Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                     Seite LOGO                                                             1/19 Vorblatt 1. Vorblatt 1.1. Angaben zum Verantwortlichen Name: Straße Postleitzahl Ort Telefon E-Mailadresse 1.2. Angaben zum Vertreter des Verantwortlichen Name: Straße Postleitzahl Ort Telefon E-Mailadresse 1.3. Angaben zur Person des Datenschutzbeauftragten Name:              █████████████████████████████████████████ Straße             ██████████████████████████████████ Postleitzahl Ort   44787 Bochum Telefon            ███████████████████████ E-Mailadresse      █████████████████████████████

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                                  Seite 2/19 Verarbeitungstätigkeiten 2. Verarbeitungstätigkeiten 2.1. Verarbeitungstätigkeit „Office 365 Account verwalten“ Ansprechpartner              Siehe Abschnitte 1.1 und 1.2 (Art. 30 Abs. 1 S. 2 lit a)) Beschreibung der Tätig-Aus SchiLD NRW werden die benötigten Schülerdaten (Vor- keit                         name, Nachname, Klasse) exportiert und durch Skripte wer- den entsprechende Office-365 Accounts erzeugt. Ebenso werden die Schüler den Klassen (Office-365 Gruppen) zuge- wiesen. Die entsprechenden Daten für die Lehrerinnen und Lehrer werden manuell ermittelt. • Das Anlegen ist mit folgenden Maßnahmen verbunden: o Erstellen einer E-Mailadresse o Zuweisen der Lizenzen Bei ausgeschulten Schülern wird der Account mit allen seinen Daten, Postfächern und seinen OneDrive-Verzeichnissen ge- löscht. Zwecke der Verarbeitung• Durchführung von Unterricht, Teamarbeit, Kommunika- (Art. 30 Abs. 1 S. 2 lit b)) tion auf der Rechtsgrundlage von DS-GVO Art. 6 lit. a (Einwilligung): §120 SchulG Abs. 2 Satz 2, 3, §121 SchulG Abs. 1 Satz 5 • Aktive Schülerinnen und Schüler sollen die notwendigen Komponenten von Office 365 nutzen können. • Inaktive Schülerinnen und Schüler sollen 3 Wochen nach Beendigung des Schulverhältnisses die Komponenten von Office 365 nicht mehr nutzen können. Name des eingesetzen Office 365 Verfahrens Betroffene       Personen       1. Schülerinnen und Schüler (Art. 30 Abs. 1 S. 2 lit c))    2. Lehrerinnen und Lehrer Kategorien personenbe- • Name und ggf. Klassen- bzw. Kurszugehörigkeit zogener             Daten       o 1:vorname.nachname@subdomaine.schuldo- (Art. 30 Abs. 1 S. 2 lit c))        maine.de o 2: nachname@schuldomaine • Rechte und Rollen • Lizenzinformationen o 1: Microsoft 365 Apps für Schüler und Studenten (Whiteboard, Office für das Web, Forms, Sway, OneDrive, Apps for Enterprise), Office 365 A1 (Com- mon Data Service, Education Analytics, Kaizala Pro,

