DATENSCHUTZERKLÄRUNG
Datenschutz-Geschäftsordnung
der Erftal-Grundschule Eichenbühl
vom 01.04.2024
Inhaltsverzeichnis
Erster Teil: Allgemeine Regelungen
§ 1 Geltungsbereich
Zweiter Teil: Datenschutzrechtliche Zuständigkeiten
§ 2 Schulleiter
§ 3 Systembetreuer
§ 4 Personen mit zusätzlichen datenschutzrechtlichen Aufgaben
§ 5 Behördlicher Datenschutzbeauftragter
Dritter Teil: Zusammenarbeit
§ 6 Zusammenarbeit und gegenseitige Information
Vierter Abschnitt: Ablauforganisation
Abschnitt 1: Allgemeine Grundsätze zur Gewährleistung des Datenschutzes
§ 7 Information der Beschäftigten
§ 8 Beteiligung des behördlichen Datenschutzbeauftragten
§ 9 Gewährleistung der Richtigkeit und Vollständigkeit des Verarbeitungsverzeichnisses
Abschnitt 2: Gewährleistung besonderer datenschutzrechtlicher Verpflichtungen
§ 10 Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO
§ 11 Auftragsverarbeitung
Fünfter Teil: Schlussvorschriften
§ 12 Inkrafttreten
Anlagen
Erster Teil: Allgemeine Regelungen
§ 1 Geltungsbereich
Die Geschäftsordnung gilt für die Verarbeitung personenbezogener Daten im Sinne des
Art. 4 Nr. 1 DSGVO durch alle Organe und Lehrkräfte der Schule sowie das sonstige an
der Schule tätige Personal Erftal-Grundschule Eichenbühl.
Zweiter Teil: Datenschutzrechtliche Zuständigkeiten
§ 2 Schulleiter
(1) Der Schulleiter trägt die Verantwortung für alle von den Organen [1] und den
Lehrkräften der Schule sowie dem sonstigen an der Schule tätigem Personal im
schulischen bzw. dienstlichen Zusammenhang verarbeiteten personenbezogenen
Daten. Die Verantwortung erstreckt sich dabei ausdrücklich auch auf den Umgang
mit diesen Daten auf privaten Endgeräten der Lehrkräfte (vgl. Anlage 5).
(2) Der Schulleiter stellt mit Unterstützung des behördlichen Datenschutzbeauftragten,
des Systembetreuers und der Auftragsverarbeiter (z.B. Träger des Rechenzentrums)
der Schule sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit
den datenschutzrechtlichen Bestimmungen erfolgt.
(3) Als zusätzliche Unterstützung können weitere Personen herangezogen werden
(siehe § 4).
(4) ⊠ Der behördliche Datenschutzbeauftragte wird durch den Fachlichen Leiter des Schulamts für alle Grund-, Mittel- und Förderschulen des Schulamtsbezirks
benannt. [2]
(5) Der Schulleiter erarbeitet im Benehmen mit dem behördlichen
Datenschutzbeauftragten und dem Systembetreuer geeignete
Datenschutzvorkehrungen nach Art. 24 Abs. 2 DSGVO. Hierzu gehören insbesondere
Datenschutz-Richtlinien und fachverfahrensspezifische Anweisungen [3] an die
Beschäftigten.
(6) Soweit in § 5 dieser Geschäftsordnung nicht anders bestimmt ist, führt der
Schulleiter das Verarbeitungsverzeichnis nach Art. 30 DSGVO.
§ 3 Systembetreuer
Der Systembetreuer legt in Abstimmung mit dem Datenschutzbeauftragten sowie dem
IT-Sachgebiet des Sachaufwandsträgers fest:
a. geeignete technische Maßnahmen zum Schutz der zu verarbeitenden Daten nach
Art. 24 Abs. 1, Art. 25 und Art. 32 DSGVO,
b. angemessene und spezifische Maßnahmen zum Schutz besonderer Kategorien
personenbezogener Daten nach Art. 8 Abs. 2 BayDSG,
c. ggf. geeignete Maßnahmen nach Art. 32 Abs. 2 BayDSG .[4]
§ 4 Personen mit zusätzlichen datenschutzrechtlichen Aufgaben
(1) ☐ [5] Der Schulleiter weist den in Anlage 4 dieser Geschäftsordnung genannten
Personen (Personen mit zusätzlichen datenschutzrechtlichen Aufgaben) für ihren
entsprechenden Zuständigkeitsbereich die Verantwortung für die Beachtung der
in Abs. 2 aufgeführten Verpflichtungen zu. [6]
(2) Im Benehmen mit dem behördlichen Datenschutzbeauftragten stellen diese
Personen für ihren Zuständigkeitsbereich sicher, dass die Informationspflichten
nach Art. 13 bzw. Art. 14 DSGVO erfüllt werden und Verarbeitungstätigkeiten und -
verfahren ordnungsgemäß vollzogen werden.
(3) Die Personen mit zusätzlichen datenschutzrechtlichen Aufgaben sind so an der
Schule bekanntzugeben, dass Lehrkräfte und Organe der Schule sowie das
sonstige an der Schule tätige Personal von der Zuweisung Kenntnis nehmen
können.
(4) Der behördliche Datenschutzbeauftragte der Schule hat die Personen mit
zusätzlichen datenschutzrechtlichen Aufgaben zu unterstützen und ihren Aufgaben
entsprechend einzuweisen.
(5) Die Zuständigkeit für die Einrichtung und Änderung von Verarbeitungstätigkeiten
und -verfahren verbleibt bei dem Schulleiter.[7] Unberührt bleibt auch die Pflicht zur
Meldung neuer Verarbeitungstätigkeiten und wesentlicher Änderungen an die für
die Führung des Verarbeitungsverzeichnisses zuständige Person nach § 9 Abs. 1.
(6) Die Personalvertretung trägt die Verantwortung für ihren Zuständigkeitsbereich.
(7) Die datenschutzrechtliche Letztverantwortung des Schulleiters (vgl. § 2 Abs. 1) bleibt
von einer Zuweisung nach Abs. 1 bzw. von der Verantwortung gemäß Abs. 4
unberührt. Auch unberührt bleibt die Pflicht der in den Zuständigkeitsbereichen
tätigen Personen, die datenschutzrechtlichen Bestimmungen einzuhalten.
§ 5 Behördlicher Datenschutzbeauftragter
(1) Ergänzend zu den durch Art. 39 Abs. 1 DSGVO sowie Art. 12 und 24 Abs. 5 BayDSG
zugewiesenen Aufgaben (siehe Anlage 2) werden dem behördlichen
Datenschutzbeauftragten die nachfolgenden Aufgaben übertragen:[8]
☐ Führen des Verarbeitungsverzeichnisses nach Art.30 DSGVO [9] (§ 4 Abs. 5 S. 1 und
§ 9 Abs. 1 bleiben unberührt).[10]
☐ Koordinierung der Erfüllung der Rechte der betroffenen Personen nach Art. 12, Art. 15
bis 22 DSGVO. [11]
☐ Schulung von Beschäftigten im Bereich Datenschutz [12]
☐ Umsetzung der Meldung bzw. Benachrichtigung bei Verletzungen des Schutzes
personenbezogener Daten nach Art. 33 und Art. 34 DSGVO.
(2) Bei einer Übertragung an den Datenschutzbeauftragten nach Abs. 1 ist stets auf die
Arbeitsbelastung und das zur Verfügung stehende Zeitpensum des jeweiligen
Datenschutzbeauftragten Rücksicht zu nehmen.
(3) Eine Aufgabenübertragung durch den Verantwortlichen nach Abs. 1 an
Datenschutzbeauftragte der Grund-, Mittel- und Förderschulen ist nicht möglich.[13]
(4) Der Datenschutzbeauftragte beteiligt sich am Erfahrungsaustausch mit dem
zuständigen Multiplikator für den Datenschutz. Art. 12 Abs. 2 BayDSG bleibt unberührt.
Dritter Teil: Zusammenarbeit
§ 6 Zusammenarbeit und gegenseitige Information
(1) Der Schulleiter, der behördliche Datenschutzbeauftragte, der Systembetreuer und
das IT-Sachgebiet des Sachaufwandsträgers sowie Personen mit zusätzlichen
datenschutzrechtlichen Aufgaben (siehe § 4 Abs. 1) arbeiten zur Gewährleistung des
Datenschutzes vertrauensvoll zusammen und informieren sich, soweit erforderlich,
gegenseitig. Hierzu schaffen sie geeignete Verfahren der kontinuierlichen
Zusammenarbeit.
(2) Jedes Organ und jede Lehrkraft der Schule sowie jeder Einzelne des sonstigen an der
Schule tätigen Personals meldet dem behördlichen Datenschutzbeauftragten
unverzüglich ihm bekanntgewordene Verstöße gegen datenschutzrechtliche
Bestimmungen. Dieser meldet die Verstöße dem Schulleiter.
Vierter Teil: Ablauforganisation
Abschnitt 1: Allgemeine Grundsätze zur Gewährleistung des Datenschutzes
§ 7 Information der Beschäftigten
Die Organe und Lehrkräfte der Schule sowie das sonstige an der Schule tätige Personal
sind durch Richtlinien zum Datenschutz [14] und auf sonstige Art und Weise [15] für den
Umgang mit personenbezogenen Daten zu sensibilisieren.
§ 8 Beteiligung des behördlichen Datenschutzbeauftragten
(1) Der behördliche Datenschutzbeauftragte wird frühzeitig in alle wesentlichen
Datenschutzfragen eingebunden und von dem Schulleiter, dem Systembetreuer,
dem IT-Sachgebiet des Sachaufwandsträgers, den Organen und Lehrkräften der
Schule, den Personen mit zusätzlichen datenschutzrechtlichen Aufgaben (siehe § 4
Abs. 1) und dem sonstigen an der Schule tätigen Personal bei der Erfüllung seiner
Aufgaben unterstützt.
(2) Ihm ist vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines
automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden,
Gelegenheit zur Stellungnahme zu geben (vgl. Art. 12 Abs. 1 BayDSG).
(3) Vor dem Einsatz einer Videoüberwachung sind dem behördlichen
Datenschutzbeauftragten der Zweck, die räumliche Ausdehnung und die Dauer der
Videoüberwachung, der betroffene Personenkreis, die Maßnahmen nach Art. 24 Abs. 2
BayDSG und die vorgesehenen Auswertungen mitzuteilen. Ihm ist Gelegenheit zur
Stellungnahme zu geben.
(4) Der behördliche Datenschutzbeauftragte ist im Vorfeld von Vergabeverfahren und
neuer Fachverfahren sowie vor der Beschaffung von IT-Hard- und Software zu
beteiligen, wenn datenschutzrechtlich bedeutsame Anschaffungen [16] geplant werden
und die Schule an der Beschaffung beteilig ist.
§ 9 Gewährleistung der Richtigkeit und Vollständigkeit des Verarbeitungsverzeichnisses nach Art. 30 DSGVO
(1) Die erstmalige Erarbeitung sowie Erstellung der einzelnen Beschreibungen der
Verarbeitungstätigkeiten obliegt dem Schulleiter. Hierbei wird er von dem
Datenschutzbeauftragten der Schule beraten und überwacht.
(2) Die Organe und Lehrkräfte der Schule sowie das sonstige an der Schule tätige
Personal melden der für die Führung des Verarbeitungsverzeichnisses zuständigen
Person (vgl. § 2 Abs. 6 bzw. § 5) unaufgefordert die neu aufgenommenen
Verarbeitungstätigkeiten und -verfahren sowie wesentliche Änderungen bereits
gemeldeter Verarbeitungstätigkeiten und -verfahren.
(3) Für die Meldung ist das vom Staatsministerium zur Verfügung gestellte Formblatt zu
verwenden.
(4) Die für die Führung des Verarbeitungsverzeichnisses zuständige Person (vgl. § 2 Abs.
6 bzw. § 5) überprüft mit Unterstützung etwaiger Personen mit zusätzlichen
datenschutzrechtlichen Aufgaben [17] das Verarbeitungsverzeichnis auf Richtigkeit
und Vollständigkeit und hält es aktuell
Abschnitt 2: Gewährleistung besonderer datenschutzrechtlicher Verpflichtungen
§ 10 Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO [18]
(1) Im Fall einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4
Nr. 12 DSGVO informiert die jeweilige Person, der die Datenschutzverletzung bekannt
geworden ist, unverzüglich den behördlichen Datenschutzbeauftragten hierüber.
(2) Soweit dem Schulleiter der Verstoß noch nicht bekannt ist, unterrichtet der
behördliche Datenschutzbeauftragte diesen. Er teilt ihm dabei seine Einschätzung mit,
ob eine Meldepflicht von Verletzungen des Schutzes personenbezogener Daten nach
Art. 33 DSGVO oder eine Benachrichtigungspflicht der von einer Verletzung des
Schutzes personenbezogener Daten betroffenen Person nach Art. 34 DSGVO besteht.
Die Einschätzung ist schriftlich zu begründen.
(3) Der Schulleiter meldet im Einvernehmen mit dem Datenschutzbeauftragten und
dem Systembetreuer die Verletzung des Schutzes personenbezogener Daten
unverzüglich dem Bayerischen Landesbeauftragten für den Datenschutz mit dem
nach Art. 33 DSGVO vorgegebenen Mindestinhalt, möglichst innerhalb einer Frist von
72 Stunden. Ist eine Meldung innerhalb von 72 Stunden nicht möglich, sind die
Gründe hierfür zu dokumentieren und die Meldung unverzüglich nachzuholen. Die
Meldung unterbleibt, wenn der Schulleiter und der Systembetreuer unter
Berücksichtigung der Einschätzung des behördlichen Datenschutzbeauftragten
nach Abs. 2 der Auffassung sind, dass die Voraussetzungen des Art. 33 DSGVO nicht
vorliegen. Die Gründe hierfür sind zu dokumentieren. Wenn Daten von oder an den
Verantwortlichen eines anderen Mitgliedstaates übermittelt wurden, sind im
Anwendungsbereich der Art. 28 bis 37 BayDSG die Informationen nach Art. 33
Abs. 3 DSGVO unverzüglich auch an diesen zu melden.
(4) Der Schulleiter und der Systembetreuer entscheiden auf der Grundlage der
Einschätzung des behördlichen Datenschutzbeauftragten nach Abs. 2, ob eine
Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko
für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat und
somit eine Benachrichtigungspflicht nach Art. 34 DSGVO besteht. Die
Benachrichtigung der betroffenen Person erfolgt unverzüglich durch die
Schulleiterin oder der Schulleiter. Unterbleibt eine Benachrichtigung nach Art. 34
DSGVO, sind die Gründe hierfür zu dokumentieren.
(5) Nach Bekanntwerden des Verstoßes leitet der Schulleiter und der Systembetreuer in
Abstimmung mit dem behördlichen Datenschutzbeauftragten unverzüglich
Abhilfemaßnahme ein.
§ 11 Auftragsverarbeitung
Der Schulleiter prüft in Zusammenarbeit mit dem behördlichen Datenschutzbeauftragten vor Abschluss eines Vertrages über die Auftragsverarbeitung (vgl. Art. 28 DSGVO), ob der Vertrag die Voraussetzungen des Art. 28 DSGVO erfüllt, insbesondere ob der Auftragsverarbeiter hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO und den zu ihrer Ergänzung erlassenen europäischen, bundes- und landesrechtlichen Regelungen erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Hierzu lässt sich der Schulleiter in Zusammenarbeit mit dem Datenschutzbeauftragten entsprechende Nachweise/Zertifikate vorlegen und holt die Stellungnahme des Systembetreuers ein.
Fünfter Teil: Schlussvorschriften
§ 12 Inkrafttreten
Diese Geschäftsordnung tritt am 01.04.2024 in Kraft.
_________________________________________________________________________________
Fußnoten:
[1] Organe der Schule sind z.B. der Elternbeirat oder die Schüler-Mitverantwortung (SMV).
