Suchergebnisse insgesamt:
in html speichern drucken pdf Dokument rtf Dokument zurück Dokument 4 von 140 weiter zur Gesamtansicht
 
Inhalt
Aktuelle Gesamtvorschrift
Normgeber:Ministerium für Kultus, Jugend und Sport
Aktenzeichen:13-0557.0/106
Erlassdatum:04.07.2019
Fassung vom:04.07.2019
Gültig ab:01.09.2019
Quelle:juris Logo
Gliederungs-Nr:2041
Fundstelle:K. u. U. 2019, 111
Gesamtvorschrift in der Gültigkeit zum 01.09.2019

Verwaltungsvorschrift des Kultusministeriums
über den Datenschutz an öffentlichen Schulen



Verwaltungsvorschrift vom 4. Juli 2019



Az.: 13-0557.0/106



Fundstelle: K.u.U. 2019, S. 111





Inhaltsverzeichnis

Titel

Fassung vom

Verwaltungsvorschrift des Kultusministeriums über den Datenschutz an öffentlichen Schulen 04.07.2019
INHALTSÜBERSICHT04.07.2019
1. Allgemeines, Geltungsbereich04.07.2019
1.1. Zulässigkeit der Datenverarbeitung04.07.2019
1.1.1. Datenverarbeitung aufgrund einer Rechtsvorschrift04.07.2019
1.1.2. Datenverarbeitung aufgrund einer Einwilligung04.07.2019
1.2. Informationspflicht bei der Datenerhebung04.07.2019
1.3. Zweckänderung04.07.2019
1.4. Verarbeitung besonderer Kategorien personenbezogener Daten04.07.2019
1.5 Datenlöschung und Einschränkung der Verarbeitung, Datenübertragbarkeit04.07.2019
1.6. Auskunftsrecht04.07.2019
1.7. Datengeheimnis, Belehrung zum Datenschutz, Datenschutzmaßnahmen04.07.2019
1.8. Verzeichnis von Verarbeitungstätigkeiten04.07.2019
1.9. Datenschutz-Folgenabschätzung04.07.2019
1.10. Meldung der Verletzung des Schutzes personenbezogener Daten an den LfDI und Benachrichtigung der betroffenen Personen04.07.2019
1.11. Behördlicher Datenschutzbeauftragter04.07.2019
1.12. Videoüberwachung in Schulen gemäß § 18 LDSG04.07.2019
1.13. Nutzung privater Datenverarbeitungsgeräte durch Lehrkräfte04.07.2019
1.14. Verarbeitung personenbezogener Daten durch andere Personen oder Stellen (Auftragsdatenverarbeitung) gemäß Artikel 28 EU-DSGVO04.07.2019
2. Verarbeitung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten04.07.2019
2.1. Wahrnehmung von Rechten minderjähriger Schülerinnen und Schüler04.07.2019
2.2. Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten04.07.2019
2.3. Übermittlung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten zu anderen Zwecken (§ 6 LDSG)04.07.2019
2.4. Veröffentlichung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten04.07.2019
2.5. Löschung personenbezogener Daten von Schülerinnen und Schülern04.07.2019
2.6. Einsichtnahme in schulische Prüfungsarbeiten, Prüfungsprotokolle und Aushändigung von Prüfungsunterlagen04.07.2019
3. Verarbeitung und Löschung personenbezogener Daten von Lehrkräften, Referendarinnen und Referendaren sowie Anwärterinnen und Anwärtern04.07.2019
3.1. Verarbeitung personenbezogener Daten von Lehrkräften durch öffentliche Schulen04.07.2019
3.2. Löschung personenbezogener Daten von Lehrkräften durch öffentliche Schulen04.07.2019
3.3. Mitbestimmung und Beteiligungsverfahren04.07.2019
3.4. Verarbeitung personenbezogener Daten von Referendarinnen und Referendaren sowie Lehramtsanwärterinnen und Lehramtsanwärtern04.07.2019
4. Verarbeitung personenbezogener Daten im Rahmen der Schulevaluation (§ 114 SchG)04.07.2019
4.1. Daten von Lehrkräften im Rahmen der Schulevaluation04.07.2019
4.2. Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten und anderen am Schulleben beteiligten Personen im Rahmen der Schulevaluation04.07.2019
4.3. Umgang mit personenbezogenen Daten im Rahmen der Schulevaluation04.07.2019
4.4. Übermittlung von personenbezogenen Daten im Rahmen der Schulevaluation04.07.2019
5. Inkrafttreten04.07.2019
Anlage 1: Datenschutzrechtliche Hinweise für den Gebrauch privater Datenverarbeitungsgeräte durch Lehrkräfte zur Verarbeitung personenbezogener Daten04.07.2019
Anlage 2: Aufnahmebogen Schülerinnen und Schüler04.07.2019
Anlage 3: Belehrung zum Datenschutz, Datengeheimnis04.07.2019
Anlage 4: Merkblatt Betroffenenrechte04.07.2019

INHALTSÜBERSICHT



1.
Allgemeines, Geltungsbereich


1.1.
Zulässigkeit der Datenverarbeitung


1.2.
Informationspflicht bei der Datenerhebung


1.3.
Zweckänderung


1.4.
Verarbeitung besonderer Kategorien personenbezogener Daten


1.5.
Datenlöschung und Einschränkung der Verarbeitung, Datenübertragbarkeit


1.6.
Auskunftsrecht


1.7.
Datengeheimnis, Belehrung zum Datenschutz, Datenschutzmaßnahmen


1.8.
Verzeichnis der Verarbeitungstätigkeiten


1.9.
Datenschutz-Folgenabschätzung


1.10.
Meldung der Verletzung des Schutzes personenbezogener Daten an die Datenaufsichtsbehörde und Benachrichtigung der betroffenen Personen


1.11.
Behördlicher Datenschutzbeauftragter


1.12.
Videoüberwachung an Schulen


1.13.
Nutzung privater Datenverarbeitungsgeräte durch Lehrkräfte


1.14.
Auftragsdatenverarbeitung


2.
Verarbeitung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten


2.1.
Wahrnehmung von Rechten minderjähriger Schülerinnen und Schüler


2.2.
Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten


2.3.
Übermittlung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten zu anderen Zwecken


2.4.
Veröffentlichung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten


2.5.
Löschung personenbezogener Daten von Schülerinnen und Schülern


2.6.
Einsichtnahme in schulische Prüfungsarbeiten, Prüfungsprotokolle und Aushändigung von Prüfungsunterlagen


3.
Verarbeitung und Löschung personenbezogener Daten von Lehrkräften, Referendaren und Anwärtern durch öffentliche Schulen


3.1.
Verarbeitung personenbezogener Daten von Lehrkräften durch öffentliche Schulen


3.2.
Löschung personenbezogener Daten von Lehrkräften durch öffentliche Schulen


3.3.
Mitbestimmung und Beteiligungsverfahren


3.4.
Verarbeitung personenbezogener Daten von Referendarinnen / Referendaren und Lehramtsanwärterinnen / Lehramtsanwärtern


4.
Verarbeitung personenbezogener Daten im Rahmen der Schulevaluation


4.1.
Daten von Lehrkräften im Rahmen der Schulevaluation


4.2.
Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten und anderen am Schulleben beteiligten Personen im Rahmen der Schulevaluation


4.3.
Umgang mit personenbezogenen Daten im Rahmen der Schulevaluation


4.4.
Übermittlung von personenbezogenen Daten im Rahmen der Schulevaluation


5.
Inkrafttreten


Anlagen:



Anlage 1: Datenschutzrechtliche Hinweise für den Gebrauch privater Datenverarbeitungsgeräte durch Lehrkräfte zur Verarbeitung personenbezogener Daten



Anlage 2: Aufnahmebogen Schülerinnen und Schüler



Anlage 3: Belehrung zum Datenschutz, Datengeheimnis



Anlage 4: Merkblatt Betroffenenrechte



Wichtige Stichwörter:



Aufbewahrungsfristen (2.5.1., 3.2.3., 4.3.3.)


Ausbildungsbetrieb (2.2.1., 2.3.1.3.)


Cloud Computing (1.14.1., 1.14.2.)


Daten, personenbezogene (Zulässigkeit Datenverarbeitung 1.1.)


Einwilligungserklärung (1.1.2., 2.1.1., 2.1.4., 3.1.2.)


Erziehungsberechtigtenvertretung, Elternvertretungen (2.3.1.3.)


E-Mail (2.3.2.)


Empfänger von Daten innerhalb des öffentlichen Bereichs (2.3.1.1.)


Empfänger von Daten außerhalb des öffentlichen Bereichs (2.3.1.3.)


Erziehungs- und Ordnungsmaßnahmen (1.13.3.)


Firewall (Anlage 1)


Fotos, Filme im Internet/Intranet (2.1.4.)


Jahrbuch der Schule (2.1.4.)


Kirchen u. Religionsgemeinschaften (2.3.1.2.)


Kontrolle privater DV-Geräte (Anlage 1)


Lehrkräfte (3.1.7.)


Löschungsfristen (1.5., 2.5.)


Meldung an die Datenschutzaufsichtsbehörde (LfDI, 1.10.)


Minderjährige (2.1.1.–2.1.3.)


Personalvertretung (3.3.)


Prüfungen, Unterlagen (2.6.)


Recht auf informationelle Selbstbestimmung (1.)


Schülerinnen und Schüler (2.2.1.)


Schülerzeitschrift (2.1.4.)


Schulhomepage (2.1.4.)


Schulnoten, Bekanntgabe (2.3.4.)


Schulverwaltungsprogramme (1.7.3.)


Schulwechsel (2.3.7.)


Sonderpädagogisches Gutachten (1.13.3.)


Soziale Netzwerke (2.3.3.)


Stunden- und Vertretungsplanprogramme (1.8.3.)


Technische und organisatorische Datenschutzmaßnahmen (1.7.3.,1.13.2., 1.14.1.; Anlage 1)


Trennung von dienstlichen und privaten Daten (Anlage 1)


Update Betriebssystem (Anlage 1)


Virenschutz (Anlage 1)


Verantwortliche Stelle (1.)


Verschlüsselung von Daten (1.13.2., Anlage 1),


VeraCrypt (Anlage 1)


VV-Online (1.8.4.)


1.
Allgemeines, Geltungsbereich


Diese Verwaltungsvorschrift gilt für alle öffentlichen Schulen gemäß § 2 Absatz 1 Satz 2 des Schulgesetzes für Baden-Württemberg (SchG). Für private Schulen gilt Nummer 2.6.5.


Der Schutz der oder des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten in der modernen Datenverarbeitung ist im Grundgesetz verankert. Dieses Recht auf informationelle Selbstbestimmung gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. In Schulen und in der Schulverwaltung werden zur Erledigung dienstlicher Aufgaben personenbezogene Daten insbesondere von Schülerinnen und Schülern, Erziehungsberechtigten und Lehrkräften verarbeitet. Die Verarbeitung personenbezogener Daten ist in der Europäischen Datenschutzgrundverordnung (EU-DSGVO) und im Landesdatenschutzgesetz Baden-Württemberg (LDSG) sowie in weiteren Vorschriften, zum Beispiel dem Schulgesetz Baden-Württemberg, geregelt. Die nachfolgenden Regelungen sollen dazu beitragen, in Schulen eine datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen.


Schulen sind öffentliche Stellen gemäß § 2 Absatz 1 LDSG. Zuständig für die Wahrung datenschutzrechtlicher Vorgaben der einzelnen Schule ist die Schulleitung, die bei dieser Aufgabe durch eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten unterstützt wird.


Die Datenschutzaufsichtsbehörde ist gemäß § 20 Absatz 1 LDSG der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI). Im Intranet der Kultusverwaltung, auf der Seite www.it.kultus-bw.de sowie auf den Seiten der Lehrerfortbildung sind umfangreiche Hinweise zur Umsetzung der EU-DSGVO und des LDSG bereitgestellt. Dort finden sich auch Formulare zu den Themen Einwilligung zur Veröffentlichung von Fotos von Schülerinnen und Schülern sowie von Lehrkräften, Vertragsunterlagen zur Auftragsdatenverarbeitung, Nutzung privater Datenverarbeitungsgeräte und weitere.


1.1.
Zulässigkeit der Datenverarbeitung


Die Verarbeitung personenbezogener Daten durch Schulen ist nur zulässig, wenn die EU-DSGVO (Artikel 6 Absatz 1 Buchstabe b bis f und Artikel 9 EU-DSGVO), das LDSG (insbesondere § 4 LDSG) oder eine andere Rechtsvorschrift, zum Beispiel das Schulgesetz (§ 115 SchG), diese erlaubt oder die betroffene Person, deren Daten verarbeitet werden, eingewilligt hat (Artikel 6 Absatz 1 Buchstabe a in Verbindung mit Artikel 7 EU-DSGVO). Die Datenverarbeitung kann gemäß Artikel 28 EU-DSGVO auch durch andere öffentliche oder nichtöffentliche Stellen, Einrichtungen oder Personen im Wege einer Auftragsdatenverarbeitung erfolgen, siehe Nummer 1.14.


1.1.1.
Datenverarbeitung aufgrund einer Rechtsvorschrift


Eine Verarbeitung personenbezogener Daten ist zulässig, wenn eine spezielle Rechtsvorschrift dies erlaubt; im Übrigen, wenn dies zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist (Artikel 6 Absatz 1 Buchstabe e EU-DSGVO in Verbindung mit § 4 LDSG). Diese Voraussetzung liegt in den Fällen vor, in denen die Schulen ohne die erhobenen Daten ihren Erziehungs-, Bildungs- oder Fürsorgeauftrag (§ 1 SchG) sowie ihre Aufgaben im Bereich der Personalverwaltung nicht oder nicht vollständig erfüllen können. Es genügt also nicht, wenn die Datenverarbeitung nur „nützlich“ für die Verwirklichung des gesetzlichen Auftrags der Schule ist.