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                                          Seite 3/19 Verarbeitungstätigkeiten To-Do, Azure Active Direcory Basic für Bildungsein- richtungen, Stream E3 SKU, Teams, StaffHub, PowerApps, Planner, Skype, SharePoint und Ex- change Online). o 2: Office 365 A1 für Lehrpersonal (Common Data Service, Education Analytics, Kaizala Pro, White- board, To-Do, Azure Active Direcory Basic für Bild- ungseinrichtungen, Stream E3 SKU, Teams, Staff- Hub, PowerApps, Forms, Planner, Skype, Sway, Of- fice für das Web, SharePoint und Exchange Online) o 1, 2: Empfehlung: Deaktivieren von Yammer for Academic •  Vom Nutzer erzeugte Inhalte und Einstellungen o 1, 2: Einwilligung Nutzungsbedingungen, persönliche Einstellungen, Angaben in Nutzerprofil, vom Nutzer erstellte Inhalte, in die Cloud gespeicherte Inhalte, E- Mail, Messages, Kalendereinträge, Kommentare, Da- tenbankeinträge o 1: Bei der Bearbeitung von Aufgaben gemachte An- gaben, eingefügte Inhalte, Antworten bei Tests, Anzahl (nicht) eingereichte Aufgaben, Badges, erhal- tenes Feedback •  Für die technische Funktionalität vom System erhobene Daten o 1, 2: Geräte- und Nutzungsdaten (Gerätedaten nur bei BYOD und außerschulischer Nutzung), Nutzungs- daten von Inhalten, Interaktionen, Suchvorgänge und Befehle, Fehlermeldungen, Sicherungskopien, Positi- onsdaten – vor allem bei BYOD und außerschulischer Nutzung relevant, Text-, Eingabe- und Freihanddaten •  Keine besonderen Kategorien gemäß Art. 9. Kategorien von      Daten-   •  Intern: empfängern                     o N.N., Schulleitung: 1, 2 (Art. 30 Abs. 1 S. 2 lit. d)   o N.N., Office-Administrator: 1, 2 (Nutzer- und Rechte- verwaltung nach Anweisung durch die Schulleitung) o Lehrkräfte: 1 (Unterrichtsdaten soweit zur Durchfüh- rung des Unterrichts erforderlich – nach Anweisung durch die Schulleitung) o Schülerinnen und Schüler: 2 (eigene Daten und nach Freigabe die von Mitschülern, Nachrichten von Mit- schülern) •  Extern (Auftragsverarbeitung): o Microsoft Corporation (Serverstandort EU) auf Grund- lage des „Open Value Subscription-Vertrag für Bil- dungseinrichtungen V2035896“ vom ??.??.????

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                                  Seite 4/19 Verarbeitungstätigkeiten o Betroffene nach Art. 15 DS-GVO • Eine explizite Datenübermittlung an Drittländer findet nicht statt. Übermittlungen von per-•       Microsoft Cooperation (█o.) sonenbezogenen Daten •         Sofern es sich um eine in Art. 49 Abs. 1 Unterabsatz 2 DS- an ein Drittland oder an       GVO genannte Datenübermittlung handelt: laut Online eine internationale Orga-      Service Terms OST vom ??.??.????: nisation                       o EU-US Privacy Shield (Art. 30 Abs. 1 S. 2 lit. e)   o Standardvertragsklauseln Fristen für die Datenlö- •     Durch die Schule: Drei Wochen nach Beendigung des schung                         Schulverhältnisses wird der Account gelöscht. Die Daten (Art. 30 Abs. 1 S. 2 lit. f)   sind intern aber noch verfügbar. • Durch Microsoft: Nach 30 Tagen werden die Daten durch Office 365 automatisiert entgültig gelöscht. Technische und organisa-•      Durch den Vertrag, der die Basis der Auftragsverarbei- torische Maßnahmen ge-         tung mit Microsoft bildet, werden folgende TOM garan- mäß Art. 32 Abs.1              tiert: DSGVO                          o Gewährleistung der Integrität und Vertraulichkeit der (Art. 30 Abs. 1 S. 2 lit. g)       Systeme und Dienste o Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste o Wiederherstellung der Verfügbarkeit personenbezoge- ner Daten und des Zugangs zu ihnen nach einem phy- sischen oder technischen Zwischenfall o Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen • Interne Maßnahmen o Nur besonders ausgewählte Personen können Benut- zer anlegen, die Benutzerdaten verändern oder Benut- zer löschen. o Alle Schülerinnen und Schüler werden vorab über die Verwendung ihres Namens und ihrer Klassenzugehö- rigkeit informiert. Auch wird ihnen der Zweck mitgeteilt. o Den Schülerinnen und Schüler steht die Möglichkeit of- fen, anstelle eines Namens eine 10stellige zufällige Zif- fernfolge zu verwenden. Die Schülerinnen und Schüler müssen dann über die Möglichen Konsequenzen infor- miert werden. o Die Schülerinnen und Schüler können jederzeit der Verwendung ihres Namens widersprechen. Sie wer- den darüber informiert, dass die Datenspuren – z.B. Bearbeitervermerke in Word-Dokumenten – nicht zent- ral gelöscht werden können.

