Gesetze, Verordnungen, Erlasse und Kommentare

Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT Systemen) von Lehrkräften
RdErl. d. MK v. 1.1.2020 - 15-05410/1-8 (Nds. MBl. Nr. 3/2020 S. 154) - VORIS 20600 -

1. Allgemeine Bestimmungen

1.1 Der vorliegende RdErl. regelt den datenschutzkonformen Einsatz privater IT-Systeme zur Erledigung dienstlicher Aufgaben - innerhalb wie außerhalb der Diensträume -, insbesondere soweit damit die von Klassenlehrerinnen und Klassenlehrern, Fachlehrerinnen und Fachlehrern, Kursleiterinnen und Kursleitern sowie Tutorinnen und Tutoren üblicherweise zu Hause wahrgenommenen Aufgaben unterstützt werden. Eine dienstliche Notwendigkeit, für diese Aufgaben IT-Systeme einzusetzen, besteht jedoch nicht. Private Endgeräte (stationär oder mobil) dürfen genutzt werden, um personenbezogene Daten auf einem gesicherten Server der Schule oder einer beauftragten Stelle i. S. des Artikels 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung) (ABl. EU Nr. L 119 S. 1, Nr. L 314 S. 72; 2018 Nr. L 127 S. 2) - im Folgenden: DSGVO - zu verarbeiten. Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig. Das Speichern und Anzeigen personenbezogener Daten in Clouds oder über Applikationen von Fremdanbietern ist zulässig, wenn zuvor mit diesen einen Auftragsverarbeitungsvertrag i. S. von Artikel 28 Abs. 3 DSGVO geschlossen wurde. Für den Fall, dass im Rahmen einer Auftragsverarbeitung eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erfolgt, sind die Artikel 44 bis 49 DSGVO einzuhalten.

1.2 Wenn Lehrkräfte auf privaten IT-Systemen Daten nach Nummer 3 verarbeiten, ist das dienstliche Tätigkeit. „Verantwortlicher“ i. S. der DSGVO ist daher auch in diesen Fällen die Schule, vertreten durch die Schulleiterin oder den Schulleiter. Sie oder er bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften auch dann verantwortlich, wenn Lehrkräfte solche Daten zu Hause verarbeiten.

2. Genehmigungsverfahren

2.1 Lehrkräfte, die auf einem privaten IT-System personenbezogene Daten nach Nummer 3 verarbeiten wollen, bedürfen dazu der schriftlichen Genehmigung der Schulleiterin oder des Schulleiters.

In dem Antrag auf Genehmigung sind das IT-System, die Software und die Datenschutz- und Datensicherungsmaßnahmen nach Nummer 4.1 in Stichworten zu beschreiben. Die Genehmigung ist zu erteilen, wenn die Lehrkraft die in Nummer 5 vorgeschriebene Verpflichtungserklärung abgibt. Die Genehmigung ist auf dem Antrag zu vermerken und mit dem Schulstempel zu versehen.

Eine Kopie des genehmigten Antrags ist der Lehrkraft auszuhändigen, eine weitere Kopie der oder dem für die Schule bestellten Datenschutzbeauftragten.

2.2 Die Genehmigung gilt für einen Zeitraum von fünf Jahren; danach ist ggf. erneut eine Genehmigung zu beantragen. Bei wesentlichen Änderungen, wie z. B. Austausch des ITSystems und/oder Wechsel des Betriebssystems, ist unverzüglich eine neue Genehmigung zu beantragen.

2.3 Der genehmigte Antrag und die Verpflichtungserklärung sind in der Schule aufzubewahren. Der genehmigte Antrag ersetzt nicht das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Abs. 1 DSGVO. Die Sammlung der genehmigten Anträge ist für Überprüfungen durch die Schulbehörden oder die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz bereitzuhalten.

3. Datenrahmen

3.1 Es dürfen nur Daten derjenigen Schülerinnen und Schüler und deren Erziehungsberechtigten i. S. von § 55 Abs. 1 NSchG aus dem Datenbestand der Schule verarbeitet werden, für die die Lehrkraft eine der in Nummer 1.1 genannten Funktionen oder eine vergleichbare direkte Betreuungsfunktion wahrnimmt. Daten anderer Lehrkräfte sowie Daten von Ausbildungs- und Praktikumsbetrieben aus dem Datenbestand der Schule dürfen nur im direkten Zusammenhang mit einer der in Nummer 1.1 genannten Funktionen oder einer vergleichbaren Betreuungsfunktion verarbeitet werden.

3.2 Folgender Datenrahmen darf nicht überschritten werden:

3.2.1

Daten zur Schülerin oder zum Schüler:

-

Namen,

-

Adressdaten,

-

Geschlecht,

-

Geburtsdatum, Geburtsort,

-

Zugehörigkeit zu einer Religionsgemeinschaft,

-

Klasse, Gruppe oder Kurs,

-

Ausbildungsrichtung bzw. Ausbildungsberuf,

-

Fächer,

-

Fehlzeiten,

-

Art, Datum und Ergebnisse von Leistungskontrollen,

-

Zeugnisnoten und andere Zeugniseintragungen;

3.2.2

Daten zu Erziehungsberechtigten:

-

Namen,

-

Adressdaten,

-

Telefonnummern,

-

E-Mail-Adressen;

3.2.3

weitere Daten:

-

Namen anderer Lehrkräfte,

-

dienstliche Telefonnummern anderer Lehrkräfte,

-

dienstliche E-Mail-Adressen anderer Lehrkräfte,

-

Adresse, Telefonnummer und E-Mail-Adresse des Ausbildungs- und Praktikumsbetriebs einer Schülerin oder eines Schülers,

-

Ansprechpartnerin oder Ansprechpartner im Ausbildungs- und Praktikumsbetrieb einer Schülerin oder eines Schülers.

Von diesen Daten dürfen nur die Daten verarbeitet werden, die für die jeweilige Aufgabenerledigung tatsächlich erforderlich sind.

4. Datenschutz- und Datensicherungsmaßnahmen

4.1 Durch geeignete organisatorische und technische Maßnahmen ist sicherzustellen, dass nur die Lehrkraft selbst Zugang zu den in Nummer 3 genannten Daten erhält:

4.1.1

Werden für die Speicherung der Daten externe Speichermedien verwendet, sind diese zu verschlüsseln und so aufzubewahren, dass sie nur der Lehrkraft selbst zugänglich sind.

4.1.2

Werden die Daten auf internen Speichermedien (z. B. Festplatte) gespeichert, sind die Daten durch geeignete technische Maßnahmen gegen Zugriff zu sichern. Dafür ist mindestens eine Zugriffskontrolle durch das Betriebssystem auf Verzeichnis- oder Dateiebene einzurichten sowie eine Verschlüsselung der Verzeichnisse, in denen die Daten gespeichert sind, vorzunehmen. Online-Zugriffe auf die Daten sind durch dem Stand der Technik entsprechende Vorkehrungen (z. B. Firewall) auszuschließen.

4.1.3

Es ist insbesondere darauf zu achten, dass aktuelle Updates und Patches auf der genutzten Hard- und Software (einschließlich Router, Endgeräte, Betriebssysteme, Applikationen und Programme) aufgespielt sind und ein hinreichender Schutz vor Schadprogrammen vorhanden ist.

4.2 Es muss sichergestellt sein, dass die in Nummer 3 genannten Daten jederzeit auch dann verfügbar sind, wenn das IT-System ausfällt oder der Datenträger oder -speicher beschädigt wird (Datensicherung).

4.3 Die Daten nach Nummer 3 dürfen nur so lange elektronisch gespeichert werden, wie die Lehrkraft in Bezug auf die einzelne Schülerin oder den einzelnen Schüler eine der dort genannten Funktionen wahrnimmt. Danach sind die elektronisch gespeicherten Daten zu vernichten und es ist - soweit erforderlich - auf nicht elektronisch geführte Unterlagen zurückzugreifen.

4.4 Die elektronische Übersendung der Daten nach Nummer 3 aus Programmen der Schule, von Lehrkräften an Programme der Schule oder zwischen Lehrkräften, Erziehungsberechtigten und Ausbildungs- und Praktikumsbetrieben sowie der Transport der Daten mittels elektronischer Speichermedien sind nur zulässig, wenn die Daten verschlüsselt werden. Bei einer Speicherung auf Speicherorten im Internet ist ein verschlüsselter Transportweg einzuhalten.

5. Verpflichtungserklärung

Mit dem Antrag auf Genehmigung der Verarbeitung personenbezogener Daten nach Nummer 3 auf einem privaten ITSystem ist der Schulleitung folgende schriftliche Erklärung zu übergeben:

„Ich verpflichte mich, bei der Verarbeitung personenbezogener Daten von Schülerinnen und Schülern, Erziehungsberechtigten, Lehrkräften und den Ausbildungs- und Praktikumsbetrieben zugehörigen Personen auf (m)einem privaten IT-System

-

den Datenrahmen gemäß Nummer 3 und die Datenschutzund Datensicherungsmaßnahmen gemäß Nummer 4 des Runderlasses des Kultusministeriums vom 1.1.2020 zur Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT-Systemen) von Lehrkräften (Nds. MBl. S. 154) einzuhalten und

-

der Schule einen Ausdruck oder ein verschlüsseltes elektronisches Speichermedium mit allen über eine Schülerin oder einen Schüler, eine Erziehungsberechtigte oder einen Erziehungsberechtigten, eine Lehrkraft oder eine dem Ausbildungs- und Praktikumsbetrieb zugehörige Person gespeicherten Daten zur Verfügung zu stellen, wenn ein Antrag auf Auskunft nach Artikel 15 DSGVO gestellt worden ist.

Ich sichere zu, der oder dem Landesbeauftragten für den Datenschutz Niedersachsen auf Verlangen Zugang zu allen im Rahmen des o. g. Runderlasses genutzten privaten IT-Systemen und Speichermedien zu gewähren, um ihr oder ihm die Wahrnehmung der gesetzlichen Kontrollaufgaben im dienstlichen Bereich zu ermöglichen.“

6. Dienstrechtlicher Hinweis

Die Einhaltung der Bestimmungen dieses RdErl. kann von der Schulleitung, der oder dem für die Schule bestellten Datenschutzbeauftragten und den Schulbehörden im privaten Bereich der Lehrkräfte nicht kontrolliert werden. Darum ist von den Lehrkräften die Verpflichtungserklärung gemäß Nummer 5 abzugeben.

Es wird ausdrücklich darauf hingewiesen, dass Verstöße gegen diese Bestimmungen eine Dienstpflichtverletzung darstellen, die disziplinarrechtlich oder arbeitsrechtlich verfolgt werden muss, wenn sie der Schulleitung oder den Schulbehörden bekannt wird.

7. Schlussbestimmung

Dieser RdErl. tritt am 1.1.2020 in Kraft und mit Ablauf des 31.12.2025 außer Kraft.