DATEN­SCHUTZ­ERKLÄRUNG

 Datenschutz-Geschäftsordnung

der Erftal-Grundschule Eichenbühl

vom 01.04.2024

Inhaltsverzeichnis
Erster Teil: Allgemeine Regelungen

§ 1 Geltungsbereich


Zweiter Teil: Datenschutzrechtliche Zuständigkeiten
§ 2 Schulleiter
§ 3 Systembetreuer
§ 4 Personen mit zusätzlichen datenschutzrechtlichen Aufgaben
§ 5 Behördlicher Datenschutzbeauftragter

Dritter Teil: Zusammenarbeit
§ 6 Zusammenarbeit und gegenseitige Information

Vierter Abschnitt: Ablauforganisation
Abschnitt 1: Allgemeine Grundsätze zur Gewährleistung des Datenschutzes
§ 7 Information der Beschäftigten
§ 8 Beteiligung des behördlichen Datenschutzbeauftragten
§ 9 Gewährleistung der Richtigkeit und Vollständigkeit des Verarbeitungsverzeichnisses
Abschnitt 2: Gewährleistung besonderer datenschutzrechtlicher Verpflichtungen
§ 10 Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO
§ 11 Auftragsverarbeitung

Fünfter Teil: Schlussvorschriften
§ 12 Inkrafttreten


Anlagen
Erster Teil: Allgemeine Regelungen
§ 1  Geltungsbereich

      Die Geschäftsordnung gilt für die Verarbeitung personenbezogener Daten im Sinne des  

     Art. 4 Nr. 1 DSGVO durch alle Organe und Lehrkräfte der Schule sowie das sonstige an 

     der Schule tätige Personal Erftal-Grundschule Eichenbühl.


Zweiter Teil: Datenschutzrechtliche Zuständigkeiten
§ 2  Schulleiter

     (1)  Der Schulleiter trägt die Verantwortung für alle von den Organen [1]  und den 

           Lehrkräften der Schule sowie dem sonstigen an der Schule tätigem Personal im  

           schulischen bzw. dienstlichen Zusammenhang verarbeiteten personenbezogenen   

           Daten. Die Verantwortung erstreckt sich dabei ausdrücklich auch auf den Umgang   

           mit diesen Daten auf privaten Endgeräten der Lehrkräfte (vgl. Anlage 5).

     (2)  Der Schulleiter stellt mit Unterstützung des behördlichen Datenschutzbeauftragten, 

           des Systembetreuers und der Auftragsverarbeiter (z.B. Träger des Rechenzentrums)  

           der Schule sicher, dass die Verarbeitung personenbezogener Daten im Einklang mit 

           den datenschutzrechtlichen Bestimmungen erfolgt.

     (3)  Als zusätzliche Unterstützung können weitere Personen herangezogen werden 

           (siehe § 4).

     (4) ⊠ Der behördliche Datenschutzbeauftragte wird durch den Fachlichen Leiter des                    Schulamts für alle Grund-, Mittel- und Förderschulen des Schulamtsbezirks    

           benannt. [2]

     (5)  Der Schulleiter erarbeitet im Benehmen mit dem behördlichen    

           Datenschutzbeauftragten und dem Systembetreuer geeignete 

           Datenschutzvorkehrungen nach Art. 24 Abs. 2 DSGVO. Hierzu gehören insbesondere 

           Datenschutz-Richtlinien und fachverfahrensspezifische Anweisungen [3]  an die 

           Beschäftigten. 

    (6)   Soweit in § 5 dieser Geschäftsordnung nicht anders bestimmt ist, führt der   

           Schulleiter das Verarbeitungsverzeichnis nach Art. 30 DSGVO.


§ 3  Systembetreuer
      Der Systembetreuer legt in Abstimmung mit dem Datenschutzbeauftragten sowie dem 

      IT-Sachgebiet des Sachaufwandsträgers fest:

      a.  geeignete technische Maßnahmen zum Schutz der zu verarbeitenden Daten nach   

           Art. 24 Abs. 1, Art. 25 und Art. 32 DSGVO,

      b.  angemessene und spezifische Maßnahmen zum Schutz besonderer Kategorien  

           personenbezogener Daten nach Art. 8 Abs. 2 BayDSG,

      c.  ggf. geeignete Maßnahmen nach Art. 32 Abs. 2 BayDSG .[4]