Die Datenerhebung hat dabei grundsätzlich bei der betroffenen Person mit deren Kenntnis zu erfolgen. Die Schule muss die betroffene Person bei der Datenerhebung nach Artikel 13 EU-DSGVO informieren, siehe Nummer 1.2.


Eine bereichsspezifische Ausnahme von dem Grundsatz der Datenerhebung bei der betroffenen Person regelt § 115 Absatz 3 SchG. Dieser erlaubt einer Schule zum Zwecke des Schulwechsels und zu anderen schulübergreifenden Verwaltungszwecken, personenbezogene Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten und denjenigen, denen Erziehung oder Pflege einer Schülerin oder eines Schülers anvertraut sind, bei einer anderen Schule zu erheben. In der Regel ist für diesen Zweck das Verfahren „Amtliche Schulverwaltung Baden-Württemberg“ (ASV-BW) zu verwenden.


Bei der Verarbeitung von personenbezogenen Daten in dem Verfahren „Amtliche Schuldaten Baden-Württemberg“ (ASD-BW) und in einer Schulverwaltungssoftware (zum Beispiel ASV-BW) sind die Regelungen des § 115 SchG und der Verordnung des Kultusministeriums über die Datenverarbeitung für statistische Erhebungen und schulübergreifende Verwaltungszwecke an Schulen (SchulStatDVV BW) vom 10. Juli 2008 (GBl. S. 255, K.u.U. S. 175), in der jeweils geltenden Fassung, zu beachten, siehe Nummer 2.3.6.


1.1.2.
Datenverarbeitung aufgrund einer Einwilligung


Eine Verarbeitung personenbezogener Daten kann auch aufgrund einer Einwilligung erfolgen. Dabei sind die Vorgaben der Artikel 4 Nummer 11 und Artikel 7 EU-DSGVO zu beachten. Insbesondere ist vor dem Hintergrund des bestehenden Ungleichgewichts zwischen Schule und den betroffenen Personen (siehe Erwägungsgrund 43, EU-DSGVO) sicherzustellen, dass die Einwilligung tatsächlich freiwillig, ohne jeden (Gruppen-) Zwang erfolgt. Die Schule hat die Einwilligungserklärung aufzubewahren. Der Erklärende erhält eine Kopie.


Zur Wirksamkeit der Einwilligung, siehe Nummern 2.4.2. und 3.1.2. Für die Einwilligung Minderjähriger gelten besondere Bestimmungen, siehe Nummer 2.1.


1.2.
Informationspflicht bei der Datenerhebung


Bei jeder Datenerhebung besteht eine Informationspflicht gegenüber der betroffenen Person nach Artikel 13 oder 14 EU-DSGVO, abhängig davon, ob die Erhebung bei der betroffenen Person selbst oder bei einem Dritten erfolgt. Demnach muss die Schule die betroffenen Personen informieren über


Name und Kontaktdaten des Verantwortlichen der Schule und Kontaktdaten des Datenschutzbeauftragten,


Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen und Rechtsgrundlage für die Verarbeitung,


Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,


Speicherdauer (falls dies nicht möglich ist: Kriterien für die Festlegung dieser Dauer),


Bestehen eines Rechts auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und Widerspruchsrecht gegen die Verarbeitung sowie gegebenenfalls das Recht auf Datenübertragbarkeit,


Bestehen eines Widerrufsrechts, sofern die Verarbeitung aufgrund einer Einwilligung erfolgt,


Bestehen eines Beschwerderechts bei einer Datenschutzaufsichtsbehörde,


ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben ist,


ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen eine Nichtbereitstellung hätte.


Sofern die Schule zur Datenerhebung ein Formular verwendet, sind die obengenannten Informationen darauf abzudrucken (zur Schul-Aufnahme siehe Anlage 2).


1.3.
Zweckänderung


1.3.1.
Die EU-DSGVO stellt den Grundsatz der Zweckbindung bei der Verarbeitung personenbezogener Daten auf (Artikel 5 Absatz 1 Buchstabe b EU-DSGVO).


1.3.2.
Die Verarbeitung personenbezogener Daten für andere Zwecke als denjenigen, zu denen sie erhoben wurden, ist nur in Ausnahmefällen zulässig, so unter anderem zur Gefahrenabwehr, bei Anhaltspunkten für Straftaten oder Ordnungswidrigkeiten erheblicher Bedeutung oder zum Schutz der betroffenen Person, sofern eine Verarbeitung notwendig und verhältnismäßig ist (§ 5 LDSG). Darüber ist die betroffene Person nach Artikel 13 Absatz 3 EU-DSGVO grundsätzlich zu informieren, dies sollte in Schriftform erfolgen. Die Information unterbleibt jedoch, wenn dadurch der Zweck gefährdet würde und die Interessen der Schule an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen.


1.3.3.
Eine Übermittlung zu einem anderen als dem Erhebungszweck ist zulässig, wenn sie zur Aufgabenerfüllung der Schule oder einer anderen öffentlichen Stelle erforderlich ist (§ 6 LDSG). Die Verantwortung für eine Übermittlung trägt grundsätzlich die Schule. Erfolgt die Übermittlung auf Ersuchen einer öffentlichen Stelle, trägt diese Stelle die Verantwortung. Die Schule prüft dann lediglich, ob das Übermittlungsersuchen im Rahmen der Aufgabe der ersuchenden öffentlichen Stelle liegt, indem sie sich die Rechtsgrundlage und den Zweck nennen lässt.


1.4.
Verarbeitung besonderer Kategorien personenbezogener Daten


Die EU-DSGVO stellt bestimmte personenbezogene Daten unter besonderen Schutz (siehe Erwägungsgrund 51 folgende). Nach Artikel 9 EU-DSGVO dürfen unter anderem Daten, aus denen insbesondere die ethnische Herkunft, die religiöse Überzeugung oder die Gesundheit hervorgehen, nur verarbeitet werden, wenn unter anderem die Verarbeitung auf Grund einer Rechtsvorschrift erforderlich ist oder die betroffene Person ausdrücklich eingewilligt hat. Zu den Daten, aus denen die ethnische Herkunft oder die religiösen Überzeugungen hervorgehen, gehören auch Daten zur Verkehrssprache in der Familie beziehungsweise dem häuslichen Umfeld sowie Daten über die Religionszugehörigkeit. Die nach Artikel 9 EU-DSGVO erforderliche Vorschrift, die die Verarbeitung dieser Daten von Schülerinnen und Schülern erlaubt, ist die auf Grund von § 115 SchG erlassene SchulStatDVV BW in der jeweils geltenden Fassung. Sie kann allerdings erst dann zur Anwendung kommen, wenn eine Bewerberin oder ein Bewerber tatsächlich in die Schule aufgenommen ist.


1.5
Datenlöschung und Einschränkung der Verarbeitung, Datenübertragbarkeit


1.5.1.
Die EU-DSGVO stellt den Grundsatz der Speicherbegrenzung bei der Verarbeitung personenbezogener Daten auf (Artikel 5 Absatz 1 Buchstabe e). Eine Datenlöschung erfolgt durch das Entfernen beziehungsweise Vernichten der zu löschenden Daten in der Weise, dass danach der Inhalt der Daten von niemandem mehr wiederhergestellt oder zur Kenntnis genommen werden kann. Personenbezogene Daten sind zu löschen, wenn deren weitere Verarbeitung, insbesondere durch Speicherung, für die Schule zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist oder wenn die betroffene Person ihre Einwilligung widerrufen hat (Artikel 17 Absatz 1 Buchstabe a und b EU-DSGVO).


Die Datenlöschung unterbleibt, wenn die Schule feststellt, dass die betroffene Person ein schutzwürdiges Interesse an der weiteren Speicherung ihrer Daten hat (§ 10 Absatz 2 LDSG). Dann muss die Verarbeitung eingeschränkt werden (siehe 1.5.5). Die betroffene Person ist über das Absehen von der Löschung und die Einschränkung der Verarbeitung zu informieren.


1.5.2.
Für die Speicherung personenbezogener Daten gelten bestimmte Fristen, nach deren Ablauf die Daten zu löschen sind (Löschungsfristen, siehe Nummern 2.5. und 3.2). Dies gilt sowohl für papiergebundene als auch für elektronisch gespeicherte Daten.


1.5.3.
Die zu löschenden Daten sind gemäß § 10 Absatz 1 und § 14 Absatz 5 LDSG in Verbindung mit § 3 Absatz 1 und 2, § 7 Absatz 1 und § 8 Absatz 2 Landesarchivgesetz (LArchG) vor der Löschung grundsätzlich dem zuständigen Archiv zur Übernahme anzubieten.


1.5.4.
Eine Einschränkung der Datenverarbeitung im Wege der Sperrung (Artikel 18 EU-DSGVO) erfolgt insbesondere, wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird und solange der Verantwortliche die Richtigkeit überprüft. Gleiches gilt, wenn die Verarbeitung unrechtmäßig ist, die betroffene Person aber statt einer Löschung eine Einschränkung der Verarbeitung fordert, oder wenn die Schule die Daten zwar nicht mehr benötigt, diese aber für die Umsetzung von Rechtsansprüchen der betroffenen Person erforderlich sind. Weiterhin muss eine Sperrung erfolgen, solange die Schule den Widerspruch einer betroffenen Person gegen die Verarbeitung prüft. Die Schule muss sicherstellen, dass in diesen Fällen die personenbezogenen Daten nur mit Einwilligung der betroffenen Person oder zur Umsetzung von Rechtsansprüchen verarbeitet werden können.


1.5.5.
Eine Einschränkung der Datenverarbeitung erfolgt beispielsweise durch Trennung der zu sperrenden Daten vom übrigen Datenbestand, so dass die Daten für Nutzer gesperrt sind. Dies kann entweder durch gesonderte Aufbewahrung oder Speicherung der Daten in einem anderen System oder bei automatisierten Dateisystemen durch entsprechende technische Maßnahmen erfolgen. In automatisierten Dateisystemen muss dazu für Nutzer erkennbar darauf hingewiesen werden, dass die Verarbeitung beschränkt wurde. Dateien in Akten können mit dem Vermerk „gesperrt“ versehen werden. Die Schule muss die betroffene Person, die eine Einschränkung erwirkt hat, vor der Aufhebung der Einschränkung darüber unterrichten.


1.5.6.
Die Schule muss allen Empfängern, denen sie personenbezogene Daten offengelegt, das heißt weitergeleitet oder verfügbar gemacht hat, jede Berichtigung, Löschung oder Einschränkung der Verarbeitung der personenbezogenen Daten mitteilen. Diese Mitteilung kann unterbleiben, wenn sie unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist. Hierzu kann der behördliche Datenschutzbeauftragte der Schule beraten.


1.5.7.
Sofern die Verarbeitung personenbezogener Daten auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mit einem automatisierten Verfahren stattfindet, hat die betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die diese Person selbst der Schule bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format, wie beispielsweise einer csv-Datei zu erhalten (sogenanntes Recht auf Datenübertragbarkeit nach Artikel 20 EU-DSGVO). Dieses Recht gilt nicht für die Verarbeitung personenbezogener Daten im Rahmen der Erfüllung des der Schule übertragenen gesetzlichen Erziehungs- und Bildungsauftrags. Ferner hat die betroffene Person auch das Recht, zu verlangen, dass diese Daten einem anderen Verantwortlichen, beispielsweise einer anderen Schule übermittelt werden sollen.


1.6.
Auskunftsrecht


Die betroffene Person hat das Recht, von der Schule eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, die die Person selbst betreffen; bejahendenfalls kann Auskunft über die personenbezogenen Daten verlangt werden (Artikel 15 EU-DSGVO). Ist dies der Fall, hat die Person ein Recht auf Auskunft über folgende Informationen:


verarbeitete personenbezogene Daten der betroffenen Person,


Verarbeitungszwecke,


Kategorien der verarbeiteten personenbezogenen Daten,


Empfänger oder Kategorien von Empfängern, die die Daten erhalten haben oder noch erhalten werden (jede Übermittlung personenbezogener Daten muss daher dokumentiert werden, siehe 2.3.6),


geplante Speicherdauer oder falls dies nicht möglich ist, Kriterien für die Festlegung der Dauer,


gegebenenfalls Informationen zur Herkunft der Daten,


Bestehen eines Rechts auf Berichtigung oder Löschung ihrer personenbezogenen Daten oder auf Einschränkung der Verarbeitung und Widerspruchsrecht gegen die Verarbeitung,


Bestehen eines Beschwerderechts bei einer Datenschutzaufsichtsbehörde.


Dieses Auskunftsrecht bezieht sich auch auf personenbezogene Daten, die auf privaten Datenverarbeitungsgeräten von Lehrkräften verarbeitet werden. Diese Auskünfte sind unentgeltlich zu erteilen.


Wegen der Ausübung der Rechte bei minderjährigen Schülerinnen und Schülern wird auf Nummer 2.1 verwiesen.


1.7.
Datengeheimnis, Belehrung zum Datenschutz, Datenschutzmaßnahmen


1.7.1.
Alle Personen an der Schule, welche im Rahmen ihrer Tätigkeit an der Schule personenbezogene Daten zur Kenntnis erhalten (neben Lehrkräften zum Beispiel Schülermitverantwortung oder externe Mitarbeiterinnen oder Mitarbeiter im Ganztagesbetrieb der Schule), sind auch nach Beendigung ihrer Tätigkeit verpflichtet, das Datengeheimnis zu wahren.


