RdErl. d. MK v. 1.1.2020 - 15-05410/1-8 -

Vom 1. Januar 2020 (Nds. MBl. S. 154)

- VORIS 20600 -

1.1 Der vorliegende RdErl. regelt den datenschutzkonformen Einsatz privater IT-Systeme zur Erledigung dienstlicher Aufgaben - innerhalb wie außerhalb der Diensträume -, insbesondere soweit damit die von Klassenlehrerinnen und Klassenlehrern, Fachlehrerinnen und Fachlehrern, Kursleiterinnen und Kursleitern sowie Tutorinnen und Tutoren üblicherweise zu Hause wahrgenommenen Aufgaben unterstützt werden. Eine dienstliche Notwendigkeit, für diese Aufgaben IT-Systeme einzusetzen, besteht jedoch nicht. Private Endgeräte (stationär oder mobil) dürfen genutzt werden, um personenbezogene Daten auf einem gesicherten Server der Schule oder einer beauftragten Stelle i. S. des Artikels 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1, Nr. L 314 S. 72; 2018 Nr. L 127 S. 2) - im Folgenden: DSGVO - zu verarbeiten. Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig. Das Speichern und Anzeigen personenbezogener Daten in Clouds oder über Applikationen von Fremdanbietern ist zulässig, wenn zuvor mit diesen einen Auftragsverarbeitungsvertrag i. S. von Artikel 28 Abs. 3 DSGVO geschlossen wurde. Für den Fall, dass im Rahmen einer Auftragsverarbeitung eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erfolgt, sind die Artikel 44 bis 49 DSGVO einzuhalten.

1.2 Wenn Lehrkräfte auf privaten IT-Systemen Daten nach Nummer 3 verarbeiten, ist das dienstliche Tätigkeit. "Verantwortlicher" i. S. der DSGVO ist daher auch in diesen Fällen die Schule, vertreten durch die Schulleiterin oder den Schulleiter. Sie oder er bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften auch dann verantwortlich, wenn Lehrkräfte solche Daten zu Hause verarbeiten.

2.1 Lehrkräfte, die auf einem privaten IT-System personenbezogene Daten nach Nummer 3 verarbeiten wollen, bedürfen dazu der schriftlichen Genehmigung der Schulleiterin oder des Schulleiters.

In dem Antrag auf Genehmigung sind das IT-System, die Software und die Datenschutz- und Datensicherungsmaßnahmen nach Nummer 4.1 in Stichworten zu beschreiben. Die Genehmigung ist zu erteilen, wenn die Lehrkraft die in Nummer 5 vorgeschriebene Verpflichtungserklärung abgibt. Die Genehmigung ist auf dem Antrag zu vermerken und mit dem Schulstempel zu versehen.

Eine Kopie des genehmigten Antrags ist der Lehrkraft auszuhändigen, eine weitere Kopie der oder dem für die Schule bestellten Datenschutzbeauftragten.

2.2 Die Genehmigung gilt für einen Zeitraum von fünf Jahren; danach ist ggf. erneut eine Genehmigung zu beantragen. Bei wesentlichen Änderungen, wie z. B. Austausch des IT-Systems und/oder Wechsel des Betriebssystems, ist unverzüglich eine neue Genehmigung zu beantragen.

2.3 Der genehmigte Antrag und die Verpflichtungserklärung sind in der Schule aufzubewahren. Der genehmigte Antrag ersetzt nicht das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Abs. 1 DSGVO. Die Sammlung der genehmigten Anträge ist für Überprüfungen durch die Schulbehörden oder die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz bereitzuhalten.

3.1 Es dürfen nur Daten derjenigen Schülerinnen und Schüler und deren Erziehungsberechtigten i. S. von § 55 Abs. 1 NSchG aus dem Datenbestand der Schule verarbeitet werden, für die die Lehrkraft eine der in Nummer 1.1 genannten Funktionen oder eine vergleichbare direkte Betreuungsfunktion wahrnimmt. Daten anderer Lehrkräfte sowie Daten von Ausbildungs- und Praktikumsbetrieben aus dem Datenbestand der Schule dürfen nur im direkten Zusammenhang mit einer der in Nummer 1.1 genannten Funktionen oder einer vergleichbaren Betreuungsfunktion verarbeitet werden.

