2.1 Lehrkräfte, die auf einem privaten IT-System personenbezogene Daten nach Nummer 3 verarbeiten wollen, bedürfen dazu der schriftlichen Genehmigung der Schulleiterin oder des Schulleiters.

In dem Antrag auf Genehmigung sind das IT-System, die Software und die Datenschutz- und Datensicherungsmaßnahmen nach Nummer 4.1 in Stichworten zu beschreiben. Die Genehmigung ist zu erteilen, wenn die Lehrkraft die in Nummer 5 vorgeschriebene Verpflichtungserklärung abgibt. Die Genehmigung ist auf dem Antrag zu vermerken und mit dem Schulstempel zu versehen.

Eine Kopie des genehmigten Antrags ist der Lehrkraft auszuhändigen, eine weitere Kopie der oder dem für die Schule bestellten Datenschutzbeauftragten.

2.2 Die Genehmigung gilt für einen Zeitraum von fünf Jahren; danach ist ggf. erneut eine Genehmigung zu beantragen. Bei wesentlichen Änderungen, wie z. B. Austausch des IT-Systems und/oder Wechsel des Betriebssystems, ist unverzüglich eine neue Genehmigung zu beantragen.

2.3 Der genehmigte Antrag und die Verpflichtungserklärung sind in der Schule aufzubewahren. Der genehmigte Antrag ersetzt nicht das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Abs. 1 DSGVO. Die Sammlung der genehmigten Anträge ist für Überprüfungen durch die Schulbehörden oder die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz bereitzuhalten.