• Grundschule Valley & Mittelschule Mangfalltal Valley

Datenschutz-Geschäftsordnung der Grundschule und der Mittelschule Mangfalltal Valley vom 23.03.2022



Inhaltsverzeichnis

Erster Teil: Allgemeine Regelungen

§ 1       Geltungsbereich

Zweiter Teil: Datenschutzrechtliche Zuständigkeiten

  • 2 Schulleiter
  • 3 Systembetreuer
  • 4 Personen mit zusätzlichen datenschutzrechtlichen Aufgaben
  • 5 Behördlicher Datenschutzbeauftragter

Dritter Teil: Zusammenarbeit

  • 6 Zusammenarbeit und gegenseitige Information

Vierter Abschnitt: Ablauforganisation

Abschnitt 1: Allgemeine Grundsätze zur Gewährleistung des Datenschutzes

  • 7 Information der Beschäftigten
  • 8 Beteiligung des behördlichen Datenschutzbeauftragten
  • 9 Gewährleistung der Richtigkeit und Vollständigkeit des Verarbeitungsverzeichnisses

Abschnitt 2: Gewährleistung besonderer datenschutzrechtlicher Verpflichtungen

  • 10 Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO
  • 11 Auftragsverarbeitung

Fünfter Teil: Schlussvorschriften

  • 12 Inkrafttreten

Anlagen

Erster Teil: Allgemeine Regelungen

§ 1       Geltungsbereich

Die Geschäftsordnung gilt für die Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 DSGVO durch alle Organe und Lehrkräfte der Schule sowie das sonstige an der Schule tätige Personal der Grundschule und der Mittelschule Mangfalltal Valley.

Zweiter Teil: Datenschutzrechtliche Zuständigkeiten

§ 2       Schulleiter

(1)  Der Schulleiter trägt die Verantwortung für alle von den Organen und den Lehrkräften der Schule sowie dem sonstigen an der Schule tätigem Personal im schulischen bzw. dienstlichen Zusammenhang verarbeiteten personenbezogenen Daten. Die Verantwortung erstreckt sich dabei ausdrücklich auch auf den Umgang mit diesen Daten auf privaten Endgeräten der Lehrkräfte.

(2)  Der Schulleiter stellt mit Unterstützung des behördlichen Datenschutzbeauftragten, des Systembetreuers und der Auftragsverarbeiter (z.B. Träger des Rechenzentrums) der Schule sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgt.

(3)  Als zusätzliche Unterstützung können weitere Personen herangezogen werden (siehe § 4).

(4)  Variante 1 (nur bei Grund-, Mittel- und Förderschulen): Der behördliche Datenschutzbeauftragte wird durch den Fachlichen Leiter des Schulamts für alle Grund-, Mittel- und Förderschulen des Schulamtsbezirks benannt.

      Variante 2 (nur bei beruflichen Schulzentren oder miteinander organisatorisch verbundenen Schulen): Der behördliche Datenschutzbeauftragte wird durch den Leiter des beruflichen Schulzentrums benannt. Es ist nur ein Datenschutzbeauftragter je beruflichem Schulzentrum und miteinander organisatorisch verbundenen Schulen zu benennen.

      Variante 3 (stets bei allen anderen Schularten): Der Schulleiter benennt einen behördlichen Datenschutzbeauftragten. Für die Benennung ist die als Anlage 1 beigefügte Urkunde zu verwenden.

(5) Der Schulleiter erarbeitet im Benehmen mit dem behördlichen Datenschutzbeauftragten und dem Systembetreuer geeignete Datenschutzvorkehrungen nach Art. 24 Abs. 2 DSGVO. Hierzu gehören insbesondere Datenschutz-Richtlinien und fachverfahrensspezifische Anweisungen an die Beschäftigten.

(6)  Soweit in § 5 dieser Geschäftsordnung nicht anders bestimmt ist, führt der Schulleiter das Verarbeitungsverzeichnis nach Art. 30 DSGVO.