§ 4 Personen mit zusätzlichen datenschutzrechtlichen Aufgaben


      (1)  ☐ [5] Der Schulleiter weist den in Anlage 4 dieser Geschäftsordnung genannten          

                Personen (Personen mit zusätzlichen datenschutzrechtlichen Aufgaben) für ihren 

                entsprechenden Zuständigkeitsbereich die Verantwortung für die Beachtung der 

                in Abs. 2 aufgeführten Verpflichtungen zu. [6]

       (2)     Im Benehmen mit dem behördlichen Datenschutzbeauftragten stellen diese  

                 Personen für ihren Zuständigkeitsbereich sicher, dass die Informationspflichten 

                 nach Art. 13 bzw. Art. 14 DSGVO erfüllt werden und Verarbeitungstätigkeiten und -

                verfahren ordnungsgemäß vollzogen werden.

       (3)    Die Personen mit zusätzlichen datenschutzrechtlichen Aufgaben sind so an der        

               Schule bekanntzugeben, dass Lehrkräfte und Organe der Schule sowie das 

                sonstige an der Schule tätige Personal von der Zuweisung Kenntnis nehmen 

                können.
 

     (4)     Der behördliche Datenschutzbeauftragte der Schule hat die Personen mit 

              zusätzlichen datenschutzrechtlichen Aufgaben zu unterstützen und ihren Aufgaben 

              entsprechend einzuweisen.

    (5)     Die Zuständigkeit für die Einrichtung und Änderung von Verarbeitungstätigkeiten  

              und -verfahren verbleibt bei dem Schulleiter.[7] Unberührt bleibt auch die Pflicht zur 

              Meldung neuer Verarbeitungstätigkeiten und wesentlicher Änderungen an die für 

             die Führung des Verarbeitungsverzeichnisses zuständige Person nach § 9 Abs. 1.

    (6)     Die Personalvertretung trägt die Verantwortung für ihren Zuständigkeitsbereich.

     (7)     Die datenschutzrechtliche Letztverantwortung des Schulleiters (vgl. § 2 Abs. 1) bleibt

               von einer Zuweisung nach Abs. 1 bzw. von der Verantwortung gemäß Abs. 4 

               unberührt. Auch unberührt bleibt die Pflicht der in den Zuständigkeitsbereichen 

               tätigen Personen, die datenschutzrechtlichen Bestimmungen einzuhalten.


§ 5 Behördlicher Datenschutzbeauftragter


     (1)   Ergänzend zu den durch Art. 39 Abs. 1 DSGVO sowie Art. 12 und 24 Abs. 5 BayDSG 

             zugewiesenen Aufgaben (siehe Anlage 2) werden dem behördlichen 

             Datenschutzbeauftragten die nachfolgenden Aufgaben übertragen:[8]

       ☐ Führen des Verarbeitungsverzeichnisses nach Art.30 DSGVO [9] (§ 4 Abs. 5 S. 1 und 

            § 9 Abs. 1 bleiben unberührt).[10]

       ☐ Koordinierung der Erfüllung der Rechte der betroffenen Personen nach Art. 12, Art. 15 

             bis 22 DSGVO. [11]

       ☐ Schulung von Beschäftigten im Bereich Datenschutz [12]

       ☐ Umsetzung der Meldung bzw. Benachrichtigung bei Verletzungen des Schutzes 

            personenbezogener Daten nach Art. 33 und Art. 34 DSGVO.

    (2)   Bei einer Übertragung an den Datenschutzbeauftragten nach Abs. 1 ist stets auf die 

           Arbeitsbelastung und das zur Verfügung stehende Zeitpensum des jeweiligen 

           Datenschutzbeauftragten Rücksicht zu nehmen.

    (3)   Eine Aufgabenübertragung durch den Verantwortlichen nach Abs. 1 an 

            Datenschutzbeauftragte der Grund-, Mittel- und Förderschulen ist nicht möglich.[13]

    (4)   Der Datenschutzbeauftragte beteiligt sich am Erfahrungsaustausch mit dem 

           zuständigen Multiplikator für den Datenschutz. Art. 12 Abs. 2 BayDSG bleibt unberührt.