3.2 Folgender Datenrahmen darf nicht überschritten werden:

3.2.1 Daten zur Schülerin oder zum Schüler:

• Namen,

• Adressdaten,

• Geschlecht,

• Geburtsdatum, Geburtsort,

• Zugehörigkeit zu einer Religionsgemeinschaft,

• Klasse, Gruppe oder Kurs,

• Ausbildungsrichtung bzw. Ausbildungsberuf,

• Fächer,

• Fehlzeiten,

• Art, Datum und Ergebnisse von Leistungskontrollen,

• Zeugnisnoten und andere Zeugniseintragungen;

3.2.2 Daten zu Erziehungsberechtigten:

• Namen,

• Adressdaten,

• Telefonnummern,

• E-Mail-Adressen;

3.2.3 weitere Daten:

• Namen anderer Lehrkräfte,

• dienstliche Telefonnummern anderer Lehrkräfte,

• dienstliche E-Mail-Adressen anderer Lehrkräfte,

• Adresse, Telefonnummer und E-Mail-Adresse des Ausbildungs- und Praktikumsbetriebs einer Schülerin oder eines Schülers,

• Ansprechpartnerin oder Ansprechpartner im Ausbildungs- und Praktikumsbetrieb einer Schülerin oder eines Schülers.

Von diesen Daten dürfen nur die Daten verarbeitet werden, die für die jeweilige Aufgabenerledigung tatsächlich erforderlich sind.

4.1 Durch geeignete organisatorische und technische Maßnahmen ist sicherzustellen, dass nur die Lehrkraft selbst Zugang zu den in Nummer 3 genannten Daten erhält:

4.1.1
Werden für die Speicherung der Daten externe Speichermedien verwendet, sind diese zu verschlüsseln und so aufzubewahren, dass sie nur der Lehrkraft selbst zugänglich sind.

4.1.2
Werden die Daten auf internen Speichermedien (z. B. Festplatte) gespeichert, sind die Daten durch geeignete technische Maßnahmen gegen Zugriff zu sichern. Dafür ist mindestens eine Zugriffskontrolle durch das Betriebssystem auf Verzeichnis- oder Dateiebene einzurichten sowie eine Verschlüsselung der Verzeichnisse, in denen die Daten gespeichert sind, vorzunehmen. Online-Zugriffe auf die Daten sind durch dem Stand der Technik entsprechende Vorkehrungen (z. B. Firewall) auszuschließen.

4.1.3
Es ist insbesondere darauf zu achten, dass aktuelle Updates und Patches auf der genutzten Hard- und Software (einschließlich Router, Endgeräte, Betriebssysteme, Applikationen und Programme) aufgespielt sind und ein hinreichender Schutz vor Schadprogrammen vorhanden ist.

4.2 Es muss sichergestellt sein, dass die in Nummer 3 genannten Daten jederzeit auch dann verfügbar sind, wenn das IT-System ausfällt oder der Datenträger oder -speicher beschädigt wird (Datensicherung).

4.3 Die Daten nach Nummer 3 dürfen nur so lange elektronisch gespeichert werden, wie die Lehrkraft in Bezug auf die einzelne Schülerin oder den einzelnen Schüler eine der dort genannten Funktionen wahrnimmt. Danach sind die elektronisch gespeicherten Daten zu vernichten und es ist - soweit erforderlich - auf nicht elektronisch geführte Unterlagen zurückzugreifen.

4.4 Die elektronische Übersendung der Daten nach Nummer 3 aus Programmen der Schule, von Lehrkräften an Programme der Schule oder zwischen Lehrkräften, Erziehungsberechtigten und Ausbildungs- und Praktikumsbetrieben sowie der Transport der Daten mittels elektronischer Speichermedien sind nur zulässig, wenn die Daten verschlüsselt werden. Bei einer Speicherung auf Speicherorten im Internet ist ein verschlüsselter Transportweg einzuhalten.