt nach wie vor auf sich warten

Die Datenschutzverordnung zum Schulgesetz ist überfällig. Ein vom Bildungsministerium im Laufe des Jahres vorgelegter Entwurf war unzulänglich. Wir haben konkrete Vorschläge zur Verbesserung gemacht.

Auch fünf Jahre nach Inkrafttreten des neuen Schleswig-Holsteinischen Schulgesetzes gibt es noch keine Rechtsverordnung, die die im Gesetz allgemein gehaltenen Datenverarbeitungsvorschriften konkretisiert. Zu einem ersten, aus unserer Sicht unzulänglichen Entwurf haben wir folgende Vorschläge gemacht:

Für den Bereich der konventionellen Datenverarbeitung sollten Regelungen getroffen werden über Inhalt und Gestaltung der Schullaufbahnakte, des Schüleraufnahmebogens, der Klassenbücher sowie über Zugangssicherungen zu den gespeicherten Daten. Außerdem ist eine Überarbeitung der Aufbewahrungsregelungen angezeigt.

Zur Regelung der automatisierten Datenverarbeitung haben wir u.a. gefordert, klare Bestimmungen zur Abgrenzung zwischen Unterrichts- und Schulverwaltungsprogrammen sowie zu Netzwerken zu treffen und die Schulträger zu verpflichten, für die Schulung der mit Datenverarbeitung beschäftigten Mitarbeiterinnen und Mitarbeiter zu sorgen. Des weiteren sind Regelungen zur Auftragsdatenverarbeitung zu treffen.


Wir hoffen, daß das Bildungsministerium, auch angesichts einer Reihe von Eingaben, die sich über unzulässige Datenverarbeitungen von Schulverwaltungen beklagen (vgl. z.B. Tz. 4.9.4), nunmehr zügig einen Verordnungsentwurf vorlegen wird.

Was ist zu tun?
Die Bildungsministerin sollte die Datenschutzverordnung nunmehr zügig erlassen.

4.9.4

Wenn zu Hause ein Schulverwaltungsprogramm mit echten Schülerdaten getestet wird

Das Schulgesetz verbietet die Verarbeitung von Schülerdaten mit Hilfe elektronischer Datenverarbeitungsanlagen im häuslichen Bereich der Lehrkräfte. Diese Vorschrift wird nicht immer beachtet. Daraus können sich peinliche Folgen ergeben.

Die Schulleiterin einer Grundschule hatte auf ihrem häuslichen PC mit einem Schulverwaltungsprogramm eine Klassenliste erstellt und an die Schüler verteilt. In dieser Liste waren mehr personenbezogene Daten enthalten als abgesprochen. Neben Namen, Vornamen und Telefonnummern enthielt sie auch das Geburtsdatum, den Geburtsort, die Religion und die vollständige Anschrift der Schülerinnen und Schüler. Darüber beschwerten sich die betroffenen Eltern. Bei der Nachprüfung stellte sich heraus, daß vor Ort die einschlägigen Bestimmungen im Schulgesetz nur ansatzweise bekannt waren. Kenntnisse über die Vorschriften des Landesdatenschutzgesetzes und der Datenschutzverordnung fehlten gänzlich. In Erwartung der Anschaffung eines PC für die Schule wurde aber mit Hilfe der Echtdaten in den Sommerferien schon einmal autodidaktisch die Bedienung des Schulverwaltungsprogrammes geübt. Da die Schulleiterin das Programm jedoch noch nicht richtig beherrschte, war es ihr nicht möglich, die Angaben zu Geburtsort und -datum, Konfession und Anschrift der Schüler herauszufiltern. Sie habe sich jedoch nichts weiter dabei gedacht und die Klassenliste in der unzulässigen Form trotzdem verteilt. Dies war zu beanstanden.

Dieser Vorfall zeigt einmal mehr, daß es erforderlich ist, die Beschaffung von EDV-Technologie mit der gleichzeitigen fachlichen und datenschutzrechtlichen Unterweisung der Benutzer zu verknüpfen, so wie es das Landesdatenschutzgesetz ausdrücklich fordert.


Die verbreitete Benutzung von PC im häuslichen Bereich der Lehrer führt offenbar zunehmend dazu, daß personenbezogene Schülerdaten entgegen der eindeutigen Vorschrift im Schulgesetz auf Privat-PC verarbeitet werden. Dies scheint gelegentlich sogar mit Kenntnis und Billigung der Schulleitungen zu geschehen.

Was ist zu tun?
Es ist Sache des Bildungsministeriums, auf die Einhaltung dieser Vorschrift hinzuwirken und bei nachgewiesenen Verstößen auch weitergehende Maßnahmen zu ergreifen.

4.9.5

Datenschutz gegenüber Elternvertretern


Die im Schulgesetz festgelegten Beteiligungsrechte der Elternvertreter erfordern eine ausreichende Information über die entscheidungserheblichen Sachverhalte. Dabei sind jedoch im Einzelfalle die berechtigten Interessen von Eltern zu berücksichtigen.