[2] Der Datenschutzbeauftragte kann an Grund-, Mittel- und Förderschulen (GS/MS/FöS) nicht durch den Schulleiter benannt werden.
[3] Beispiel 1: Fachverfahrensspezifische Anweisung, wie Freifeldtext genutzt werden soll, wenn Schule ein Verfahren einsetzt, das ein Freitextfeld vorsieht; Beispiel 2: Fachverfahrensspezifische Anweisung, dass bei der elektronischen Übermittlung von bestimmten personenbezogenen Daten ein Kennwort zu vergeben ist und das Kennwort gesondert elektronisch zu übermitteln ist.
[4] z.B. Zugriffskontrollen
[5] Falls Zuweisung nach § 4 erfolgt ist, bitte ankreuzen. Zuweisung nur gültig, wenn das Feld angekreuzt wird.
[6] Übertragung ist optional. Die Zuweisung ist nur an Personen möglich, die hierfür persönlich geeignet sind. Weiterhin müssen die Personen eine gewisse organisatorische Verantwortung an der Schule tragen, in Betracht kommen insbesondere Fachbetreuer, Fachbereichsleiter, Verbindungslehrkräfte, der Wettbewerbskoordinator oder der Vorsitzende des Elternbeirats. Siehe hierzu Anlage 4 zu dieser Geschäftsordnung.
[7] Daneben ist bei einer Einrichtung oder Änderung von Verarbeitungsverfahren stets an eine gegebenenfalls erforderliche Einbeziehung des Sachaufwandsträgers zu denken.
[8 ]Zutreffendes bei Bedarf bitte ankreuzen. Übertragung nur gültig, wenn entsprechendes Feld angekreuzt wird.
[9] Das Verzeichnis der Verarbeitungstätigkeiten soll an der jeweiligen Schule bzw. für Verarbeitungstätigkeiten des Schulamtes am jeweiligen Schulamt liegen. Daher muss die Aufgabe der Führung des Verfahrensverzeichnisses bei GS/MS/FöS bei dem Schulleiter liegen. Dieser soll sich mit dem zuständigen Datenschutzbeauftragten absprechen und von diesem intensiv unterstützt werden (vgl. § 2 dieser Geschäftsordnung). An Schulen mit behördlichem DSB vor Ort ist das Führen des Verarbeitungsverzeichnisses auch durch den DSB möglich.
[10] Die Zuständigkeit für die Einrichtung und Änderung von Verarbeitungstätigkeiten und –verfahren (vgl. § 4 Abs. 3 S. 1) und die erstmalige Erarbeitung sowie die Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten verbleiben bei dem Schulleiter. [11] Die Erfüllung der Betroffenenrechte nach Art. 12 ff. DSGVO ist Aufgabe der Schule. Allerdings Zuweisung von koordinierenden Aufgaben an DSB möglich, umfasst vor allem Abfrage der erforderlichen Angaben bei den jeweiligen Funktionseinheiten und koordinierte Auskunftserteilung an die betroffenen Personen. Das Staatsministerium stellt den Schulen Arbeitshilfen zur Unterstützung bei der Erfüllung der Betroffenenrechte zur Verfügung.
[12] Diese Aufgabe erfasst die Schulung oder ggf. Koordinierung von Schulungen.
[13] Da die Datenschutzbeauftragten bei GS/MS/FöS dem Schulamt zugeordnet sind, kann der Schulleiter der Schule diesen hier keine zusätzlichen Aufgaben zuweisen. [14]Vgl. § 2 Abs. 5 der Geschäftsordnung
[15] ]nformation durch Beispiele, Präsentationen, Aushänge von Fachartikeln, …
[16]„Bedeutsame Anschaffungen“: z.B. Anschaffung neuer Hardware mit gänzlich neuem Betriebssystem und anderen Speicherorten und Nutzungsszenarien oder Anschaffung neuer Serverstruktur. [17] Vgl. § 4 Abs. 1
[18] Vgl. Anhang 3
____________________________________________________________________________________________________________
Anlagen:
(Personen mit zusätzlichen datenschutzrechtlichen Aufgaben)