§ 3       Systembetreuer

Der Systembetreuer legt in Abstimmung mit dem Datenschutzbeauftragten sowie dem IT-Sachgebiet des Sachaufwandsträgers fest:

  1. geeignete technische Maßnahmen zum Schutz der zu verarbeitenden Daten nach Art. 24 Abs. 1, Art. 25 und Art. 32 DSGVO,
  2. angemessene und spezifische Maßnahmen zum Schutz besonderer Kategorien personenbezogener Daten nach Art. 8 Abs. 2 BayDSG,
  3. ggf. geeignete Maßnahmen nach Art. 32 Abs. 2 BayDSG

§ 4       Personen mit zusätzlichen datenschutzrechtlichen Aufgaben

(1) Der Schulleiter weist den in Anlage 4 dieser Geschäftsordnung genannten Personen (Personen mit zusätzlichen datenschutzrechtlichen Aufgaben) für ihren entsprechenden Zuständigkeitsbereich die Verantwortung für die Beachtung der in Abs. 2 aufgeführten Verpflichtungen zu.

(2) Im Benehmen mit dem behördlichen Datenschutzbeauftragten stellen diese Personen für ihren Zuständigkeitsbereich sicher, dass die Informationspflichten nach Art. 13 bzw. Art. 14 DSGVO erfüllt werden und Verarbeitungstätigkeiten und -verfahren ordnungsgemäß vollzogen werden.

(3) Die Personen mit zusätzlichen datenschutzrechtlichen Aufgaben sind so an der Schule bekanntzugeben, dass Lehrkräfte und Organe der Schule sowie das sonstige an der Schule tätige Personal von der Zuweisung Kenntnis nehmen können.

(4) Der behördliche Datenschutzbeauftragte der Schule hat die Personen mit zusätzlichen datenschutzrechtlichen Aufgaben zu unterstützen und ihren Aufgaben entsprechend einzuweisen.

(5) Die Zuständigkeit für die Einrichtung und Änderung von Verarbeitungstätigkeiten und -verfahren verbleibt bei dem Schulleiter. Unberührt bleibt auch die Pflicht zur Meldung neuer Verarbeitungstätigkeiten und wesentlicher Änderungen an die für die Führung des Verarbeitungsverzeichnisses zuständige Person nach Art. 9 Abs. 1.

(6) Die Personalvertretung trägt die Verantwortung für ihren Zuständigkeitsbereich.

(7) Die datenschutzrechtliche Letztverantwortung des Schulleiters (vgl. § 2 Abs. 1) bleibt von einer Zuweisung nach Abs. 1 bzw. von der Verantwortung gemäß Abs. 4 unberührt. Auch unberührt bleibt die Pflicht der in den Zuständigkeitsbereichen tätigen Personen, die datenschutzrechtlichen Bestimmungen einzuhalten.

§ 5       Behördlicher Datenschutzbeauftragter

(1) Ergänzend zu den durch Art. 39 Abs. 1 DSGVO sowie Art. 12 und 24 Abs. 5 BayDSG zugewiesenen Aufgaben (siehe Anlage 2) werden dem behördlichen Datenschutzbeauftragten die nachfolgenden Aufgaben übertragen: personenbezogener Daten nach Art. 33 und Art. 34 DSGVO

(2) Bei einer Übertragung an den Datenschutzbeauftragten nach Abs. 1 ist stets auf die Arbeitsbelastung und das zur Verfügung stehende Zeitpensum des jeweiligen Datenschutzbeauftragten Rücksicht zu nehmen.

(3) Eine Aufgabenübertragung durch den Verantwortlichen nach Abs. 1 an Datenschutzbeauftragte der Grund-, Mittel- und Förderschulen ist nicht möglich.

(4) Der Datenschutzbeauftragte beteiligt sich am Erfahrungsaustausch mit dem zuständigen Multiplikator für den Datenschutz. Art. 12 Abs. 2 BayDSG bleibt unberührt.

Dritter Teil: Zusammenarbeit

§ 6       Zusammenarbeit und gegenseitige Information

(1)  Der Schulleiter, der behördliche Datenschutzbeauftragte, der Systembetreuer und das IT-Sachgebiet des Sachaufwandsträgers sowie Personen mit zusätzlichen datenschutzrechtlichen Aufgaben (siehe § 4 Abs. 1) arbeiten zur Gewährleistung des Datenschutzes vertrauensvoll zusammen und informieren sich, soweit erforderlich, gegenseitig. Hierzu schaffen sie geeignete Verfahren der kontinuierlichen Zusammenarbeit.

(2)  Jedes Organ und jede Lehrkraft der Schule sowie jeder Einzelne des sonstigen an der Schule tätigen Personals meldet dem behördlichen Datenschutzbeauftragten unverzüglich ihm bekanntgewordene Verstöße gegen datenschutzrechtliche Bestimmungen. Dieser meldet die Verstöße dem Schulleiter.

Vierter Teil: Ablauforganisation

Abschnitt 1: Allgemeine Grundsätze zur Gewährleistung des Datenschutzes

§ 7 Information der Beschäftigten

Die Organe und Lehrkräfte der Schule sowie das sonstige an der Schule tätige Personal sind durch Richtlinien zum Datenschutz und auf sonstige Art und Weise für den Umgang mit personenbezogenen Daten zu sensibilisieren.

§ 8 Beteiligung des behördlichen Datenschutzbeauftragten

(1)  Der behördliche Datenschutzbeauftragte wird frühzeitig in alle wesentlichen Datenschutzfragen eingebunden und von dem Schulleiter, dem Systembetreuer, dem IT-Sachgebiet des Sachaufwandsträgers, den Organen und Lehrkräften der Schule, den Personen mit zusätzlichen datenschutzrechtlichen Aufgaben (siehe § 4 Abs. 1) und dem sonstigen an der Schule tätigen Personal bei der Erfüllung seiner Aufgaben unterstützt.

(2)  Ihm ist vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden, Gelegenheit zur Stellungnahme zu geben (vgl. Art. 12 Abs. 1 BayDSG).

(3)  Vor dem Einsatz einer Videoüberwachung sind dem behördlichen Datenschutzbeauftragten der Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung, der betroffene Personenkreis, die Maßnahmen nach Art. 24 Abs. 2 BayDSG und die vorgesehenen Auswertungen mitzuteilen. Ihm ist Gelegenheit zur Stellungnahme zu geben.

(4)  Der behördliche Datenschutzbeauftragte ist im Vorfeld von Vergabeverfahren und neuer Fachverfahren sowie vor der Beschaffung von IT-Hard- und Software zu beteiligen, wenn datenschutzrechtlich bedeutsame Anschaffungen geplant werden und die Schule an der Beschaffung beteilig ist.

§ 9 Gewährleistung der Richtigkeit und Vollständigkeit des Verarbeitungsverzeichnisses nach Art. 30 DSGVO

(1)  Die erstmalige Erarbeitung sowie Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten obliegt dem Schulleiter. Hierbei wird er von dem Datenschutzbeauftragten der Schule beraten und überwacht.

(2)  Die Organe und Lehrkräfte der Schule sowie das sonstige an der Schule tätige Personal melden der für die Führung des Verarbeitungsverzeichnisses zuständigen Person (vgl. § 2 Abs. 6 bzw. § 5) unaufgefordert die neu aufgenommenen Verarbeitungstätigkeiten und -verfahren sowie wesentliche Änderungen bereits gemeldeter Verarbeitungstätigkeiten und -verfahren.

(3)  Für die Meldung ist das vom Staatsministerium zur Verfügung gestellte Formblatt zu verwenden.

(4)  Die für die Führung des Verarbeitungsverzeichnisses zuständige Person (vgl. § 2 Abs. 6 bzw. § 5) überprüft mit Unterstützung etwaiger Personen mit zusätzlichen datenschutzrechtlichen Aufgaben das Verarbeitungsverzeichnis auf Richtigkeit und Vollständigkeit und hält es aktuell.

Abschnitt 2: Gewährleistung besonderer datenschutzrechtlicher Verpflichtungen

§ 10 Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO

(1)  Im Fall einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO informiert die jeweilige Person, der die Datenschutzverletzung bekannt geworden ist, unverzüglich den behördlichen Datenschutzbeauftragten hierüber.

(2)  Soweit dem Schulleiter der Verstoß noch nicht bekannt ist, unterrichtet der behördliche Datenschutzbeauftragte diesen. Er teilt ihm dabei seine Einschätzung mit, ob eine Meldepflicht von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO oder eine Benachrichtigungspflicht der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person nach Art. 34 DSGVO besteht. Die Einschätzung ist schriftlich zu begründen.

(3)  Der Schulleiter meldet im Einvernehmen mit dem Datenschutzbeauftragten und dem Systembetreuer die Verletzung des Schutzes personenbezogener Daten unverzüglich dem Bayerischen Landesbeauftragten für den Datenschutz mit dem nach Art. 33 DSGVO vorgegebenen Mindestinhalt, möglichst innerhalb einer Frist von 72 Stunden. Ist eine Meldung innerhalb von 72 Stunden nicht möglich, sind die Gründe hierfür zu dokumentieren und die Meldung unverzüglich nachzuholen. Die Meldung unterbleibt, wenn der Schulleiter und der Systembetreuer unter Berücksichtigung der Einschätzung des behördlichen Datenschutzbeauftragten nach Abs. 2 der Auffassung sind, dass die Voraussetzungen des Art. 33 DSGVO nicht vorliegen. Die Gründe hierfür sind zu dokumentieren. Wenn Daten von oder an den Verantwortlichen eines anderen Mitgliedstaates übermittelt wurden, sind im Anwendungsbereich der Art. 28 bis 37 BayDSG die Informationen nach Art. 33 Abs. 3 DSGVO unverzüglich auch an diesen zu melden.

(4)  Der Schulleiter und der Systembetreuer entscheiden auf der Grundlage der Einschätzung des behördlichen Datenschutzbeauftragten nach Abs. 2, ob eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat und somit eine Benachrichtigungspflicht nach Art. 34 DSGVO besteht. Die Benachrichtigung der betroffenen Person erfolgt unverzüglich durch die Schulleiterin oder der Schulleiter. Unterbleibt eine Benachrichtigung nach Art. 34 DSGVO, sind die Gründe hierfür zu dokumentieren.

(5)  Nach Bekanntwerden des Verstoßes leitet der Schulleiter und der Systembetreuer in Abstimmung mit dem behördlichen Datenschutzbeauftragten unverzüglich Abhilfemaßnahme ein.

§ 11 Auftragsverarbeitung

Der Schulleiter prüft in Zusammenarbeit mit dem behördlichen Datenschutzbeauftragten vor Abschluss eines Vertrages über die Auftragsverarbeitung (vgl. Art. 28 DSGVO), ob der Vertrag die Voraussetzungen des Art. 28 DSGVO erfüllt, insbesondere ob der Auftragsverarbeiter hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO und den zu ihrer Ergänzung erlassenen europäischen, bundes- und landesrechtlichen Regelungen erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Hierzu lässt sich der Schulleiter in Zusammenarbeit mit dem Datenschutzbeauftragten entsprechende Nachweise/Zertifikate vorlegen und holt die Stellungnahme des Systembetreuers ein.

Fünfter Teil: Schlussvorschriften

§ 12 Inkrafttreten

Diese Geschäftsordnung tritt am 23. 03.2022 in Kraft.

[1] Organe der Schule sind z.B. der Elternbeirat oder die Schüler-Mitverantwortung (SMV).

[2] Je nach Schulart zutreffendes bitte ankreuzen.