 

Dritter Teil: Zusammenarbeit
§ 6 Zusammenarbeit und gegenseitige Information

    (1)   Der Schulleiter, der behördliche Datenschutzbeauftragte, der Systembetreuer und 

           das IT-Sachgebiet des Sachaufwandsträgers sowie Personen mit zusätzlichen 

           datenschutzrechtlichen Aufgaben (siehe § 4 Abs. 1) arbeiten zur Gewährleistung des 

           Datenschutzes vertrauensvoll zusammen und informieren sich, soweit erforderlich, 

           gegenseitig. Hierzu schaffen sie geeignete Verfahren der kontinuierlichen 

           Zusammenarbeit.

   (2)  Jedes Organ und jede Lehrkraft der Schule sowie jeder Einzelne des sonstigen an der 

          Schule tätigen Personals meldet dem behördlichen Datenschutzbeauftragten 

         unverzüglich ihm bekanntgewordene Verstöße gegen datenschutzrechtliche 

         Bestimmungen. Dieser meldet die Verstöße dem Schulleiter.


Vierter Teil: Ablauforganisation

Abschnitt 1: Allgemeine Grundsätze zur Gewährleistung des Datenschutzes
§ 7 Information der Beschäftigten

        Die Organe und Lehrkräfte der Schule sowie das sonstige an der Schule tätige Personal

        sind durch Richtlinien zum Datenschutz [14] und auf sonstige Art und Weise [15]  für den 

       Umgang mit personenbezogenen Daten zu sensibilisieren.


§ 8 Beteiligung des behördlichen Datenschutzbeauftragten


     (1)   Der behördliche Datenschutzbeauftragte wird frühzeitig in alle wesentlichen 

            Datenschutzfragen eingebunden und von dem Schulleiter, dem Systembetreuer, 

            dem IT-Sachgebiet des Sachaufwandsträgers, den Organen und Lehrkräften der 

            Schule, den Personen mit zusätzlichen datenschutzrechtlichen Aufgaben (siehe § 4 

            Abs. 1) und dem sonstigen an der Schule tätigen Personal bei der Erfüllung seiner 

            Aufgaben unterstützt.

    (2)   Ihm ist vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines 

           automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden, 

          Gelegenheit zur Stellungnahme zu geben (vgl. Art. 12 Abs. 1 BayDSG).

     (3)   Vor dem Einsatz einer Videoüberwachung sind dem behördlichen 

            Datenschutzbeauftragten der Zweck, die räumliche Ausdehnung und die Dauer der 

           Videoüberwachung, der betroffene Personenkreis, die Maßnahmen nach Art. 24 Abs. 2

            BayDSG und die vorgesehenen Auswertungen mitzuteilen. Ihm ist Gelegenheit zur 

            Stellungnahme zu geben.

     (4)   Der behördliche Datenschutzbeauftragte ist im Vorfeld von Vergabeverfahren und 

             neuer Fachverfahren sowie vor der Beschaffung von IT-Hard- und Software zu 

             beteiligen, wenn datenschutzrechtlich bedeutsame Anschaffungen [16] geplant werden

             und die Schule an der Beschaffung beteilig ist.


§ 9 Gewährleistung der Richtigkeit und Vollständigkeit des Verarbeitungsverzeichnisses nach Art. 30 DSGVO

     (1)   Die erstmalige Erarbeitung sowie Erstellung der einzelnen Beschreibungen der 

            Verarbeitungstätigkeiten obliegt dem Schulleiter. Hierbei wird er von dem 

            Datenschutzbeauftragten der Schule beraten und überwacht.

     (2)   Die Organe und Lehrkräfte der Schule sowie das sonstige an der Schule tätige 

            Personal melden der für die Führung des Verarbeitungsverzeichnisses zuständigen 

            Person (vgl. § 2 Abs. 6 bzw. § 5) unaufgefordert die neu aufgenommenen 

            Verarbeitungstätigkeiten und -verfahren sowie wesentliche Änderungen bereits

             gemeldeter Verarbeitungstätigkeiten und -verfahren.

     (3)   Für die Meldung ist das vom Staatsministerium zur Verfügung gestellte Formblatt zu 

            verwenden.

     (4)   Die für die Führung des Verarbeitungsverzeichnisses zuständige Person (vgl. § 2 Abs. 

            6 bzw. § 5) überprüft mit Unterstützung etwaiger Personen mit zusätzlichen 

             datenschutzrechtlichen Aufgaben [17] das Verarbeitungsverzeichnis auf Richtigkeit   

             und Vollständigkeit und hält es aktuell



Abschnitt 2: Gewährleistung besonderer datenschutzrechtlicher Verpflichtungen
§ 10 Verfahren bei Datenschutzverletzungen nach Art. 33 und Art. 34 DSGVO
[18]


    (1)  Im Fall einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 

         Nr. 12 DSGVO informiert die jeweilige Person, der die Datenschutzverletzung bekannt 

         geworden ist, unverzüglich den behördlichen Datenschutzbeauftragten hierüber.

    (2)   Soweit dem Schulleiter der Verstoß noch nicht bekannt ist, unterrichtet der 

          behördliche Datenschutzbeauftragte diesen. Er teilt ihm dabei seine Einschätzung mit,

         ob eine Meldepflicht von Verletzungen des Schutzes personenbezogener Daten nach 

         Art. 33 DSGVO oder eine Benachrichtigungspflicht der von einer Verletzung des 

       Schutzes personenbezogener Daten betroffenen Person nach Art. 34 DSGVO besteht. 

       Die Einschätzung ist schriftlich zu begründen.


     (3)   Der Schulleiter meldet im Einvernehmen mit dem Datenschutzbeauftragten und 

            dem Systembetreuer die Verletzung des Schutzes personenbezogener Daten 

            unverzüglich dem Bayerischen Landesbeauftragten für den Datenschutz mit dem 

            nach Art. 33 DSGVO vorgegebenen Mindestinhalt, möglichst innerhalb einer Frist von 

            72 Stunden. Ist eine Meldung innerhalb von 72 Stunden nicht möglich, sind die 

             Gründe hierfür zu dokumentieren und die Meldung unverzüglich nachzuholen. Die 

             Meldung unterbleibt, wenn der Schulleiter und der Systembetreuer unter 

             Berücksichtigung der Einschätzung des behördlichen Datenschutzbeauftragten 

             nach Abs. 2 der Auffassung sind, dass die Voraussetzungen des Art. 33 DSGVO nicht 

             vorliegen. Die Gründe hierfür sind zu dokumentieren. Wenn Daten von oder an den 

             Verantwortlichen eines anderen Mitgliedstaates übermittelt wurden, sind im 

               Anwendungsbereich der Art. 28 bis 37 BayDSG die Informationen nach Art. 33 

              Abs. 3 DSGVO unverzüglich auch an diesen zu melden.

     (4)   Der Schulleiter und der Systembetreuer entscheiden auf der Grundlage der 

            Einschätzung des behördlichen Datenschutzbeauftragten nach Abs. 2, ob eine 

            Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko 

            für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat und 

            somit eine Benachrichtigungspflicht nach Art. 34 DSGVO besteht. Die 

            Benachrichtigung der betroffenen Person erfolgt unverzüglich durch die 

            Schulleiterin oder der Schulleiter. Unterbleibt eine Benachrichtigung nach Art. 34 

             DSGVO, sind die Gründe hierfür zu dokumentieren.

     (5)   Nach Bekanntwerden des Verstoßes leitet der Schulleiter und der Systembetreuer in 

            Abstimmung mit dem behördlichen Datenschutzbeauftragten unverzüglich     

            Abhilfemaßnahme ein.


§ 11 Auftragsverarbeitung

Der Schulleiter prüft in Zusammenarbeit mit dem behördlichen Datenschutzbeauftragten vor Abschluss eines Vertrages über die Auftragsverarbeitung (vgl. Art. 28 DSGVO), ob der Vertrag die Voraussetzungen des Art. 28 DSGVO erfüllt, insbesondere ob der Auftragsverarbeiter hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO und den zu ihrer Ergänzung erlassenen europäischen, bundes- und landesrechtlichen Regelungen erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Hierzu lässt sich der Schulleiter in Zusammenarbeit mit dem Datenschutzbeauftragten entsprechende Nachweise/Zertifikate vorlegen und holt die Stellungnahme des Systembetreuers ein.


Fünfter Teil: Schlussvorschriften

§ 12 Inkrafttreten

Diese Geschäftsordnung tritt am 01.04.2024 in Kraft. 