1.7.2.
Belehrung über den Datenschutz


Die Schulleitung belehrt die an der Schule beschäftigten Personen, die personenbezogene Daten verarbeiten oder auf diese zugreifen können, mindestens einmal pro Schuljahr beispielsweise in einer Gesamtlehrerkonferenz oder in einer Dienstbesprechung über die Pflicht zur Beachtung des Datenschutzes. Diese Belehrung erfolgt mittels Anlage 3. Dabei ist insbesondere darauf hinzuweisen, dass die Verarbeitung personenbezogener Daten nur gestattet ist, wenn eine der in Artikel 6 Absatz 1 EU-DSGVO genannten Bedingungen in Verbindung mit Nummer 1.1. dieser Verwaltungsvorschrift erfüllt ist. Es ist auf die Pflicht hinzuweisen, sämtliche Unterlagen und Speichermedien mit personenbezogenen Daten so zu transportieren, aufzubewahren, zu bearbeiten und zu entsorgen, dass Unbefugte keine Einsicht nehmen können. Ferner müssen diese Personen über ihre Verpflichtung zur Wahrung des Datengeheimnisses belehrt werden.


Diese Belehrung ist zu dokumentieren, beispielsweise durch Teilnehmerliste und Protokoll der Gesamtlehrerkonferenz oder Dienstbesprechung.


1.7.3.
Die EU-DSGVO verfolgt einen risikobasierten Ansatz, welcher mit Blick auf die Verfahren zur Verarbeitung personenbezogener Daten zunächst eine Beurteilung des damit verbundenen Risikos für die Rechte und Freiheiten natürlicher Personen vorab stellt. Eine solche Beurteilung dient als Grundlage der Ermittlung der erforderlichen technischen und organisatorischen Maßnahmen, um das Risiko eindämmen zu können.


Durch die Gestaltung der Technik (Artikel 25 Absatz 1 EU-DSGVO) und insbesondere durch datenschutzfreundliche Voreinstellungen (Artikel 25 Absatz 2 EU-DSGVO) ist der Datenschutz zu gewährleisten. Dabei sind die Voreinstellungen beziehungsweise Konfiguration von Software so zu wählen, dass sichergestellt ist, dass nur die tatsächlich erforderlichen personenbezogenen Daten verarbeitet werden. Dies gilt auch für die Menge der Daten, den Umfang der Verarbeitung, die Speicherfristen und die Zugriffsmöglichkeiten auf die Daten. Wo immer es möglich ist, sind die Daten zu pseudonymisieren oder zu anonymisieren.


Bei jeder elektronischen Verarbeitung personenbezogener Daten sind die in Artikel 32 Absatz 1 EU-DSGVO und § 3 LDSG genannten technischen und organisatorischen Maßnahmen einzuhalten. Dabei ist insbesondere sicherzustellen, dass die gespeicherten personenbezogenen Daten jederzeit vor unbefugtem Zugriff geschützt werden. Befugt ist ein Zugriff, wenn ohne die Kenntnis der personenbezogenen Daten dienstliche Aufgaben nicht oder nur teilweise erfüllt werden könnten.


Die Vorlage eines Zertifikates gemäß Artikel 42 EU-DSGVO kann als Nachweis für die Einhaltung der genannten Anforderungen herangezogen werden.


1.7.4.
Dies gilt auch für die Verarbeitung von personenbezogenen Daten in papiergebundenen Akten (zum Beispiel durch sorgfältige Auswahl, Schulung, Belehrung und Überwachung der damit Beschäftigten, Festlegung der Zugangsberechtigungen, Abschließen von Dienstzimmern und Registraturen bei Abwesenheit, Verwendung spezieller Versandformen, gesicherten Transport, gesicherte beziehungsweise DIN-gerechte Aktenvernichtung nach DIN 66399).


1.8.
Verzeichnis von Verarbeitungstätigkeiten


1.8.1.
Jede Schule hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Darin sind alle Verarbeitungstätigkeiten aufzulisten, mit welchen personenbezogene Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten, Lehrkräften oder sonstigen Personen verarbeitet werden, unabhängig davon, ob die Verarbeitung automatisiert, elektronisch oder auf andere Weise, zum Beispiel papiergebunden, erfolgt.


1.8.2.
Verantwortlich für das Führen dieses Verzeichnisses ist die Schulleitung.


Das Verzeichnis dient unter anderem dazu, dass daraus Schülerinnen und Schüler, deren Erziehungsberechtigte und Lehrkräfte über die Verarbeitung ihrer personenbezogenen Daten an der Schule informiert werden können.


1.8.3.
An einer Schule sind in der Regel folgende im Einsatz befindliche Computerprogramme in das Verzeichnis einzutragen:


Schulverwaltungsprogramme, mit denen personenbezogene Daten von Schülerinnen und Schülern, von deren Erziehungsberechtigten sowie von Lehrkräften verwaltet werden,


Stunden- und Vertretungsplanprogramme, mit denen personenbezogene Daten von Lehrkräften verarbeitet werden,


Datenbank- oder Tabellenkalkulationsprogramme, wenn sie an Stelle eines im Handel erhältlichen Schulverwaltungsprogramms oder Stundenplanprogramms zur Verwaltung der Schule eingesetzt werden oder wenn damit personenbezogene Daten verwaltet werden,


Apps auf mobilen Datenverarbeitungsgeräten, mit welchen personenbezogene Daten verarbeitet werden,


web-basierte Verfahren, mit welchen personenbezogene Daten verarbeitet werden (Beispiele: paedML, Leseförderprogramme); für Schülerinnen und Schüler sollten möglichst anonyme Accounts eingerichtet werden.


Daneben sind auch alle Papierakten, wie beispielsweise Schülerakten oder Personal(neben) akten von Lehrkräften, und ferner alle anderen elektronischen Verarbeitungen aufzunehmen, wenn in diesen personenbezogene Daten verarbeitet werden.


1.8.4.
Der Inhalt und die Gliederung des Verzeichnisses von Verarbeitungstätigkeiten ergeben sich aus Artikel 30 Absatz 1 EU-DSGVO. Diese Vorgaben sind beim Erstellen und Führen des Verzeichnisses einzuhalten.


Weitere Informationen zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten sind im Intranet der Kultusverwaltung, auf it.kultus-bw.de und auf der Internet-Seite des LfDI dargestellt.


Schulen können das elektronische, onlinebasierte System VV-online zum Führen ihres Verzeichnisses von Verarbeitungstätigkeiten nutzen, dieses enthält Ausfüllhinweise und Muster.


1.8.5.
Die Schule stellt dem LfDI das Verzeichnis auf Anfrage zur Verfügung.


1.9.
Datenschutz-Folgenabschätzung


1.9.1.
Ergibt sich, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, müssen Schulen gemäß Artikel 35 EU-DSGVO vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen.


Eine solche Datenschutz-Folgenabschätzung ist für Schulen vor Beginn der Verarbeitung personenbezogener Daten insbesondere erforderlich, sofern sie unter anderem automatisiert personenbezogene Daten von Minderjährigen verarbeiten oder automatisiert eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durchführen, die als Grundlage für Entscheidungen dienen, die Rechtswirkung gegenüber natürlichen Personen entfalten (Systeme zur Leistungsbeurteilung von Schülerinnen und Schülern, Zeugniserstellung, dienstliche Beurteilungen von Lehrkräften und weitere). Ferner bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von 1.4 dieser Verwaltungsvorschrift.


1.9.2.
Die Schule muss bei der Durchführung einer Datenschutz-Folgenabschätzung den behördlichen Datenschutzbeauftragten der Schule beteiligen und sich bei diesem Rat einholen. Bei der Durchführung der Datenschutz-Folgenabschätzung kann die Schule gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter (Elternbeirat oder Personalrat) einholen.


1.9.3.
Die Datenschutz-Folgenabschätzung muss schriftlich oder elektronisch erfolgen. Der Inhalt richtet sich nach Artikel 35 Absatz 7 EU-DSGVO.


1.9.4.
Erkennt die Schule aufgrund der Datenschutz-Folgenabschätzung, dass die Verarbeitung ein hohes Risiko zur Folge hätte und trifft die Schule keine Maßnahmen zur Eindämmung des Risikos, konsultiert sie vor Beginn der Verarbeitung den LfDI nach Artikel 36 EU-DSGVO. Der LfDI kann dann die Schule weiter beraten und gegebenenfalls Empfehlungen zur Verbesserung des Datenschutzes aussprechen.


1.10.
Meldung der Verletzung des Schutzes personenbezogener Daten an den LfDI und Benachrichtigung der betroffenen Personen


Die Schule wird bei einer Verletzung des Schutzes personenbezogener Daten und den in diesem Zusammenhang abzugebenden Meldungen beziehungsweise Benachrichtigungen durch ihren Datenschutzbeauftragten beraten.


1.10.1.
Eine Meldung einer Verletzung des Schutzes personenbezogener Daten an den LfDI muss durch die Schule unverzüglich, möglichst innerhalb von 72 Stunden erfolgen, sofern diese Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dies ist insbesondere immer dann der Fall, wenn personenbezogene Daten in die Hände unbefugter Dritter gelangt sein könnten. Die Schule hat bei der Entscheidung über eine Meldung an den LfDI die Umstände des Einzelfalls gegeneinander abzuwägen, insbesondere die Zahl der betroffenen Personen, die Kategorien personenbezogener Daten und die Auswirkungen der Datenschutzverletzung. Können bei einer Meldung nicht alle erforderlichen Informationen rechtzeitig bereitgestellt werden, sind diese Informationen schrittweise dem LfDI zu melden. Dem behördlichen Datenschutzbeauftragten der Schule und der zuständigen Schulaufsichtsbehörde ist eine Kopie der Meldung zuzuleiten. Der Inhalt der Meldung ergibt sich aus Artikel 33 Absatz 3 EU-DSGVO.


1.10.2.
Eine Benachrichtigung der betroffenen Personen muss durch die Schule erfolgen, sofern eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat und diese voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt (Artikel 34 EU-DSGVO). Dies ist unter anderem dann der Fall, wenn besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 EU-DSGVO (insbesondere Religionszugehörigkeit oder Gesundheitsdaten) oder Daten über schulische Leistungen (Noten, Kompetenzen, Beurteilungen) einer Schülerin oder eines Schülers betroffen sind. Dies gilt auch für entsprechende personenbezogene Daten von Beschäftigten. Keine Benachrichtigung ist erforderlich, wenn die verantwortliche Stelle geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang auf die personenbezogenen Daten praktisch nicht ermöglichen (zum Beispiel durch Verschlüsselung) oder die verantwortliche Stelle durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko beseitigt wurde (zum Beispiel durch Fernlöschung der Daten). Zudem kann eine Benachrichtigung unterbleiben, wenn diese mit einem unverhältnismäßigen Aufwand verbunden wäre, stattdessen muss jedoch eine öffentliche Bekanntmachung oder ähnliche Maßnahme erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.


Die Benachrichtigung muss in klarer und einfacher Sprache verfasst sein. Der Inhalt der Benachrichtigung ergibt sich aus Artikel 33 Absatz 3 EU-DSGVO.


1.11.
Behördlicher Datenschutzbeauftragter


1.11.1.
Gemäß Artikel 37 Absatz 1 Buchstabe a EU-DSGVO muss für jede Schule ein behördlicher Datenschutzbeauftragter benannt sein. Die Bestellung erfolgt schriftlich durch die Schulleitung. Der Personalrat hat nach § 75 Absatz 4 Nummer 1 Buchstabe b des Landespersonalvertretungsgesetzes (LPVG) mitzubestimmen.


1.11.2.
Mehrere Schulen können auch gemeinsam einen behördlichen Datenschutzbeauftragten benennen.


1.11.3.
Sofern keine aus der Schule stammende Person zum behördlichen Datenschutzbeauftragten benannt wird, muss die Schule die von der jeweiligen Schulaufsichtsbehörde dafür vorgesehene Person benennen.


1.11.4.
Der behördliche Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben weisungsfrei.


1.11.5.
Die Schule muss die Kontaktdaten ihres behördlichen Datenschutzbeauftragten (nicht dessen Name) veröffentlichen. Dies erfolgt in der Regel auf der Homepage der Schule. Ferner muss sie die Kontaktdaten des behördlichen Datenschutzbeauftragten dem LfDI mitteilen. Dies ist über einen Online-Service auf dessen Homepage möglich. Die Kontaktdaten sind auch der jeweils zuständigen Schulaufsichtsbehörde (Staatliches Schulamt beziehungsweise Abteilung 7 des Regierungspräsidiums) mitzuteilen.


1.12.
Videoüberwachung in Schulen gemäß § 18 LDSG


1.12.1.
§ 18 LDSG stellt eine spezielle Rechtsgrundlage für die Videoüberwachung dar, die den erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung unter sehr engen Voraussetzungen für zulässig erklärt. Bei öffentlichen Schulen entscheidet grundsätzlich der Schulträger für öffentlich zugängliche Bereiche und die Außenhaut des Gebäudes samt Stellflächen für Kraftfahrzeuge und Fahrräder, ob bei Vorliegen der gesetzlichen Voraussetzungen von der Videoüberwachung Gebrauch gemacht werden soll. Der Schulträger ist datenschutzrechtlich verantwortlich für diese Videoüberwachung und hat die Videoüberwachung als automatisiertes Verfahren in sein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 EU-DSGVO einzutragen. Vor dem erstmaligen Einsatz einer Videoüberwachung muss der zuständige Datenschutzbeauftrage beteiligt werden und diesem Gelegenheit zur Stellungnahme gegeben werden. Ferner muss gemäß Artikel 35 EU-DSGVO eine Datenschutz-Folgenabschätzung durchgeführt werden.