[3] Der Datenschutzbeauftragte kann an Grund-, Mittel- und Förderschulen (GS/MS/FöS) nicht durch den Schulleiter benannt werden.

[4] Beispiel 1: Fachverfahrensspezifische Anweisung, wie Freifeldtext genutzt werden soll, wenn Schule ein Verfahren einsetzt, das ein Freitextfeld vorsieht; Beispiel 2: Fachverfahrensspezifische Anweisung, dass bei der elektronischen Übermittlung von bestimmten personenbezogenen Daten ein Kennwort zu vergeben ist und das Kennwort gesondert elektronisch zu übermitteln ist.

[5] z.B. Zugriffskontrollen

[6] Falls Zuweisung nach § 4 erfolgt ist, bitte ankreuzen. Zuweisung nur gültig, wenn das Feld angekreuzt wird.

[7] Übertragung ist optional. Die Zuweisung ist nur an Personen möglich, die hierfür persönlich geeignet sind. Weiterhin müssen die Personen eine gewisse organisatorische Verantwortung an der Schule tragen, in Betracht kommen insbesondere Fachbetreuer, Fachbereichsleiter, Verbindungslehrkräfte, der Wettbewerbskoordinator oder der Vorsitzende des Elternbeirats. Siehe hierzu Anlage 4 zu dieser Geschäftsordnung.

[8] Daneben ist bei einer Einrichtung oder Änderung von Verarbeitungsverfahren stets an eine gegebenenfalls erforderliche Einbeziehung des Sachaufwandsträgers zu denken.

[9] Zutreffendes bei Bedarf bitte ankreuzen. Übertragung nur gültig, wenn entsprechendes Feld angekreuzt wird.

[10] Das Verzeichnis der Verarbeitungstätigkeiten soll an der jeweiligen Schule bzw. für Verarbeitungstätigkeiten des Schulamtes am jeweiligen Schulamt liegen. Daher muss die Aufgabe der Führung des Verfahrensverzeichnisses bei GS/MS/FöS bei dem Schulleiter liegen. Dieser soll sich mit dem zuständigen Datenschutzbeauftragten absprechen und von diesem intensiv unterstützt werden (vgl. § 2 dieser Geschäftsordnung). An Schulen mit behördlichem DSB vor Ort ist das Führen des Verarbeitungsverzeichnisses auch durch den DSB möglich.

[11] Die Zuständigkeit für die Einrichtung und Änderung von Verarbeitungstätigkeiten und –verfahren (vgl. § 4 Abs. 3 S. 1) und die erstmalige Erarbeitung sowie die Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten verbleiben bei dem Schulleiter.

[12] Die Erfüllung der Betroffenenrechte nach Art. 12 ff. DSGVO ist Aufgabe der Schule. Allerdings Zuweisung von koordinierenden Aufgaben an DSB möglich, umfasst vor allem Abfrage der erforderlichen Angaben bei den jeweiligen Funktionseinheiten und koordinierte Auskunftserteilung an die betroffenen Personen. Das Staatsministerium stellt den Schulen Arbeitshilfen zur Unterstützung bei der Erfüllung der Betroffenenrechte zur Verfügung.

[13] Diese Aufgabe erfasst die Schulung oder ggf. Koordinierung von Schulungen.

[14] Da die Datenschutzbeauftragten bei GS/MS/FöS dem Schulamt zugeordnet sind, kann der Schulleiter der Schule diesen hier keine zusätzlichen Aufgaben zuweisen.

[15] Vgl. § 2 Abs. 5 der Geschäftsordnung

[16] Information durch Beispiele, Präsentationen, Aushänge von Fachartikeln, …

[17] „Bedeutsame Anschaffungen“: z.B. Anschaffung neuer Hardware mit gänzlich neuem Betriebssystem und anderen Speicherorten und Nutzungsszenarien oder Anschaffung neuer Serverstruktur.

[18] Vgl. § 4 Abs. 1

[19] Vgl. Anhang 3