1.1 Der vorliegende RdErl. regelt den datenschutzkonformen Einsatz privater IT-Systeme zur Erledigung dienstlicher Aufgaben - innerhalb wie außerhalb der Diensträume -, insbesondere soweit damit die von Klassenlehrerinnen und Klassenlehrern, Fachlehrerinnen und Fachlehrern, Kursleiterinnen und Kursleitern sowie Tutorinnen und Tutoren üblicherweise zu Hause wahrgenommenen Aufgaben unterstützt werden. Eine dienstliche Notwendigkeit, für diese Aufgaben IT-Systeme einzusetzen, besteht jedoch nicht. Private Endgeräte (stationär oder mobil) dürfen genutzt werden, um personenbezogene Daten auf einem gesicherten Server der Schule oder einer beauftragten Stelle i. S. des Artikels 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1, Nr. L 314 S. 72; 2018 Nr. L 127 S. 2) - im Folgenden: DSGVO - zu verarbeiten. Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig. Das Speichern und Anzeigen personenbezogener Daten in Clouds oder über Applikationen von Fremdanbietern ist zulässig, wenn zuvor mit diesen einen Auftragsverarbeitungsvertrag i. S. von Artikel 28 Abs. 3 DSGVO geschlossen wurde. Für den Fall, dass im Rahmen einer Auftragsverarbeitung eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erfolgt, sind die Artikel 44 bis 49 DSGVO einzuhalten.

1.2 Wenn Lehrkräfte auf privaten IT-Systemen Daten nach Nummer 3 verarbeiten, ist das dienstliche Tätigkeit. "Verantwortlicher" i. S. der DSGVO ist daher auch in diesen Fällen die Schule, vertreten durch die Schulleiterin oder den Schulleiter. Sie oder er bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften auch dann verantwortlich, wenn Lehrkräfte solche Daten zu Hause verarbeiten.