Eine Schulelternbeiratsvorsitzende hatte sich an uns gewandt, weil der Schulleiter Elternvertretern in Einzelfällen die Teilnahme an der Erörterung von Problemen einzelner Schüler verweigert hatte, sofern nicht eine ausdrückliche Genehmigung der betroffenen Eltern vorlag. Die Schulelternbeiratsvorsitzende war der Auffassung, daß dies mit den Beteiligungsrechten nach dem Schulgesetz nicht im Einklang stand. Dem haben wir grundsätzlich zugestimmt, da es Aufgabe der Elternvertreter ist, die Eltern gegenüber der Schule zu vertreten und damit als Mittler aufzutreten. Hierzu ist eine ausreichende Information der Elternvertreter erforderlich.

Allerdings sind auch Situationen denkbar, in denen in Einzelfällen berechtigte Interessen von Eltern dazu führen müssen, daß dem Elternvertreter keine Einsicht in die Unterlagen gewährt wird (z.B. zur Vermeidung einer Offenbarung "sensibler" Familienverhältnisse gegenüber Nachbarn, abhängigen Mitarbeitern, persönlich verfeindeten Personen). Wir haben gegenüber dem Ministerium angeregt, in solchen Fällen ein Widerspruchsrecht betroffener Eltern vorzusehen. Man hat sich unserer Anregung aber unter Hinweis auf die im Schulgesetz verankerten Beteiligungsrechte der Elternvertreter nicht anschließen wollen. Es muß also der Schulleitung überlassen bleiben, im Einzelfall zu entscheiden, ob von Eltern vorgetragene Vorbehalte gegen die Beteiligung der Elternvertreter zu beachten sind.

Was ist zu tun?
Schulleiter sollten im Einzelfall den begründeten Wunsch von Eltern, in ihrem Fall die Elternvertretung nicht zu beteiligen, berücksichtigen.

4.9.6

Zuteilung von Kursplätzen an einer Universität durch den Computer

Die Vergabe von Kursplätzen per Computer setzt voraus, daß Umfang und Verfahren der Verarbeitung von Studentendaten in der Studien- und Prüfungsordnung geregelt sind. Eine Behörde darf sich beim Computereinsatz nicht von einem einzigen Mitarbeiter abhängig machen.

Durch eine Zeitung wurden wir informiert, daß eine Fakultät einer Hochschule ein EDV-gestütztes Kursvergabesystem betreibt. Jeder Studierende muß sich über die Terminals im PC-Labor zu den Kursen anmelden. Die so gesammelten Daten werden mit der automatisierten Studentendatei des Sekretariats zusammengeführt. Mit Hilfe eines speziellen Programms werden die Kursplätze zugewiesen. Nach Abschluß des Verfahrens werden die Ergebnisse durch Aushang veröffentlicht.

Eine Nachschau vor Ort ergab, daß dieses DV-Konzept zur Verwaltungsvereinfachung von einem einzelnen Mitarbeiter der Fakultät entwickelt worden war. Nur der war in der Lage, die endgültige Auswertung zu starten, ein Vertreter war nicht bestellt. Wir haben die Universität auch darauf hingewiesen, daß bei der automatisierten Verarbeitung von Studentendaten die technischen und organisatorischen Maßnahmen zur Datensicherheit zu treffen sind. Hierzu gehört es unabdingbar, daß die fachlichen Vorgaben an Datenverarbeitung schriftlich geregelt sind. Das Verfahren muß getestet und freigegeben und gegen Manipulationen gesichert sein. Wichtig ist außerdem, daß die Betreuung und Handhabung der EDV-Verfahren nicht nur von einer Person wahrgenommen wird, sondern daß ein kompetenter Vertreter vorhanden ist.


Darüber hinaus ergab unsere Nachprüfung, daß zwar nur die nach der Studentendatenverordnung vorgesehenen Daten verarbeitet werden, jedoch fehlt es an einer ausdrücklichen Erlaubnisvorschrift hinsichtlich der Erhebung dieser Daten in der Studien- und Prüfungsordnung zum Zweck der Kursplatzvergabe. Eine ausdrückliche Einwilligung wurde von den Studierenden nicht eingeholt, und diese wurden nicht über die Bedeutung und die näheren Umstände des Verfahrens aufgeklärt. Somit wurden Daten ohne Rechtsgrundlage verarbeitet. Aufgrund unserer Beanstandung hat die Universität damit begonnen, die Studien- und Prüfungsordnungen um Datenerhebungsvorschriften zu ergänzen, aus denen genau ersichtlich ist, welche personenbezogenen Daten von den Studenten für welche Zwecke erhoben und weiterverarbeitet werden. Bis zum Inkrafttreten dieser Satzungen werden die Studenten förmlich um das Einverständnis in die EDV-gestützte Kursplatzvergabe und die anschließende Veröffentlichung durch Aushang gebeten und durch ein Merkblatt umfassend über das Verfahren unterrichtet.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel