Das ZSR soll aber auch Aufgaben unterstützen die nicht nur die BBS sondern auch andere Behörden insbesondere zur Verbesserung des Kinderschutzes in Hamburg zu erfüllen haben

Das ZSR soll die Schulen und die Behörde für Bildung und Sport (BBS) darin unterstützen, Kinder, zu deren Familien auch nach mehrfachen Versuchen von den Schulen kein Kontakt hergestellt werden konnte, herauszufinden oder aber bei Feststellung des Wegzugs der Familie das Melderegister berichtigen zu lassen.

Das ZSR soll aber auch Aufgaben unterstützen, die nicht nur die BBS, sondern auch andere Behörden insbesondere zur Verbesserung des Kinderschutzes in Hamburg zu erfüllen haben. Um Jugendämter und andere staatliche Stellen in die Lage zu versetzen, im Falle einer Kindeswohlgefährdung schnell und wirksam zu handeln, hat der Senat zahlreiche Maßnahmen getroffen, um die Informationsgrundlagen der Jugendämter zu verbessern (vgl. 12.1). Dazu gehören auch die in der Schul-Datenschutzverordnung festgelegten Befugnisse zur Übermittlung von Daten aus dem ZSR an andere Behörden oder sonstige öffentliche Stellen sowie zum automatisierten Abruf von ZSR-Daten durch die Polizeivollzugsdienststellen, die Jugendämter und die Gesundheitsämter.

Nachdem die rechtlichen Grundlagen für das ZSR geschaffen worden waren, haben wir die BBS auch bei der praktischen Umsetzung dieser Regelungen begleitet. Grundlage war die von der BBS zu erstellende Verfahrensbeschreibung nach §9 HmbDSG und die Risikoanalyse nach §8 Abs. 4 HmbDSG. Wir stießen bei der Erörterung dieser Unterlagen immer wieder auf Punkte, die entweder datenschutzrechtlich unzulässig waren oder aber so unklar, dass sie sich einer Beurteilung entzogen. Einige unserer Kritikpunkte konnten zwar ausgeräumt werden, andere Punkte sind aber aus datenschutzrechtlicher Sicht nach wie vor offen.

Gemäß §8 Abs. 2 Satz 2 Schul-Datenschutzverordnung ist die Datenverarbeitung der Schulen auf die Daten der Personen begrenzt, die ihre Schule besuchen, besucht haben, besuchen wollen oder sollen. Dies ist bei der Konzeption des ZSR und insbesondere bei der Gestaltung der Zugriffsmöglichkeiten bzw. des Berechtigungskonzeptes zu berücksichtigen. Eine schulübergreifende Zugriffsmöglichkeit der Schulen auf das ZSR ist durch die Schul-Datenschutzverordnung rechtlich nicht gedeckt. In der Praxis führte dies zu Problemen bei der Klärung der Frage, ob ein Kind an einer anderen als der regional zuständigen Schule (Bezirksgrundschule) vorgestellt oder angemeldet worden ist. Datenschutzrechtlich konnte dies dadurch gelöst werden, dass die Daten eines Schülers, der in der Zeit zwischen Schuljahresbeginn und dem 15. September nicht von der Bezirksgrundschule, sondern von einer anderen Schule aufgenommen wurde, noch bis zum 15. September von der Bezirksgrundschule aufgerufen werden können. Die Aufnahme des Schülers an einer Schule ist erst abgeschlossen, wenn er dort tatsächlich erscheint. Erst dann nimmt die aufnehmende Schule die entsprechende Eintragung im ZSR vor. Und erst dann handelt es sich bei der Bezirksgrundschule nicht mehr um die Schule, die er besuchen soll, sondern die er besuchen sollte. Damit endet für die Bezirksgrundschule auch die Verpflichtung, die Schulpflicht der noch nicht aufgenommenen Schülerinnen und Schüler zu überwachen, d.h. sie benötigt keinen Zugriff mehr auf die entsprechenden Datensätze.

Unzureichend sind bisher noch die technischen und organisatorischen Maßnahmen, die für den Betrieb des ZSR getroffen worden sind:

· Es mangelt an einem schlüssigen Berechtigungskonzept. So ist nicht hinreichend klar dokumentiert, welche Mitarbeiter der BBS unter welchen Voraussetzungen für welche Aufgaben welche Zugriffsrechte auf welche personenbezogenen Daten haben. Damit ist es bislang auch nicht möglich, die jeweilige Erforderlichkeit der Zugriffsmöglichkeiten nachvollziehen zu können.

· Während der technische Support der ESARI Schulrechner auf Dataport übertragen wurde, soll der fachliche Support weiterhin durch Mitarbeiter der BBS erfolgen. Da jedoch die für ESARI Rechner bestehende Möglichkeit eines Online-Supports (Aufschalten auf den betroffenen Rechner zur Analyse der konkreten Fehlersituation nach vorheriger Zustimmung durch den Nutzer) für die BBS nicht besteht, ist es dabei zur Zeit möglich, dass sich der BBS-Support zur Fehleranalyse als Administrator durch die Eingabe der Schulnummer als jede beliebige Schule anmelden kann, ohne dass es hierzu einer Zustimmung des Mitarbeiters der Schule bedarf. Um die Verantwortungen auch hier klar abzugrenzen und Konflikte mit der Administration durch Dataport zu vermeiden, haben wir die BBS aufgefordert, schnellstmöglich mit Dataport zu einer datenschutzrechtlich tragfähigen Lösung zu kommen.

· Die Art und Weise sowie der Umfang der Protokollierung von Zugriffen sind nicht abschließend festgelegt.

· Zahlreiche von der BBS vorgesehene Auswertungsmöglichkeiten der im ZSR gespeicherten Daten müssen vor dem Einsatz von Auswertungstools noch konkretisiert und mit uns abgestimmt werden.

Diese und andere Punkte haben die BBS veranlasst, die bisher vorgelegten Konzepte und Unterlagen insgesamt grundlegend zu überarbeiten. Sie sollen uns im ersten Quartal des Jahres 2008 vorgelegt werden. Es bleibt abzuwarten, ob wir dann sagen können, dass es mit dem ZSR keine Datenschutzprobleme mehr gibt.

Datenbank UDIS der Behörde für Bildung und Sport.

Es entwickelt sich eine neue Philosophie der Datenverarbeitung, deren datenschutzrechtliche Zulässigkeit noch nicht abschließend beurteilt werden kann.

Im Rahmen unserer Beteiligung an verschiedenen IT-Vorhaben der Behörde für Bildung und Sport (BBS) sind wir im Berichtszeitraum immer wieder auf Verbindungen zu dem Unternehmensdateninformationssystem (UDIS) gestoßen.

Hierbei handelt sich um eine zentrale Datenbank der BBS, über deren Architektur und Wirkungsweise wir aber leider bislang nicht ausreichend unterrichtet sind.

Bereits 2002 wurden wir durch eine Bürgerschaftsdrucksache auf das Projekt Unternehmensdatenmanagement (PUMA) der BBS aufmerksam. Da uns dazu keine datenschutzrechtlichen Unterlagen (Verfahrensbeschreibung, Risikoanalyse) vorlagen, forderten wir unter Hinweis auf die Beteiligungsrichtlinie von der BBS aussagekräftige Unterlagen an. In der Antwort der BBS hieß es, dass im Rahmen von PUMA weder personenbezogene Daten im Sinne des §1 HmbDSG erhoben würden noch die Verarbeitung personenbezogener Daten Gegenstand des Projekts sei. Vielmehr ginge es lediglich darum, bereits vorhandene Daten besser für Steuerungsentscheidungen der Behörde nutzbar zu machen. Durch Datenhaltung in einheitlichen, zentralen Datenbanken sollten redundante und widersprüchliche Datenbestände vermieden und der Arbeitsaufwand für die Erfassung und Datenpflege auf ein Mindestmaß reduziert werden. Die BBS sagte zu, wieder an uns heranzutreten, sobald bei der weiteren Projektarbeit eine Beteiligung des Hamburgischen Datenschutzbeauftragten zumindest ratsam sein würde (z.B. im Hinblick auf die Etablierung von Schnittstellen). Dies ist jedoch nur im Zusammenhang mit der Einrichtung eines Schulinformationssystems und der hiermit verbundenen Aufnahme personenbezogener Daten von Ansprechpartnern erfolgt.

Wir haben erst durch unsere Befassung mit anderen IT-Vorhaben der BBS festgestellt, dass in UDIS, dem Nachfolger des Projektes PUMA, nicht nur anonymisierte oder aggregierte Daten, sondern durchaus eine Vielzahl personenbezogener Daten verarbeitet werden. UDIS dient zwar derzeit lediglich einigen wenigen Fachanwendungen der BBS als relationales Datenbankmanagementsystem. Es sollen aber recht zügig weitere Fachanwendungen an UDIS angebunden werden. Bereits jetzt gibt es beispielsweise Schnittstellen zu den Verwaltungsverfahren der allgemeinbildenden und der berufsbildenden Schulen, zu einem Personalverfahren der Schulen sowie zum Zentralen Schülerregister (vgl. 13.1). Auch ein Verfahren „Statistische Anwendungen" ist in UDIS bereits realisiert.

Die BBS vertritt bislang den Standpunkt, für UDIS sei weder eine Verfahrensbeschreibung noch eine Risikoanalyse erforderlich, weil es sich bei UDIS um kein eigenständiges Verfahren handele. Vielmehr komme es entscheidend darauf an, in den Verfahrensbeschreibungen und Risikoanalysen der an UDIS „angedockten" Fachverfahren die datenschutzrechtlich erforderlichen Aussagen zu treffen.