1.12.2.
Während des Schulbetriebs ist eine Videoüberwachung auf dem Schulhof sowie den sonstigen für den Schulbetrieb genutzten Räumlichkeiten und Flächen in der Regel unzulässig. Die schutzwürdigen Interessen der betroffenen Schülerinnen und Schüler sowie der Lehrkräfte überwiegen dabei grundsätzlich das Interesse an der Videoüberwachung (§ 18 Absatz 1 LDSG).


1.13.
Nutzung privater Datenverarbeitungsgeräte durch Lehrkräfte


1.13.1.
Lehrkräfte, die sich schriftlich zur Beachtung der datenschutzrechtlichen Hinweise der Anlage 1 zu dieser Verwaltungsvorschrift verpflichtet haben, dürfen mit Genehmigung der Schulleitung zur Erfüllung ihrer Aufgaben private Datenverarbeitungsgeräte zur Verarbeitung personenbezogener Daten verwenden. Sie haben sicherzustellen, dass diese Daten vor dem Zugriff unberechtigter Dritter geschützt sind. Das Kultusministerium stellt für die Genehmigung ein Formular zur Verfügung.


1.13.2.
Werden personenbezogene Daten auf Personal-Computern und anderen Datenverarbeitungsgeräten wie insbesondere Laptops, Tablets oder Smartphones verarbeitet, sind die erforderlichen technischen und organisatorischen Maßnahmen nach Artikel 32 Absatz 1 EU-DSGVO und § 3 Absatz 1 LDSG zu treffen und insbesondere folgende Voraussetzungen zu beachten:


alle personenbezogenen Daten sind verschlüsselt zu speichern. Dies gilt auch für den Einsatz mobiler Speichermedien wie USB-Sticks, mobiler Festplatten, CDs oder DVDs, Backups, sofern das Speichermedium nicht anderweitig (zum Beispiel durch Verschluss) gesichert ist,


soweit möglich, sind die Daten zu pseudonymisieren.


1.13.3.
Personenbezogene Daten, deren Kenntnis für die Lehrkraft nicht zur Aufgabenerfüllung erforderlich ist, dürfen nicht auf privaten Datenverarbeitungsgeräten verarbeitet werden. Besonders schutzwürdige Daten, etwa über Krankheiten oder Erziehungs- und Ordnungsmaßnahmen gegenüber Schülerinnen und Schülern, dürfen nicht auf dem privaten Datenverarbeitungsgerät gespeichert werden.


Jedoch dürfen Lehrkräfte im Rahmen ihrer Aufgaben personenbezogene Daten für Gutachten, beispielsweise für sonderpädagogische Zwecke, verarbeiten. Diese personenbezogenen Daten sind nach Fertigstellung entweder auszudrucken und/oder auf dienstliche Geräte zu übertragen und sodann auf den privaten Datenverarbeitungsgeräten unverzüglich zu löschen.


1.14.
Verarbeitung personenbezogener Daten durch andere Personen oder Stellen (Auftragsdatenverarbeitung) gemäß Artikel 28 EU-DSGVO


1.14.1.
Personenbezogene Daten der Schulen werden immer häufiger auf einem Server außerhalb der Schule verarbeitet (zum Beispiel beim Schulträger oder bei einem kommunalen Rechenzentrum). Beim Cloud-Computing werden IT-Infrastrukturen wie zum Beispiel Rechenleistung, Datenspeicher, Netzwerkkapazitäten oder auch komplette Anwendungssoftware sowie die Verarbeitung von Daten der Kunden mittels dieser Software von einem Dienstleister über das Internet zur Verfügung gestellt. Es handelt sich hier jeweils um eine Auftragsverarbeitung personenbezogener Daten (Artikel 28 EU-DSGVO), bei der die Schule als Auftraggeberin weiterhin für die Rechtmäßigkeit der Datenverarbeitung durch den Dienstleister die Verantwortung trägt. Der Dienstleister hat in Erfüllung des von der Schule erteilten schriftlichen Auftrags die technischen-organisatorischen Maßnahmen gemäß Artikel 25 Absatz 1 und 2 und Artikel 32 Absatz 1 EU-DSGVO zu treffen, deren Einhaltung von der Schule in geeigneter Weise zu kontrollieren ist und vom Dienstleister durch die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens nachgewiesen werden kann. Die erforderlichen Genehmigungen erfolgen durch den LfDI.


Es wird empfohlen, für eine Datenverarbeitung im Auftrag den vom Kultusministerium bereitgestellten Mustervertrag mit Ausfüllhinweisen zu verwenden, der mit dem LfDI abgestimmt wurde.


1.14.2.
Die Speicherung personenbezogener Daten in einer „Cloud“ beziehungsweise die dienstliche Nutzung von sogenannten „Cloud-Diensten“ ist unzulässig, wenn die Voraussetzungen nach Artikel 28 EU-DSGVO nicht vorliegen oder wenn der Dienstleister oder die genutzten Server sich außerhalb des räumlichen Anwendungsbereichs der EU-DSGVO befinden. Zu verlangen sind also mindestens:


offene, transparente und detaillierte Informationen der Cloud-Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt, und andererseits die notwendigen Informationen haben, um zwischen den Cloud-Anbietern wählen zu können,


transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zu Unterauftragsverhältnissen, zur Portabilität (Plattformunabhängigkeit) und zur Interoperabilität (Fähigkeit der Zusammenarbeit unterschiedlicher Systeme),


die Umsetzung der abgestimmten Sicherheits- und Datenschutzmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender und


aktuelle und aussagekräftige Nachweise (zum Beispiel Zertifikate nach Artikel 42 EU-DSGVO von einer durch den LfDI zertifizierten Prüfungsorganisation) über die gesamte Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere den Datenschutz, die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.


2.
Verarbeitung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten


2.1.
Wahrnehmung von Rechten minderjähriger Schülerinnen und Schüler


2.1.1.
Minderjährige Schülerinnen und Schüler üben alle Rechte aus der EU-DSGVO, wie zum Beispiel die Erteilung der Einwilligung in die Datenverarbeitung (Artikel 6 Absatz 1 Buchstabe a EU-DSGVO), das Auskunftsrecht (Artikel 15 EU-DSGVO), das Recht auf Berichtigung (Artikel 16 EU-DSGVO), auf Löschung (Artikel 17 EU-DSGVO), auf Einschränkung der Verarbeitung (Artikel 18 EU-DSGVO) oder auf Datenübertragbarkeit (Artikel 20 EU-DSGVO) selbst aus, sofern sie die nötige Einsichtsfähigkeit hierfür besitzen. Ansonsten werden diese Rechte durch deren Erziehungsberechtigte ausgeübt. Gleiches gilt auch für die Mitteilungspflicht (Artikel 19 EU-DSGVO).


2.1.2.
Die Einsichtsfähigkeit ist nach der jeweiligen Reife der Schülerin beziehungsweise des Schülers und dem Verwendungszusammenhang der Daten zu beurteilen. Mit Vollendung des 16. Lebensjahres ist in der Regel vom Vorliegen der nötigen Einsichtsfähigkeit auszugehen. Dies gilt auch für den Widerruf der Einwilligung.


2.1.3.
Eine Einwilligungsfähigkeit liegt nicht vor, wenn die Schülerin beziehungsweise der Schüler die Folgen einer Verarbeitung der jeweiligen Daten nicht erkennen oder nicht sachgerecht einschätzen kann. In Zweifelsfällen hat der Empfänger der Einwilligungserklärung zu prüfen, ob die Einsichtsfähigkeit tatsächlich vorliegt.


2.1.4.
Vor der Veröffentlichung von Fotos, Filmen, Tonaufnahmen in digitalen Medien im Internet/Intranet oder in Printmedien (zum Beispiel Schülerzeitschriften), auf denen minderjährige Schülerinnen und Schüler abgebildet oder identifizierbar sind, ist zum Schutz der Persönlichkeitsrechte nicht nur eine schriftliche oder elektronische Einwilligung der Erziehungsberechtigten einzuholen, sondern nach Vollendung des 14. Lebensjahres auch zusätzlich von den betroffenen Schülerinnen und Schülern. Dies gilt auch, wenn Fotos, Filme, Tonaufnahmen und digitale Medien, auf denen minderjährige Schülerinnen und Schüler abgebildet oder identifizierbar sind, an andere Personen weitergegeben oder ausgetauscht werden sollen (siehe § 22 Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und Photographien und Nummer 2.4).


2.2.
Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten


2.2.1.
Die Schulen dürfen folgende personenbezogene Daten entsprechend den Erfordernissen der jeweiligen Schulart speichern und entsprechend weiterverarbeiten:


Allgemeine Daten von Schülerinnen und Schülern



Merkmal

Erläuterungen

Name, Vornamen, ggf. Geburtsname


Adresse


Kontaktdaten

zum Beispiel Telefonnummer, Faxnummer, E-Mail



Geschlecht

Geburtsdatum

Geburtsort und Geburtsland

Staatsangehörigkeit


Verkehrssprache in der Familie beziehungsweise im häuslichen Umfeld

Jahr des Zuzugs nach Deutschland, Herkunftsland

soweit Geburtsort außerhalb der Bundesrepublik

Aussiedlereigenschaft


Zugehörigkeit zu einer Religion / Konfession für die in Baden-Württemberg Religionsunterricht als ordentliches Lehrfach eingerichtet ist

Alevitisch, Altkatholisch, Evangelisch, Islamisch-sunnitisch, Jüdisch, Römisch-katholisch, Orthodox (bulgarisch-, georgisch-, russisch-, griechisch-, rumänisch-, serbisch-orthodox), Syrisch-orthodox

Gesundheitliche Beeinträchtigungen

soweit diese Informationen für die Sicherstellung des Schulbesuch erforderlich sind

Behinderungsart / Förderschwerpunkt


Internat- und Heimunterbringung

Geschwister an der Schule


Nutzung des ÖPNV




Daten der Erziehungsberechtigten



Merkmal

Erläuterungen

Name, Vornamen, Titel




Adresse


Kontaktdaten

zum Beispiel Telefonnummer, Faxnummer, E-Mail

Geschlecht


Staatsangehörigkeit


Unterschrift Erziehungsberechtigte


Schulische Funktion der Eltern

zum Beispiel Elternvertreter



Schulische Daten, Schullaufbahndaten



Merkmal

Erläuterungen

Teilnahme am Unterricht

insbesondere Klasse, Bildungsgang, Fach, Unterrichtsfächer, Anforderungsniveau / Niveaustufen, Eigenschaft des Unterrichts, Kurse, Arbeitsgemeinschaften, Teilnahme an Stütz- und Fördermaßnahmen einschließlich LRS- und Sprachheilkurse, Beratung und Unterstützung im Rahmen des sonderpädagogischen Dienstes, Teilnahme am Religionsunterricht beziehungsweise am Ethikunterricht, Abmeldung vom Religionsunterricht

Schullaufbahn

vorzeitige Aufnahme, Eintritt in die Schule / Austritt / Grund, bisher besuchte Schulen und Bildungsgänge, Jahr der Ersteinschulung, Schulwechsel, Name und Anschrift der aufnehmenden Schule, schulische Herkunft, schulische Vorbildung, Wiederholungen von Klassen, Art der Wiederholung, Überspringen von Klassen, Fremdsprachenfolge und -dauer

Schulpflicht


Schulanfängerin / Schulanfänger

Nichteinschulung wegen Zurückstellung oder Befreiung

Außerunterrichtliche Praxiserfahrungen (Praktikum u. a.)


Grundschulempfehlung und gegebenenfalls weitere Bildungsempfehlungen


Schulaufnahmeberechtigung

Art der Berechtigung, Aufnahmeprüfung, Datum

Teilnahme am besonderen Beratungsverfahren


Unterrichtsversäumnisse


Preise / Belobigungen


Erziehungs- und Ordnungsmaßnahmen




Befreiungen vom Unterricht / Beurlaubung


Gastschüler / Zahl der teilnehmenden Schülerinnen und Schüler anderer Schulen


Teilnahme an Betreuungsangeboten und Betreuungsumfang

zum Beispiel beim Besuch einer Ganztagesschule, verlässliche Grundschule oder Hortbesuch

Leistungsdaten, Prüfungsdaten

Noten, Punktzahl, verbale Beurteilungen

Zeitpunkt und Ergebnis von Prüfungen und Versetzungskonferenzen

auch Versetzungen und Probeversetzungen

Nichtzulassung zu Prüfungen


Zeugnisbemerkungen


Bildungsziel

höchster angestrebter Abschluss

Erworbener Schulabschluss

auch Teilnahme an Schulfremdenprüfung

Schulentlassener


Teilnahme an Bundesjugendspielen

Sportart, Erwerb von Urkunden

Erfolgreiche Teilnahme an Mentoren- Ausbildungen

zum Beispiel Musik, Bildende Kunst

Preise bei Wettbewerben

zum Beispiel Jugend musiziert, Jugendkunstpreis

Schulische Funktion der Schülerin / des Schülers (z. B. SMV, Schulsanitäter, Schülerhelfer bei Begegnungskonzerten)




Zusatzdaten bei beruflichen Schulen



Merkmal

Erläuterungen

Berufsschulpflicht


Schulische und berufliche Vorbildung

Berufliche Abschlüsse nach Berufsbildungsrecht

Voll- oder Teilzeitbeschulung

Teilnahme an Blockunterricht

Ausbildungsberuf, Beruf beziehungsweise berufliche Stellung

zum Beispiel mit beziehungsweise ohne Ausbildungsvertrag, Teilnahme an Praktikum, Förderungsmaßnahmen; Jungarbeiterin beziehungsweise Jungarbeiter

Beginn und Ende des Ausbildungsverhältnisses


Adresse und Kontaktdaten des Ausbildungs- oder Beschäftigungsbetriebes, der Praxis- oder Praktikumsstelle oder sonstiger Institutionen und der nach dem Berufsbildungsgesetz zuständigen Stelle, dortige Ansprechpartnerin oder Ansprechpartner

zum Beispiel Anschrift, Telefonnummer, Faxnummer, E-Mail

Teilnahme an Umschulungsmaßnahmen




Zusatzdaten bei Schulen mit Internat oder Heim



Merkmal

Erläuterungen

Krankenkasse


Vorerkrankungen

sofern diese Information für die Schule erforderlich ist

Gesundheitszeugnis

sofern für den Schulbesuch erforderlich



Die Schulen haben sich bei der Verwendung von Aufnahmebögen an dem Muster der Anlage 2 zu orientieren. Sofern diese Daten mittels eines elektronischen Aufnahmeformulars zum Beispiel auf der Schulhomepage erhoben werden, ist zwingend eine Transportverschlüsselung einzurichten.