_________________________________________________________________________________

Fußnoten: 

[1]  Organe der Schule sind z.B. der Elternbeirat oder die Schüler-Mitverantwortung (SMV).
[2] Der Datenschutzbeauftragte kann an Grund-, Mittel- und Förderschulen (GS/MS/FöS) nicht durch den Schulleiter    benannt werden.
[3] Beispiel 1: Fachverfahrensspezifische Anweisung, wie Freifeldtext genutzt werden soll, wenn Schule ein Verfahren einsetzt, das ein Freitextfeld vorsieht; Beispiel 2: Fachverfahrensspezifische Anweisung, dass bei der elektronischen Übermittlung von bestimmten personenbezogenen Daten ein Kennwort zu vergeben ist und das Kennwort gesondert elektronisch zu übermitteln ist.
[4] z.B. Zugriffskontrollen
[5] Falls Zuweisung nach § 4 erfolgt ist, bitte ankreuzen. Zuweisung nur gültig, wenn das Feld angekreuzt wird. 

[6] Übertragung ist optional. Die Zuweisung ist nur an Personen möglich, die hierfür persönlich geeignet sind. Weiterhin müssen die Personen eine gewisse organisatorische Verantwortung an der Schule tragen, in Betracht kommen insbesondere Fachbetreuer, Fachbereichsleiter, Verbindungslehrkräfte, der Wettbewerbskoordinator oder der Vorsitzende des Elternbeirats. Siehe hierzu Anlage 4 zu dieser Geschäftsordnung.
[7] Daneben ist bei einer Einrichtung oder Änderung von Verarbeitungsverfahren stets an eine gegebenenfalls erforderliche Einbeziehung des Sachaufwandsträgers zu denken.
[8 ]Zutreffendes bei Bedarf bitte ankreuzen. Übertragung nur gültig, wenn entsprechendes Feld angekreuzt wird.
[9] Das Verzeichnis der Verarbeitungstätigkeiten soll an der jeweiligen Schule bzw. für Verarbeitungstätigkeiten des Schulamtes am jeweiligen Schulamt liegen. Daher muss die Aufgabe der Führung des Verfahrensverzeichnisses bei GS/MS/FöS bei dem Schulleiter liegen. Dieser soll sich mit dem zuständigen Datenschutzbeauftragten absprechen und von diesem intensiv unterstützt werden (vgl. § 2 dieser Geschäftsordnung). An Schulen mit behördlichem DSB vor Ort ist das Führen des Verarbeitungsverzeichnisses auch durch den DSB möglich.
[10] Die Zuständigkeit für die Einrichtung und Änderung von Verarbeitungstätigkeiten und –verfahren (vgl. § 4 Abs. 3 S. 1) und die erstmalige Erarbeitung sowie die Erstellung der einzelnen Beschreibungen der Verarbeitungstätigkeiten verbleiben bei dem Schulleiter.                                                                                                                                                                 [11] Die Erfüllung der Betroffenenrechte nach Art. 12 ff. DSGVO ist Aufgabe der Schule. Allerdings Zuweisung von koordinierenden Aufgaben an DSB möglich, umfasst vor allem Abfrage der erforderlichen Angaben bei den jeweiligen Funktionseinheiten und koordinierte Auskunftserteilung an die betroffenen Personen. Das Staatsministerium stellt den Schulen Arbeitshilfen zur Unterstützung bei der Erfüllung der Betroffenenrechte zur Verfügung.
[12] Diese Aufgabe erfasst die Schulung oder ggf. Koordinierung von Schulungen.
[13] Da die Datenschutzbeauftragten bei GS/MS/FöS dem Schulamt zugeordnet sind, kann der Schulleiter der Schule diesen hier keine zusätzlichen Aufgaben zuweisen.                                                                                                                             [14]Vgl. § 2 Abs. 5 der Geschäftsordnung
[15] ]nformation durch Beispiele, Präsentationen, Aushänge von Fachartikeln, …
[16]„Bedeutsame Anschaffungen“: z.B. Anschaffung neuer Hardware mit gänzlich neuem Betriebssystem und anderen Speicherorten und Nutzungsszenarien oder Anschaffung neuer Serverstruktur.                                                                           [17] Vgl. § 4 Abs. 1
[18] Vgl. Anhang 3
____________________________________________________________________________________________________________

 Anlagen:

Anlage 2: Tätigkeiten aus Sicht der handelnden  
                  Personen
Anlage 3: Schaubild zum Umgang mit  
                  Datenschutzverletzungen
Anlage 4: Zuweisung nach § 4 Abs. 1 Datenschutz-Geschäftsordnung
                  (Personen mit zusätzlichen datenschutzrechtlichen Aufgaben)
Anlage 5: Erklärung zur Nutzung privater Endgeräte für dienstliche Zwecke