Suchergebnisse insgesamt:
in html speichern drucken pdf Dokument rtf Dokument zurück Dokument 2 von 140 weiter zur Gesamtansicht
 
Einzelvorschrift
Aktuelle Gesamtvorschrift
Blättern zur vorhergehenden Verwaltungsvorschrift Blättern in der Vorschrift Blättern zur nachfolgenden Verwaltungsvorschrift
Normgeber:Ministerium für Kultus, Jugend und Sport
Aktenzeichen:13-0557.0/106
Erlassdatum:04.07.2019
Fassung vom:04.07.2019
Gültig ab:01.09.2019
Quelle:Wappen Baden-Württemberg
Gliederungs-Nr:2041
Fundstelle:K. u. U. 2019, 111
 

1.14.
Verarbeitung personenbezogener Daten durch andere Personen oder Stellen (Auftragsdatenverarbeitung) gemäß Artikel 28 EU-DSGVO


1.14.1.
Personenbezogene Daten der Schulen werden immer häufiger auf einem Server außerhalb der Schule verarbeitet (zum Beispiel beim Schulträger oder bei einem kommunalen Rechenzentrum). Beim Cloud-Computing werden IT-Infrastrukturen wie zum Beispiel Rechenleistung, Datenspeicher, Netzwerkkapazitäten oder auch komplette Anwendungssoftware sowie die Verarbeitung von Daten der Kunden mittels dieser Software von einem Dienstleister über das Internet zur Verfügung gestellt. Es handelt sich hier jeweils um eine Auftragsverarbeitung personenbezogener Daten (Artikel 28 EU-DSGVO), bei der die Schule als Auftraggeberin weiterhin für die Rechtmäßigkeit der Datenverarbeitung durch den Dienstleister die Verantwortung trägt. Der Dienstleister hat in Erfüllung des von der Schule erteilten schriftlichen Auftrags die technischen-organisatorischen Maßnahmen gemäß Artikel 25 Absatz 1 und 2 und Artikel 32 Absatz 1 EU-DSGVO zu treffen, deren Einhaltung von der Schule in geeigneter Weise zu kontrollieren ist und vom Dienstleister durch die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens nachgewiesen werden kann. Die erforderlichen Genehmigungen erfolgen durch den LfDI.


Es wird empfohlen, für eine Datenverarbeitung im Auftrag den vom Kultusministerium bereitgestellten Mustervertrag mit Ausfüllhinweisen zu verwenden, der mit dem LfDI abgestimmt wurde.


1.14.2.
Die Speicherung personenbezogener Daten in einer „Cloud“ beziehungsweise die dienstliche Nutzung von sogenannten „Cloud-Diensten“ ist unzulässig, wenn die Voraussetzungen nach Artikel 28 EU-DSGVO nicht vorliegen oder wenn der Dienstleister oder die genutzten Server sich außerhalb des räumlichen Anwendungsbereichs der EU-DSGVO befinden. Zu verlangen sind also mindestens:


offene, transparente und detaillierte Informationen der Cloud-Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt, und andererseits die notwendigen Informationen haben, um zwischen den Cloud-Anbietern wählen zu können,


transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zu Unterauftragsverhältnissen, zur Portabilität (Plattformunabhängigkeit) und zur Interoperabilität (Fähigkeit der Zusammenarbeit unterschiedlicher Systeme),


die Umsetzung der abgestimmten Sicherheits- und Datenschutzmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender und


aktuelle und aussagekräftige Nachweise (zum Beispiel Zertifikate nach Artikel 42 EU-DSGVO von einer durch den LfDI zertifizierten Prüfungsorganisation) über die gesamte Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere den Datenschutz, die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.


Diese Vorschrift wird von folgenden Dokumenten zit ... ausblendenDiese Vorschrift wird von folgenden Dokumenten zitiert


Blättern zur vorhergehenden Verwaltungsvorschrift Blättern in der Vorschrift Blättern zur nachfolgenden Verwaltungsvorschrift
zurück Dokument 2 von 140 weiter