2.2.2.
Sofern weitere personenbezogene Daten verarbeitet werden sollen, sind die Voraussetzungen im Einzelnen besonders zu prüfen (siehe Nummer 1.1.) und zu dokumentieren.


2.3.
Übermittlung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten zu anderen Zwecken (§ 6 LDSG)


2.3.1.
Es gelten unterschiedliche Voraussetzungen für die Übermittlung personenbezogener Daten zu anderen Zwecken als ihren Erhebungszwecken an Stellen innerhalb des öffentlichen Bereichs (§ 6 Absatz 1 Nummer 1 LDSG), an Stellen der öffentlich-rechtlichen Religionsgemeinschaften und an Stellen außerhalb des öffentlichen Bereichs (§ 6 Absatz 1 Nummer 2 LDSG). Als Empfänger von personenbezogenen Daten können insbesondere folgende Stellen in Betracht kommen:


2.3.1.1.
Öffentliche Stellen nach § 6 Absatz 1 Nummer 1 LDSG sind:


andere öffentliche Schulen (Einschränkungen siehe unter 2.3.7.),


Schulaufsichtsbehörden,


Gesundheitsämter,


Stellen, die nach dem Berufsbildungsgesetz für die Berufsausbildung zuständig sind,


Meldebehörden, Arbeits- und Ausländerämter nach Maßgabe der Gemeinsamen Verwaltungsvorschrift des Kultusministeriums und des Innenministeriums zur Durchsetzung der Schulpflicht in der jeweils geltenden Fassung,


Schulträger,


Jugendämter (siehe § 85 Absatz 2 und § 90 Absatz 8 SchG),


Sozialämter,


Ämter für Ausbildungsförderung und


zuständige öffentliche Archive.


Eine Übermittlung personenbezogener Daten an Stellen innerhalb des öffentlichen Bereichs ist ohne Einwilligung der betroffenen Personen zulässig, wenn die Voraussetzungen des § 6 Absatz 1 Nummer 1 LDSG vorliegen. Die Schule hat vor jeder Übermittlung die Voraussetzungen gemäß 1.3.3. zu prüfen. Die Übermittlung ist zu dokumentieren.


2.3.1.2.
Stellen der öffentlich-rechtlichen Religionsgemeinschaften


Eine Übermittlung der erforderlichen personenbezogenen Daten von Schülerinnen und Schülern und deren Erziehungsberechtigten an die katholische oder evangelische Kirche ist anlässlich der Kommunion oder Konfirmation sowie zur Erfüllung weiterer Aufgaben dieser Kirchen ohne Einwilligung der betroffenen Personen zulässig.


Eine Datenübermittlung von personenbezogenen Daten an weitere Religions- oder Weltanschauungsgemeinschaften ist nur mit Einwilligung der Betroffenen zulässig.


2.3.1.3.
Nichtöffentliche Stellen nach § 6 Absatz 1 Nummer 2 LDSG


Die Schulen übermitteln ohne Einwilligung der betroffenen Personen grundsätzlich keine personenbezogenen Daten an Privatpersonen oder andere Stellen außerhalb des öffentlichen Bereichs. Soll ausnahmsweise dennoch eine Datenübermittlung ohne Einwilligung stattfinden, so ist dies nur zulässig, wenn es zur Abwehr einer Gefahr für Leib und Leben oder einer anderen schwerwiegenden Beeinträchtigung der Rechte der betroffenen oder einer anderen Person oder zur Aufgabenerfüllung der Schule erforderlich ist. Die Aufgaben der Schule ergeben sich aus ihrem Erziehungs-, Bildungs- und Fürsorgeauftrag. Demnach dürfen insbesondere folgende Übermittlungen erfolgen:


Übermittlung an die für die Berufserziehung Mitverantwortlichen, insbesondere anlassbezogene Übermittlung von Fehlzeiten, Unterrichtsversäumnissen, Angaben zu entschuldigtem oder unentschuldigtem Fernbleiben vom Unterricht, sowie im Einzelfall anlassbezogene Informationen zu schulischen Leistungen sowie Unterrichtsbefreiungen und Beurlaubungen nach der Schulbesuchsverordnung vom 21. März 1982 (GBl. S. 176, K.u.U. S. 387), in der jeweils geltenden Fassung, mit Vor- und Zuname sowie Geburtsdatum an den Ausbildungsbetrieb.


Übermittlung nur der erforderlichen Daten zur Durchführung von außerunterrichtlichen und unterrichtlichen Veranstaltungen (zum Beispiel Meldedaten an Beherbergungsbetrieb) oder von schulischen Betreuungsangeboten Externer. Die Erziehungsberechtigten sowie die betroffenen Schülerinnen und Schüler selbst sind vor einer Datenübermittlung zu informieren.


Übermittlung von Namen und Anschrift der einzelnen Erziehungsberechtigtenvertreter an die Elternvertretungen im Sinne der §§ 57 bis 60 SchG. Für die Verarbeitung sonstiger personenbezogener Daten sind Einwilligungen erforderlich. Elternvertretungen sind selbst datenschutzrechtlich verantwortliche Stellen.


2.3.2.
Unverschlüsselter E-Mail-Verkehr zwischen Lehrkräften und Erziehungsberechtigten sollte lediglich zur Terminvereinbarung für ein persönliches Gespräch dienen, ohne jedoch dabei weitere personenbezogene Daten zu übermitteln.


Sonstiger dienstlicher E-Mail-Verkehr mit personenbezogenem Inhalt zwischen Schulen und Dritten soll nach Möglichkeit über das Landesverwaltungsnetz (LVN) beziehungsweise Kommunalverwaltungsnetz (KVN) erfolgen. Ist dies nicht möglich (zum Beispiel, weil der Dritte keinen Zugang zu diesen Netzen hat), müssen die personenbezogenen Daten bei der Übermittlung verschlüsselt sein. Alternativ kann auch eine Übermittlung in Briefform erfolgen.


2.3.3.
Die dienstliche Nutzung von Sozialen Netzwerken ist für eine Kommunikation von Lehrkräften mit anderen Lehrkräften oder mit Schülerinnen und Schülern nicht zulässig, wenn dabei personenbezogene Daten verarbeitet werden. Dies gilt nicht, sofern ein Soziales Netzwerk den datenschutzrechtlichen Anforderungen genügt. Das Kultusministerium veröffentlicht hierzu Hinweise.


2.3.4.
Einzelne Schulnoten dürfen nicht vor der gesamten Klasse, sondern nur gegenüber der betroffenen Schülerin oder dem betroffenen Schüler bekannt gegeben werden. Zur Orientierung der Schülerinnen und Schüler genügt ein Notenspiegel (zahlenmäßiger Überblick über die Notenverteilung ohne Namensnennung).


2.3.5.
Für die Übermittlung von Daten volljähriger Schülerinnen und Schüler an deren Erziehungsberechtigte gilt § 55 Absatz 3 SchG.


2.3.6.
Die Schulen haben Übermittlungen an sämtliche Empfänger (Definition in Artikel 4 Nummer 9 EU-DSGVO) schriftlich oder elektronisch so zu dokumentieren, dass sie Auskunft erteilen können, welche Daten an einen jeweiligen Empfänger übermittelt wurden.


2.3.7.
Die in der Anlage 2 zur SchulStatDVV BW genannten Daten dürfen gemäß § 115 Absatz 3 SchG an andere Schulen weitergegeben werden. Die Übermittlung anderer personenbezogener Daten unterliegt folgenden Einschränkungen:


Beim Übergang von der Grundschule zur weiterführenden Schule werden ohne Einwilligung der Erziehungsberechtigten mit Ausnahme der Stammdaten keine personenbezogenen Daten weitergegeben. Zur Information der weiterführenden Schulen bietet die Grundschule den Erziehungsberechtigten an, auf einem Beiblatt zur Grundschulempfehlung gegebenenfalls eine Lese- oder Rechtschreibschwäche (LRS) einschließlich der durchgeführten Fördermaßnahmen zu dokumentieren. Bei einem Schulwechsel von der Grundschule zu einer weiterführenden Schule dürfen die Grundschulempfehlung und das Zeugnis nicht von der Grundschule an die weiterführende Schule übermittelt werden.


Hiervon unberührt bleiben die sonst schulrechtlich durch Verordnung oder Schulversuchsregelungen auf der Grundlage des Schulgesetzes erfolgten Festlegungen. Danach gilt Folgendes:


Am Deutsch-Französischen Gymnasium kann bei der Anmeldung die Vorlage der Halbjahresinformation Klasse 4 gefordert werden.


An Gymnasien können, soweit die Zahl der Anmeldungen die vorhandene Kapazität übersteigt, für die Aufnahme in einen bilingualen Zug die Noten in Deutsch und Mathematik erfragt und zur Grundlage der Aufnahmeentscheidung gemacht werden.


Wechselt eine Schülerin beziehungsweise ein Schüler während des laufenden Bildungsganges in eine andere Schule, so dürfen personenbezogene Daten (zum Beispiel Informationen zu besonderem Förderbedarf) weitergegeben werden, wenn sie zur Erfüllung der pädagogischen Aufgaben der aufnehmenden Schule erforderlich sind. Es reicht hierfür nicht aus, dass diese Daten für die Aufgabenerfüllung der aufnehmenden Schule lediglich nützlich sind. Insbesondere dürfen besondere Kategorien personenbezogener Daten der Schülerinnen und Schüler nach Nummer 1.4 lediglich im Ausnahmefall übermittelt werden, sofern der Erziehungs-, Bildungs- und Fürsorgeauftrag der aufnehmenden Schule ansonsten nicht oder nur teilweise erfüllt werden könnte.


Dies gilt sowohl für Informationen über Erziehungs- und Ordnungsmaßnahmen (mit Ausnahme des Schulausschlusses) als auch für die Weitergabe kompletter Schülerakten. Diese sind zur Aufgabenerfüllung der aufnehmenden Schule im Regelfall nicht erforderlich.


2.4.
Veröffentlichung personenbezogener Daten von Schülerinnen und Schülern sowie von deren Erziehungsberechtigten


2.4.1.
Die Veröffentlichung von personenbezogenen Daten, insbesondere von Fotos von Schülerinnen und Schülern sowie deren Erziehungsberechtigten in Druckwerken der Schule, in öffentlich- und privatrechtlichen Medien und auf der Homepage der Schule (Internet/Intranet) ist eine Datenverarbeitung im Sinne von Artikel 4 Nummer 2 EU-DSGVO. Veranlasst die Schule die Veröffentlichung, muss sie zuvor die schriftlichen oder elektronischen Einwilligungen der jeweils betroffenen Personen unter den Voraussetzungen des Artikels 7 EU-DSGVO einholen, ferner sind die betroffenen Personen nach Artikel 13 EU-DSGVO umfassend zu informieren. Die Einwilligungserklärung kann so formuliert sein, dass sie bis zum Ende des Schulbesuchs gilt, darüber hinaus können auch kürzere Fristen genannt werden. Sie kann jederzeit ohne Angabe von Gründen widerrufen werden.


2.4.2.
Eine wirksame Einwilligung zur Veröffentlichung von personenbezogenen Daten im Internet liegt nur dann vor, wenn die Einwilligenden vor Erteilung der Einwilligung unter anderem über den beabsichtigen Zweck und über mögliche Gefahren beziehungsweise Risiken bei einer Veröffentlichung im Internet aufgeklärt wurden. Dabei ist darauf hinzuweisen, dass die Verwendung der im Internet veröffentlichten personenbezogenen Daten in keiner Weise einzugrenzen ist, dass auf diese Daten weltweit, auch über Suchmaschinen, zugegriffen werden kann und die Daten Bestandteil von Datensammlungen oder mit Daten aus anderen Zusammenhängen verknüpft werden können.


2.5.
Löschung personenbezogener Daten von Schülerinnen und Schülern


2.5.1.
Auf die Ausführungen zur Datenlöschung unter Nummer 1.5. wird verwiesen.


2.5.2.
Ein schutzwürdiges Interesse von Schülerinnen und Schülern an der befristeten Aufbewahrung ihrer personenbezogenen Daten im Sinne von § 10 Absatz 2 LDSG besteht insbesondere für folgende Daten:


Daten von betroffenen Personen, die für den Ersatz von abhanden gekommenen oder vernichteten Abschlusszeugnissen, Abgangszeugnissen beziehungsweise von Zeugnissen, die beim Verlassen einer Schule auch ohne Teilnahme an einer Prüfung erteilt wurden, notwendig sind,


Daten von betroffenen Personen, die für Nachweise gegenüber den Rentenversicherungsträgern notwendig sind, zum Beispiel der Zeitpunkt der Beendigung der Schulausbildung oder der Zeiträume, in denen bestimmte Schulen und/oder Klassen besucht worden sind.


Stellt die Schule ein schutzwürdiges Interesse fest, tritt anstelle der Löschung eine Einschränkung der Verarbeitung nach Artikel 18 EU-DSGVO (siehe unter 1.5.). Die betroffenen Personen sind über das Absehen von der Löschung und der Einschränkung der Verarbeitung zu unterrichten. Durch Verwendung der Anlage 2 dieser Verwaltungsvorschrift wird diese Anforderung erfüllt. Widerspricht eine betroffene Person dem Absehen von der Löschung, sind die Daten von der Schule zu löschen.


Die in Bezug auf eine Verarbeitung eingeschränkten Daten sind auch nach Ablauf bestimmter Fristen (Löschungsfristen) endgültig zu löschen.


2.5.3.
Löschungsfristen:


Schülerkarteikarten und Schülerlisten in Papierform sowie Abschluss- und Abgangszeugnisse sollen 60 Jahre, nachdem die betroffenen Personen die Schule verlassen haben, aufbewahrt werden und sind danach zu löschen.


Schülerakten und sonderpädagogische Gutachten, einschließlich Lern- und Förderplänen, Schulübergangsempfehlungen sind zwei Jahre nach Verlassen der Schule zu vernichten beziehungsweise bei elektronischer Führung zu löschen.


Klassen- und Kurstagebücher sind nach Ablauf der jeweils folgenden fünf Schuljahre zu löschen.


Schriftliche Einwilligungserklärungen zur Veröffentlichung von Fotos in einem Druckwerk sind fünf Jahre, nachdem das Druckwerk in den Umlauf gebracht wurde, zu löschen.


Schriftliche Einwilligungserklärungen zur Veröffentlichung von Fotos auf der Homepage sind fünf Jahre nach der Herausnahme aus der Homepage zu löschen.


Notenlisten beziehungsweise Listen über Lernnachweise und Klassenarbeiten beziehungsweise Lernnachweise, Entschuldigungen oder Fehlzeitenlisten sind nach dem Ende des jeweils nächsten Schuljahres zu löschen, sofern keine Rechtsmittel eingelegt worden sind.


Prüfungsunterlagen wie Prüfungsniederschriften und Prüfungsarbeiten sind fünf Jahre nach Feststellung des Prüfungsergebnisses zu löschen.


Personenbezogene Daten von Schülerinnen und Schülern auf privaten Datenverarbeitungsgeräten der Lehrkräfte nach 1.13.1. sind spätestens nach dem Ende des jeweils nächsten Schuljahres auf dem privaten Datenverarbeitungsgerät zu löschen, sofern keine Rechtsbehelfe oder Rechtsmittel zum Beispiel gegen ein Abschlusszeugnis eingelegt worden sind.


2.6.
Einsichtnahme in schulische Prüfungsarbeiten, Prüfungsprotokolle und Aushändigung von Prüfungsunterlagen


2.6.1.
Wer als Schülerin oder Schüler eine Prüfung abgelegt hat (einschließlich der Prüfungen für Schulfremde), kann nach Abschluss der Prüfung, beziehungsweise, soweit diese aus mehreren Teilprüfungen besteht, nach Abschluss der gesamten Prüfungen seine Prüfungsarbeiten einschließlich der Korrekturanmerkungen und gegebenenfalls einer Notenbegründung und die sie beziehungsweise ihn betreffenden Prüfungsprotokolle der mündlichen Prüfungen einsehen. Das gleiche Recht steht bei minderjährigen Schülerinnen und Schülern deren Erziehungsberechtigten zu. Diese und volljährige Schülerinnen und Schüler können mit der Einsichtnahme eine volljährige Person bevollmächtigten. Die Vollmacht muss schriftlich erteilt sein.


2.6.2.
Die Prüfungsunterlagen sind an der Schule einzusehen, an der die Prüfung abgelegt wurde. Die Einsichtnahme ist nur unter Aufsicht zulässig. Die Schule bestimmt den Termin der Einsichtnahme unter Berücksichtigung ihrer räumlichen und organisatorischen Möglichkeiten. Vor der Einsichtnahme in die Prüfungsunterlagen sind die personenbezogenen Daten anderer betroffener Personen unkenntlich zu machen. Befinden sich die Prüfungsunterlagen bei einer anderen Stelle, sind sie von dieser möglichst rasch der Schule zurückzugeben.


2.6.3.
Die Einsicht nehmenden Personen können Auszüge aus den Prüfungsunterlagen anfertigen, abfotografieren, einscannen oder von der Schule kostenpflichtige Kopien anfordern.


2.6.4.
Auf Antrag können Prüfungsteilnehmerinnen und -teilnehmern die Prüfungsunterlagen drei Jahre nach Abschluss ihrer Prüfung von der Schule, an der die Prüfung abgelegt wurde, ausgehändigt werden. Sofern die Prüfungsunterlagen von einem staatlichen oder kommunalen Archiv im Rahmen der für die Auswahlarchivierung von Schulunterlagen getroffenen Regelung archiviert werden, können Antragsteller auf eigene Kosten Kopien ihrer Arbeiten erhalten.


2.6.5.
Nummern 2.6.1. bis 2.6.4. gelten auch für Prüfungen, die an anerkannten Ersatzschulen nach staatlichen Vorschriften abgenommen werden.


3.
Verarbeitung und Löschung personenbezogener Daten von Lehrkräften, Referendarinnen und Referendaren sowie Anwärterinnen und Anwärtern


3.1.
Verarbeitung personenbezogener Daten von Lehrkräften durch öffentliche Schulen


3.1.1.
Für das Verarbeiten personenbezogener Daten von Lehrkräften gelten insbesondere die Artikel 6 und 9 EU-DSGVO sowie §§ 4 bis 6 und 15 LDSG. Danach ist die Verarbeitung personenbezogener Daten von Lehrkräften an öffentlichen Schulen zulässig, wenn es zur Erfüllung der Aufgaben der Schule erforderlich ist oder die Lehrkraft eingewilligt hat.


3.1.2.
Personenbezogene Daten von Lehrkräften dürfen im Internet und Intranet, in Filmen oder Druckwerken veröffentlicht werden, soweit eine schriftliche oder elektronische Einwilligung der betroffenen Person vorliegt. Die Einwilligung kann jederzeit ohne Angabe von Gründen widerrufen werden. Eine Veröffentlichung der Daten für eine dienstliche Erreichbarkeit der Schulleiterin beziehungsweise des Schulleiters und deren Stellvertretung ist als dienstlich erforderlich und somit auch ohne deren Einwilligung als zulässig anzusehen.


Für eine wirksame Einwilligung wird auf die Regelung unter 2.4.2. verwiesen.


3.1.3.
Personenbezogene Daten von Lehrkräften dürfen zudem verarbeitet werden, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlicher planerischer, organisatorischer, personeller, sozialer oder haushalts- und kostenrechnerischer Maßnahmen, insbesondere zu Zwecken der Personalplanung und des Personaleinsatzes erforderlich ist oder eine Vorschrift, ein Tarifvertrag oder eine Dienst- oder Betriebsvereinbarung es vorsieht (§ 15 Absatz 1 LDSG). Diese Grundsätze sind auch auf die Erhebung personenbezogener Daten bezüglich früherer, bestehender oder zukünftiger arbeitsrechtlicher Rechtsverhältnisse von Lehrkräften und bei der Verarbeitung von personenbezogenen Daten von Bewerbern anzuwenden.


Soweit diese Verarbeitung in Personalakten erfolgt, sind die Vorschriften in §§ 83 folgende des Landesbeamtengesetzes in der jeweils geltenden Fassung zu beachten. Personalaktendaten dürfen danach nur für Zwecke der Personalverwaltung oder der Personalwirtschaft verarbeitet werden. Personalaktendaten sind alle zur Personalakte gehörenden Unterlagen und Dateien, welche die einzelne Lehrkraft betreffen, soweit sie mit ihrem Dienstverhältnis in einem unmittelbaren inneren Zusammenhang stehen.


3.1.4.
Für Lehrkräfte im Angestelltenverhältnis gelten die für Beamte geltenden Vorschriften entsprechend, es sei denn, besondere Vorschriften oder tarifliche Vereinbarungen gehen vor (§ 15 Absatz 4 LDSG).


3.1.5.
Vor der erstmaligen Speicherung ihrer Daten sind die Lehrkräfte von der Schulleitung zu unterrichten und nach der Erfassung der Daten mit einem Ausdruck über die gespeicherten Daten zu informieren. Des Weiteren stellen die Schulleitungen bei automatisierter Datenverarbeitung im Interesse der Transparenz und der Richtigkeit der gespeicherten Daten ihren Lehrkräften nach Aufforderung einen Ausdruck der über sie gespeicherten Daten und der damit durchgeführten systematischen Auswertungen zur Verfügung.


3.1.6.
Die Schulen haben Übermittlungen an sämtliche Empfänger (Definition nach Artikel 4 Nummer 9 EU-DSGVO) so zu dokumentieren, dass sie Auskunft erteilen können, welche Daten an einen jeweiligen Empfänger übermittelt wurden.


3.1.7.
Die Schulen können folgende personenbezogenen Daten entsprechend der aus der nachfolgenden Liste ersichtlichen Maßgaben verarbeiten, wobei eine Verarbeitung mit dem Ziel einer Bewertung der Leistungen und des Verhaltens der Lehrkräfte außerhalb von dienstlichen Beurteilungen unzulässig ist:


Gruppe 1:

STAMMDATEN



Merkmale

Erläuterungen*

Hinweise

Familienname



Kurzzeichen



Vorname



Namenszusatz

A:

zum Beispiel Adelsprädikat


Titel

A:

zum Beispiel Akademische Grade


Geburtsdatum



Geburtsname



Geburtsort



Personalnummer / Arbeitsgebiet LBV

Z:

Angabe für den Schriftverkehr LBV


Geschlecht



Staatsangehörigkeit



Religionszugehörigkeit / Konfession


Erfassung nur für Lehrkräfte mit Lehrbefähigung einer Kirche oder anderen Religionsgemeinschaft (Vocatio, Missio canonica bzw. andere Lehrbefugnis)

Familienstand

A:

nicht verheiratet / verheiratet



Z:

Ansprüche der Lehrkräfte (zum Beispiel Sonderurlaub)


Kinder

A:

Anzahl, Alter



Z:

Ansprüche der Lehrkräfte (zum Beispiel Sonderurlaub)


Wohnsitz

A:

Straße, Hausnummer, PLZ Ort, Telefonnummer


weitere Anschrift

A:

Straße, Hausnummer, PLZ Ort, Telefonnummer



F:

nur mit Einwilligung der betroffenen Personen



Z:

Erreichbarkeit


E-Mail-Adresse (dienstlich)




Notfallverbindung

A:

Name, Anschrift, Telefonnummer



Z:

Benachrichtigung im Notfall


Grad der Behinderung

A:

GdB 30 und mehr



Z:

Grundlage für die Berechnung von Ermäßigungsstunden


Merkzeichen im Ausweis (zum Beispiel ‚G‘ für Gehbehinderung)



Gültigkeitsdatum Schwerbehindertenausweis





Gruppe 2:

LAUFBAHNDATEN



Merkmale

Erläuterungen*

Hinweise

Dienst- / Amtsbezeichnung / Status



Beschäftigungsverhältnis – Amtskennzahl

Z:

Statistik

Informationen stammen aus DIPSY und werden vom RP gepflegt

Beschäftigungsverhältnis – Dauer Ansparphase (nur GHRS)

Z:

Statistik


Bes. / Verg. Gruppe

Z:

Statistik


Lehrerart

Z:

Statistik

Informationen stammen aus DIPSY und werden vom RP gepflegt

Lehrkraftkategorie

Z:

Statistik


Schulleiter

Z:

Statistik


Abschlussprüfungen

S:

allgemein bildende Schulen



Z:

Statistik


Lehramt / Lehrbefähigungen / Abschlussprüfung

A:

Lehrbefähigung gemäß Dienstprüfung, Vocatio beziehungsweise Missio, Stufenschwerpunkt

siehe „Unterrichtsfächer“, Angabe über die lehramtsspezifische Qualifikation


Z:

Statisik


weitere Qualifikationen

A:

zum Beispiel Ergänzungsstudium, Qualifikation als Beratungslehrer, Laufbahnwechsel

soweit sie für den Einsatz an der Schule von Bedeutung sind

Art des Eintritts

Z:

Statistik


Datum der Einstellung

Z:

Probezeitbeurteilung


Datum der Anstellung

S:

berufliche Schulen und allgemein bildende Gymnasien sowie Fachlehrer und Technische Lehrer in allen Schularten



Z:

Laufbahnbetreuung



F:

nur mit Einwilligung des Betroffenen


Datum der letzten Beurteilung




Datum der letzten Beförderung/Höhergruppierung

S:

berufliche Schulen und allgemein bildende Schulen sowie Fachlehrer und Technische Lehrer in allen Schularten



Z:

Laufbahnbetreuung, Laufbahnwechsel



F:

nur mit Einwilligung der betroffenen Personen


Datum der letzten Schulleiterbeurteilung

Z:

Laufbahnbetreuung (Ernennungen: zum Beispiel Anstellung, Beförderung)



S:

allgemein bildende Schulen


Datum des ersten Arbeitstags an der Schule

Z:

soziale Betreuung


Datum des letzten Arbeitstags an der Schule

Z:

Datenbestandspflege; Statistik


Befristungszeitraum

Z:

Statistik


Art des Austritts

Z:

Statistik


Einsatzfächer

A:

Fächer, die durch die Lehrkraft unterrichtet werden können


Krankheitsstellvertreterstunden-Umfang

A:

Art, Dauer

Im Rahmen der Krankheitsstellvertretung hat eine Dienststelle (GHRS) ein vorgegebenes Stundenkontingent an Krankheitsstellvertretern auszuweisen

Z:

Deputatsplanung

Beurlaubung

A:

Art, Dauer

nur aktuelle, nicht frühere

Mutterschutz / Besonderheiten

A:

Dauer; voraussichtlicher und tatsächlicher Geburtstermin

Berechnung der Mutterschutzfrist




Beurlaubungen

Teilzeitbeschäftigung

A:

Art, Dauer

nur aktuelle, nicht frühere Teilzeitbeschäftigungen

Stammschule



für abgeordnete Lehrkräfte aus anderen Schulen

weitere Schule(n)


für abgeordnete Lehrkräfte der eigenen Schule



Gruppe 3:

Einsatzdaten 1

Zusammenfassungen für das laufende Schuljahr



Merkmale

Erläuterungen*

Hinweise

Schulart

Z:

Statistik


Schultyp

Z:

Statistik


Regelstundenmaß beziehungsweise vertraglich vereinbarte Stunden



Regelstundenmaßausgleich

A:

Übertrag aus dem vorigen Schuljahr, Vortrag auf das nächste Schuljahr


Mehrarbeitsunterrichtsstunden


zu vergütende MAU-Stunden

Gesamtunterrichtsstunden



Nachlässe auf das Regelstundenmaß:



Anrechnungen

A:

Klassifikation gemäß amtlicher Statistik, Umfang, Grund


Ermäßigungen

A:

Klassifikation gemäß amtlicher Statistik, Umfang, Grund


Freistellungen

A:

Klassifikation gemäß amtlicher Statistik, Umfang, Grund


Arbeitsbefreiungen

A:

Klassifikation gemäß amtlicher Statistik, Umfang, Grund


Abordnungen


an andere Schulen beziehungsweise Dienststellen

Funktionen an der Schule



Fachabteilung



Lehrerzimmer



Dienstliche Telefonnummern





Gruppe 4:

Einsatzdaten 2

Details für das laufende Schuljahr



Merkmale

Erläuterungen*

Hinweise

Lehrauftrag

A:

Stunden pro Fach, Lehrbereich, Klasse und Schulart; Unterrichtsform

inhaltliche Beschreibung der Unterrichtselemente

Klassenlehrerin/-lehrer, Tutorin/Tutor, Lernbegleiterin/-begleiter

A:

Klassen- / Lerngruppen- / Kursbezeichnung


Vertretungslehrkraft



Raum


bei Lehrkraft / Raum-Zuordnung

Stundenplan der Lehrkraft



Sprechstunde



Lehrauftragswünsche

A:

Fächer und Klassen, Lerngruppen



Z:

Vorbereitung für die Deputatsplanung


Stundenplanwünsche

Z:

Stundenplan-Erstellung


Abwesenheiten

A:

Dauer, Grund (gemäß Abwesenheitsblatt)



Z:

Vertretungsplan und Erstellung des Abwesenheitsblattes


Vertretungen

A:

Unterricht / Aufsicht Datum, Stunde, Klasse / Lerngruppe


Prüfungsbeteiligungen



Sonderaufgaben

A:

zum Beispiel Erstellung von Prüfungsaufgaben, Mitwirkung bei der Lehrerfortbildung




3.2.
Löschung personenbezogener Daten von Lehrkräften durch öffentliche Schulen


3.2.1.
Auf die Ausführungen zur Datenlöschung unter Nummer 1.5. und 3.1.3. wird verwiesen.


Auf die Löschung personenbezogener Daten von Lehrkräften, die nur vorübergehend für die Schule erforderlich sind, findet Nummer 1.5. und 3.1.3. ebenfalls Anwendung.


3.2.2.
Vorübergehend für die Schule erforderlich sind folgende Angaben


aus Nummer 3.1.7. Gruppe 2:


„Beurlaubung/Teilzeitbeschäftigung“,


„Krankheitsstellvertreterstunden-Umfang“,


„Mutterschutz/Besonderheiten“,


„Stammschule“,


„weitere Schulen“;


aus Gruppe 3:


alle Angaben mit Ausnahme des Regelstundenmaßes;


aus Gruppe 4:


sämtliche Angaben.


3.2.3.
Die Daten aus den Gruppen 3 und 4 sind jeweils schuljahresbezogen und dürfen nicht länger als bis zum Ende des folgenden Schuljahres durch die Schule verarbeitet werden. Die Personal(neben-)akte ist nach Ablauf der Aufbewahrungsfrist dem zuständigen Archiv (§ 3 LArchG) anzubieten. Übernimmt das Archiv die Personalakte nicht, ist sie unverzüglich zu vernichten.


3.3.
Mitbestimmung und Beteiligungsverfahren


Gemäß § 75 Absatz 4 Nummer 13 LPVG unterliegen die Einführung, Anwendung, wesentliche Änderung oder wesentliche Erweiterung technischer Einrichtungen und Verfahren der automatisierten Verarbeitung personenbezogener Daten der Beschäftigten der Mitbestimmung. Die Zustimmung des örtlichen Personalrats zu solchen Maßnahmen, die seitens der Schule vorgenommen werden, muss vor deren Umsetzung eingeholt werden.


Soweit es sich um Maßnahmen des Schulträgers handelt, zum Beispiel die Einführung einer elektronischen Schließanlage an Schulen, ist nicht der örtliche Personalrat der Lehrkräfte, sondern der beim Schulträger gebildete Personalrat zu beteiligen.


Die Informationspflicht der betroffenen Personen durch den jeweiligen Verantwortlichen nach Nummer 1.2. ist zu beachten.


3.4.
Verarbeitung personenbezogener Daten von Referendarinnen und Referendaren sowie Lehramtsanwärterinnen und Lehramtsanwärtern


Die Vorschriften 3.1.–3.3. gelten auch für Referendarinnen und Referendare sowie Lehramtsanwärterinnen und Lehramtsanwärter, soweit diese an öffentlichen Schulen tätig sind.


4.
Verarbeitung personenbezogener Daten im Rahmen der Schulevaluation (§ 114 SchG)


4.1.
Daten von Lehrkräften im Rahmen der Schulevaluation


4.1.1.
Lehrkräfte sind gemäß § 114 Absatz 1 SchG zur Mitwirkung an der Evaluation der Schul- und Unterrichtsqualität ihrer Schule verpflichtet. Dies umfasst auch die Verpflichtung, an der Erhebung personenbezogener Daten anlässlich von evaluationsbezogenen schriftlichen und mündlichen Befragungen teilzunehmen und die erforderlichen Angaben zu machen, sowie die Verpflichtung, gegebenenfalls bei der Beobachtung von Unterrichtssituationen im Rahmen der Evaluation mitzuwirken.


4.1.2.
Bei der Evaluation von Schulen handelt es sich um innerdienstliche, planerische und organisatorische Maßnahmen. Die Verarbeitung von personenbezogenen Daten von Lehrkräften, die für die Durchführung der Evaluationen erforderlich sind, ist somit gemäß § 15 Absatz 1 LDSG zulässig.


4.1.3.
Die Schulleitung informiert die Lehrkräfte darüber, zu welchem Zweck sie die Daten erhebt und wie sie weiter verarbeitet werden. Insbesondere sind die Lehrkräfte auch über den Ort und die Dauer der Verarbeitung in Kenntnis zu setzen. Bei Erhebungen mit arbeitsplatzbezogenem Inhalt hat die Personalvertretung nach § 75 Absatz 4 Nummer 3 LPVG mitzubestimmen, soweit sie Rückschlüsse auf die Auslastung und die Zufriedenheit zulassen.


4.2.
Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten und anderen am Schulleben beteiligten Personen im Rahmen der Schulevaluation


4.2.1.
Die Mitarbeit von Schülerinnen und Schülern und deren Erziehungsberechtigten bei der Evaluation ist grundsätzlich freiwillig. Gleiches gilt für alle anderen am Schulleben beteiligten Personen wie Ausbilder oder das Personal des Schulträgers. Eine Verpflichtung von Schülerinnen und Schülern besteht allerdings bei einer Beobachtung des Unterrichts im Rahmen einer Evaluation. Hier ist die Teilnahme für Schülerinnen und Schüler – wie bei jedem anderen Unterricht auch – verpflichtend. Bei der Befragung der Schüler über Daten ihrer Erziehungsberechtigten (zum Beispiel Alter, Berufsausbildung) ist auch die Einwilligung der Erziehungsberechtigten in diese Datenerhebung einzuholen. Dies ist nicht notwendig, wenn kein Personenbezug hergestellt werden kann.


4.2.2.
Von Personen, die nicht zur Mitwirkung verpflichtet sind, muss zur Verarbeitung ihrer personenbezogenen Daten deren schriftliche Einwilligung eingeholt werden.


4.2.3.
Bei der Einholung der Einwilligung muss die betroffene Person unter anderem darüber informiert werden, dass sie nicht verpflichtet ist, personenbezogene Angaben zu machen und sie eine erteilte Einwilligung auch widerrufen kann, siehe Nummer 2.4.1. Es muss darauf hingewiesen werden, dass eine Verweigerung der Einwilligung zu keinerlei Nachteilen führt. Darüber hinaus sind bei der Datenerhebung die Informationspflichten nach Artikel 13 EU-DSGVO zu erfüllen (siehe Nummer 1.2.). Zu informieren ist insbesondere darüber, zu welchem Zweck die Daten verarbeitet, wie, wo und wie lange die Daten in personenbezogener Form gespeichert, ob und gegebenenfalls an wen sie übermittelt und wann sie gelöscht werden.


4.3.
Umgang mit personenbezogenen Daten im Rahmen der Schulevaluation


4.3.1.
Die EU-DSGVO stellt den Grundsatz der Datenminimierung auf (Artikel 5 Absatz 1 Buchstabe c). Die Schulen müssen deshalb sowohl bei der Erhebung von Daten wie bei ihrer weiteren Verarbeitung aus den grundsätzlich denkbaren Maßnahmen diejenige auswählen, die einerseits zu sinnvollen Ergebnissen der Evaluation führt, andererseits aber in möglichst geringem Umfang datenschutzrechtliche Belange berührt.


4.3.2.
Um bei der Evaluation relevante Ergebnisse zu erzielen, ist es in der Regel nicht erforderlich, die gewonnenen Informationen bestimmten Lehrkräften, Schülerinnen und Schülern, deren Erziehungsberechtigten und anderen am Schulleben beteiligten Personen zuzuordnen oder Aussagen über Einzelpersonen zu treffen. Deshalb soll auch bereits der erste Schritt – die Erhebung der Daten – so erfolgen, dass keine Zuordnung zu bestimmten Personen möglich ist. Dies kann zum Beispiel durch die folgenden Maßnahmen erreicht werden:


Bei der Bildung von zu befragenden Gruppen sollte deren Teilnehmerzahl grundsätzlich nicht unter fünf Personen liegen.


Auf Namensangaben in Fragebögen ist zu verzichten.


Es ist auf solche Erhebungsmerkmale zu verzichten, die es ermöglichen, dass – auch ohne Namensangabe – Daten einer bestimmten Person zugeordnet werden können. Dies kann zum Beispiel mit dem Verzicht auf Angaben des genauen Alters (stattdessen zum Beispiel Altersgruppen „von...bis“ bilden) oder des Geschlechts erreicht werden.


Die Abgabe der Fragebögen ist so zu organisieren, dass die Anonymität bei der Abgabe gewährleistet ist (zum Beispiel Urnenabgabe).


Erhebungsunterlagen sind so zu gestalten, dass zunächst notwendige personenbezogene Angaben (= Hilfsmerkmale) physisch abgetrennt werden können.


Bei der Datenerhebung durch Interviews oder Beobachtungen ist das Protokoll so zu führen, dass eine Zuordnung zu einzelnen Befragten nicht mehr möglich ist.


4.3.3.
Ist es nicht möglich, bereits im Zusammenhang mit der Datenerhebung einen Personenbezug zu vermeiden, sollte anschließend eine Anonymisierung erfolgen. Dazu gehört auch, dass personenbezogene Daten getrennt von den eigentlich für die Evaluation erforderlichen Daten aufbewahrt und sofort nach ihrer Auswertung vernichtet werden. Protokolle mit personenbezogenen Daten müssen für Unbefugte unzugänglich aufbewahrt werden und sind ebenfalls sofort nach ihrer Auswertung zu vernichten.


4.3.4.
Die Verwendung von nicht personenbezogenen Daten, beispielsweise in schulinternen Qualitätsdokumentationen oder Berichten der Evaluation, auch deren Übermittlung an Dritte, zum Beispiel im Rahmen einer Gesamtlehrerkonferenz oder einer Schulkonferenz, ist datenschutzrechtlich ohne Relevanz.


4.3.5.
Der Einsatz elektronischer Evaluationsinstrumente, bei denen personenbezogene Daten verarbeitet werden, ist in das Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 EU-DSGVO aufzunehmen. Sofern personenbezogene Daten im Auftrag der Schule durch andere Personen oder Stellen verarbeitet werden handelt es sich um eine Auftragsdatenverarbeitung, siehe Nummer 1.14.


4.3.6.
Neben den datenschutzrechtlichen Regelungen sind beim Einsatz von elektronischen Verfahren im Rahmen der Evaluation, soweit diese zweckgerichtet für die Verarbeitung von personenbezogenen Daten eingesetzt werden, auch die Beteiligungsrechte der Personalvertretungen gemäß § 75 Absatz 4 Nummer 13 LPVG zu beachten. Dies ist dann der Fall, wenn elektronische Verfahren umfangreiche Auswertungs- und Datenverknüpfungen zulassen.


4.4.
Übermittlung von personenbezogenen Daten im Rahmen der Schulevaluation


4.4.1.
Bei einer Übermittlung von Ergebnissen der Evaluation beispielsweise von schulinternen Qualitätsdokumentationen oder bei der Bekanntgabe zum Beispiel im Rahmen einer Gesamtlehrerkonferenz oder Schulkonferenz sind personenbezogene Daten grundsätzlich so zusammenzufassen, dass eine Zuordnung bestimmter Personen unmöglich gemacht wird.


4.4.2.
Ist es unumgänglich, in die Dokumentation der Evaluation personenbezogene Daten aufzunehmen, sind bei der Entscheidung über die Datenübermittlung das Interesse der Schule an einer Qualitätsverbesserung und schutzwürdige Interessen Einzelner sorgfältig gegeneinander abzuwägen. Hiervon betroffene Personen sind zu informieren, ihre Zustimmung ist einzuholen.


4.4.3.
Personenbezogene Daten von Lehrkräften, Schülerinnen und Schülern, Erziehungsberechtigten oder sonstigen einbezogenen Personen (insbesondere Personal des Schulträgers) dürfen nur mit deren Einwilligung an Dritte übermittelt werden. Dies gilt auch für personenbezogene Daten der Schulleitung und deren Stellvertretung. Dritte im datenschutzrechtlichen Sinn sind dabei auch sowohl die schulischen Gremien wie auch mittelbar am Schulleben Beteiligte (zum Beispiel Schulträger). Allein der Umstand, dass ein Gremium nicht öffentlich tagt, rechtfertigt für sich eine Datenübermittlung ohne Einwilligung davon betroffener Personen nicht.


4.4.4.
Für die Übermittlung des Berichts der Evaluation an die Schulaufsicht bedarf es keiner Einwilligung.


5.
Inkrafttreten


Diese Verwaltungsvorschrift tritt mit Wirkung vom 1. September 2019 in Kraft. Gleichzeitig tritt die Verwaltungsvorschrift Datenschutz an öffentlichen Schulen vom 5. Dezember 2014 (K.u.U. 2015, S. 15) außer Kraft.

Anlage 1
zur Verwaltungsvorschrift "Datenschutz an öffentlichen Schulen"



Datenschutzrechtliche Hinweise für den Gebrauch privater Datenverarbeitungsgeräte durch Lehrkräfte zur Verarbeitung personenbezogener Daten



Auf privaten Datenverarbeitungsgeräten dürfen lediglich die personenbezogenen Daten jener Schülerinnen und Schüler verarbeitet werden, die von der jeweiligen Lehrkraft selbst unterrichtet werden, also deren Klassenlehrerin oder Klassenlehrer, Lernbegleiterin oder Lernbegleiter beziehungsweise Tutorin oder Tutor sie ist. Art und Umfang der verarbeiteten Daten orientieren sich an den herkömmlich etwa in einem Notenbuch geführten oder bei der manuellen Zeugniserstellung benötigten Daten. Besonders schutzwürdige Daten, etwa über Krankheiten oder Erziehungs- und Ordnungsmaßnahmen von Schülerinnen und Schülern, dürfen nicht auf dem privaten Datenverarbeitungsgerät verarbeitet werden.



Jedoch dürfen Lehrkräfte im Rahmen ihrer Aufgaben personenbezogene Daten von Schülerinnen und Schülern für Gutachten, beispielsweise für sonderpädagogische Zwecke, verarbeiten. Diese personenbezogenen Daten sind nach Fertigstellung entweder auszudrucken und/oder auf dienstliche Geräte zu übertragen und sodann auf den privaten Datenverarbeitungsgeräten unverzüglich zu löschen.



Die personenbezogenen Daten müssen durchgängig verschlüsselt gespeichert und verschlüsselt über das Internet übermittelt werden. Diese Daten sind getrennt von privaten, persönlichen Daten zu speichern und gegen unbefugten Zugriff zu schützen. Empfohlen wird eine Speicherung dienstlicher personenbezogener Daten auf einem verschlüsselten USB-Stick, um eine Trennung von dienstlichen und privaten Daten zu gewährleisten. Der Datenträger ist sorgsam zu verwahren.



Die Daten müssen spätestens nach dem Ende des nächsten Schuljahres gelöscht werden. Jeder Verlust ist sofort der Schulleitung zu melden, gegebenenfalls sind zudem die Melde- und Benachrichtigungspflichten nach 1.10. der Verwaltungsvorschrift zu beachten.



Genehmigung



Die Schulleitung muss über Art und Umfang der vorgesehenen Verarbeitung personenbezogener Daten auf einem privaten Datenverarbeitungsgerät (PC, Laptop, Tablet, Smartphone, Wechseldatenträger wie DVD, USB-Stick, externe Festplatte …) einer Lehrkraft informiert sein und dieser Datenverarbeitung schriftlich zustimmen. Diese Anlage zur Verwaltungsvorschrift „Datenschutz an öffentlichen Schulen“ ist der Lehrkraft auszuhändigen. Hierfür muss die Lehrkraft der Schulleitung eine Übersicht der verwendeten Hard- und Software sowie eine Bestätigung der getroffenen technischen und organisatorischen Maßnahmen (Artikel 32 EU-DSGVO und § 3 LDSG) vorlegen. Das Kultusministerium stellt hierfür eine Vorlage unter www.it.kultus-bw.de zur Verfügung, die von den Schulen zu verwenden ist.



Technische und organisatorische Datenschutzmaßnahmen



Diese Datenschutzmaßnahmen müssen insbesondere gewährleisten, dass ein unbefugter Zugriff auf die Daten wirksam unterbunden wird.



Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:



die Pseudonymisierung und Verschlüsselung personenbezogener Daten


Eine Pseudonymisierung muss nur dann durchgeführt werden, wenn dies für die Aufgabenerfüllung sinnvoll ist und die Aufgabenerfüllung damit möglich ist. Sollen zum Beispiel Schülernoten verwaltet werden, ist eine Pseudonymisierung nicht sinnvoll.


Die Daten müssen in jedem Fall durchgängig verschlüsselt gespeichert werden. Die Verschlüsselung kann zum Beispiel mittels der Software „VeraCrypt“ durchgeführt werden.
Werden weitere Datenträger wie zum Beispiel USB-Sticks oder externe Festplatten verwendet, müssen die dienstlichen Daten auch dort verschlüsselt sein.


die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;


Je nach Art der Informationen stehen unterschiedliche Schutzziele im Vordergrund: So muss sichergestellt werden können, dass Informationen vertraulich behandelt werden, dass sie nicht absichtlich oder versehentlich geändert werden und dass sie dann zur Verfügung stehen, wenn sie benötigt werden. Folgende Fragen sind hierbei unter anderem zu klären:


Wo und wie werden die Geräte verwahrt?
Sichere Verwahrung. Zum Beispiel abschließbarer Raum oder abschließbarer Schrank ...?


Wie wird sichergestellt, dass das private Gerät nicht durch Unbefugte genutzt werden kann?
Zum Beispiel geheimes Passwort für den Gerätezugang.


Wie wird gewährleistet, dass andere Benutzer des Gerätes, zum Beispiel Familienangehörige, nicht auf die dienstlichen Daten zugreifen können?


Zum Beispiel durch Einrichtung verschiedener Benutzerprofile wird der Zugriff auf die dienstlichen Daten geschützt oder durch Ablage der Daten in einem speziellen Bereich des Dateisystems mit eingeschränkter Zugriffsberechtigung. Es wird empfohlen, dass das Benutzerkonto über keine administrativen Berechtigungen verfügt.


Wenn Daten an andere Stellen oder Personen übermittelt oder transportiert werden, müssen die Daten verschlüsselt werden.


Wohin werden welche Datenarten zu welchem Zweck übermittelt? Ist die Sicherheit der Übermittlungsmethode bekannt und angemessen?


Wie und durch welche Software erfolgt die Verschlüsselung?


Wie werden Daten gelöscht? Welche Software kommt zum Einsatz? Hinweise, welche Software eingesetzt werden kann, finden Sie auf der Homepage des BSI und auf dem Lehrerfortbildungsserver.


die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.


Folgende Fragen sind hierbei unter anderem zu klären:
Auf welche Weise und wie häufig erfolgen Datensicherungen, sogenannte Backups?
Werden die Daten gespiegelt? Wird ein Speichernetzwerk (SAN oder NAS) eingesetzt?


Ferner ist Folgendes zu beachten:


Das eingesetzte Betriebssystem muss durch die Installation von Updates oder Patches regelmäßig auf dem aktuellen Stand gehalten werden.


Es ist generell die Möglichkeit der Authentisierung (personalisierte Anmeldung) insbesondere beim Betriebssystem zu nutzen.


Es ist eine Firewall einzusetzen (für den Fall dass das Gerät sich im Internet befindet) sowie eine Virenschutzsoftware. Diese sind stets auf dem aktuellen Stand zu halten.


Empfohlen wird, sämtliche Updates (Betriebssystem, Firewall, Virenschutz) automatisiert erfolgen zu lassen, dies kann durch entsprechende Konfiguration der Software erfolgen.


Passwörter sind so zu wählen, dass sie dem Stand der Technik entsprechen. Infos hierzu erhalten Sie auf dem Lehrerfortbildungsserver.


Bei der Nutzung von Webportalen darf das eingegebene Passwort nicht im Browser für weitere Sitzungen gespeichert werden. Dies verhindert die unberechtigte Nutzung des Webportals durch andere Nutzer Ihres privaten Umfelds, zum Beispiel durch im Haushalt wohnende Kinder.


Das Löschen mit Betriebssystemmitteln reicht in der Regel nicht aus, weil Daten trotz dieser Löschung wiederhergestellt werden können.


Die Nutzung fremder Internetzugänge (zum Beispiel in Internet-Cafes oder Hot-Spots an öffentlichen Plätzen) ist grundsätzlich verboten, es sei denn, der Internetzugang verfügt über eine Verschlüsselung. Die Nutzung des eigenen WLAN darf nur erfolgen, wenn das WLAN sicher verschlüsselt ist (zum Beispiel aktuelle WPA2-Verschlüsselung).


Für die Speicherung und sonstige Verarbeitung auch verschlüsselter personenbezogener Daten von privaten Datenverarbeitungsgeräten aus Clouds gelten die Anforderungen nach 1.14.2. der VwV „Datenschutz an öffentlichen Schulen“.


Auskunftsanspruch



Die Schulleitung und gegebenenfalls der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg haben gegenüber der Lehrkraft einen Auskunftsanspruch über die auf den privaten Geräten gespeicherten dienstlichen personenbezogenen Daten. Die Lehrkraft muss daher schriftlich zusichern, dass sie die Datenverarbeitungsgeräte und Speichermedien nach Aufforderung in die Räume der Schule zu Kontrollzwecken bringen wird und eine Kontrolle der dienstlich verarbeiteten Daten durch dazu berechtigte Personen duldet. Dies erfolgt im Beisein der Lehrkraft.



Die Lehrkraft verpflichtet sich zudem, alle zukünftigen wesentlichen Änderungen (zum Beispiel Neubeschaffung von Hardware, Einsatz neuer Software zur Verarbeitung dienstlicher personenbezogener Daten) der Schulleitung unverzüglich mitzuteilen.



Weitere Informationen zu diesen Themen finden Sie im Internet auf der Webseite des BSI für Privatpersonen, welche unter http://www.bsi-fuer-buerger.de zu erreichen ist und unter www.lehrerfortbildung-bw.de, Rubrik Recht / Schule – Datenschutz.

Anlage 2: Aufnahmebogen Schülerinnen und Schüler



Anlage 2: Aufnahmebogen Schülerinnen und Schüler

Anlage 3
zur Verwaltungsvorschrift "Datenschutz an
öffentlichen Schulen"



Belehrung zum Datenschutz



[Name der Schule, gegebenenfalls Logo der Schule]



Hinweis: Diese Belehrung ist einmal pro Schuljahr beispielsweise in einer Gesamtlehrerkonferenz oder in einer Dienstbesprechung gegenüber allen Personen, die an der Schule personenbezogene Daten verarbeiten oder auf diese zugreifen können, durchzuführen.



1.
Zulässigkeit einer Datenverarbeitung


Mir ist bekannt, dass die Verarbeitung personenbezogener Daten nur gestattet ist, wenn eine der in Artikel 6 Absatz 1 der EU-DSGVO genannten Bedingungen erfüllt ist. Die Verarbeitung personenbezogener Daten ist beispielsweise erlaubt, wenn sie für die Wahrnehmung des Erziehungs- und Bildungsauftrages erforderlich ist (Artikel 6 Absatz 1 Buchstabe e EU-DSGVO). Ferner ist eine Verarbeitung zulässig, wenn die betroffene Person beziehungsweise deren Sorgeberechtigter in die Verarbeitung wirksam eingewilligt hat (Artikel 6 Absatz 1 Buchstabe a EU-DSGVO).


2.
Datenschutzmaßnahmen


Ich bin verpflichtet, sämtliche Unterlagen und Speichermedien mit personenbezogenen Daten so zu bearbeiten, zu transportieren, aufzubewahren und zu entsorgen, dass Unbefugte keine Einsicht nehmen können.


3.
Nutzung von privaten Datenverarbeitungsgeräten


Mir ist bekannt, dass ich personenbezogene Daten insbesondere von Schülerinnen und Schülern nur dann auf privaten Geräten zu dienstlichen Zwecken verarbeiten darf, wenn die Nutzung dieses Gerätes zuvor durch die Schulleitung genehmigt worden ist.


4.
Wahrung des Datengeheimnisses


Mir als bei der öffentlichen Schule beschäftigter Person ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten, insbesondere an unbefugte Personen weiterzugeben (Datengeheimnis). Dieses Datengeheimnis besteht auch nach Beendigung meiner Tätigkeit weiter (§ 3 Abs. 2 Landesdatenschutzgesetz).


Die Belehrung ist erfolgt


Datum, Unterschrift der Schulleitung



Anlage 4: Merkblatt Betroffenenrechte



Anlage 4: Merkblatt Betroffenenrechte


zurück Dokument 4 von 140 weiter