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                      Seite 5/19 Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                                        Seite 6/19 Verarbeitungstätigkeiten 2.2. Verarbeitungstätigkeit „Kommunikation per E-Mail“ Ansprechpartner              Siehe Abschnitte 1.1 und 1.2 (Art. 30 Abs. 1 S. 2 lit a)) Beschreibung der Tätig- Schülerinnen und Schüler und Lehrerinnen und Lehrer kom- keit                         munizieren außerhalb des Unterrichts per E-Mail miteinander. Die Bekannheit dieser Technologien macht eine Beschreibung weitestgehend überflüssig. Zwecke der Verarbeitung Kommunikation und Übermittlung allgemeiner Informationen (Art. 30 Abs. 1 S. 2 lit b)) wie beipielsweise •  Mitteilung über Unterrichtsorganisatorisches, •  Mitteilung über Aufgaben, •  Terminvereinbarung, •  Rückfragen zum Stoff des Unterrichts, •  Bereitstellen von Arbeitsergebnissen oder •  Krankmeldungen der Schülerin/des Schülers (ohne Nen- nung der Erkrankung). • Explizit nicht vorgesehen sind der Austausch von o Bewertungen von Leistungen, o Beschreibungen oder Bewertungen persönlicher Le- bensumstände (Familie, finanzielle Situation, Strafver- fahren etc.) und o Protokolle von Teilkonferenzen oder Vergleichbarem. Rechtsgrundlagen sind: •  DS-GVO Art. 6 lit. e: VO-DV I Anlage 1, VO-DV II Anlage 1 •  DS-GVO Art. 6 lit. a (Einwilligung): Daten zur Erreichbar- keit (private E-Mail-Adresse) und Erreichbarkeit am Ar- beitsplatz ( E-Mail) Betroffene       Personen 1. Schülerinnen und Schüler (Art. 30 Abs. 1 S. 2 lit c)) 2. Lehrerinnen und Lehrer 3. Erziehungsberechtigte 4. Nach dem Berufsbildungsgesetz zuständige Stelle 5. Externe Stellen Name des eingesetzen Microsoft Outlook in Verbindung mit Office 365 Verfahrens Kategorien personenbe- •        1, 3: Grunddaten nach VO-DV I §4, Anlage 1 A I, C III zogener              Daten •    2: Lehrerdaten nach VO-DV II §5, Anlage 1 (Art. 30 Abs. 1 S. 2 lit c)) •  4: Nach dem Berufsbildungsgesetz zuständige Stelle •  5: Name, Adressdaten

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                                   Seite 7/19 Verarbeitungstätigkeiten • Keine besonderen Kategorien gemäß Art. 9. Kategorien von Daten-        •  Intern: empfängern                      o  Kommunikationspartner (Art. 30 Abs. 1 S. 2 lit. d)    o  1,  2, 3, 4: Schulleitung – alle E-Mailadressen o 1, 2, 3, 4: Schulverwaltung – alle E-Mailadressen o 1, 3, 4: Lehrerinnen und Lehrer, Beratungsteam, Lehr- amtsanwärter – Daten soweit diese zur Erfüllung de Aufgaben dieser Personen erforderlich ist o 2: Lehrerinnen und Lehrer, Beratungsteam, Lehramts anwärter – alle E-Mailadressen o dienstliche E-Mail-Adresse (3) • Extern (Auftragsverarbeitung): o Microsoft Corporation(Serverstandort EU) o Betroffene nach Art. 15 DS-GVO • Eine explizite Datenübermittlung an Drittländer findet nicht statt. Übermittlungen von per-Microsoft Cooperation (█o.) sonenbezogenen Daten an ein Drittland oder an     Sofern es sich um eine in Art. 49 Abs. 1 Unterabsatz 2 eine internationale Orga-    GVO genannte Datenübermittlung handelt: laut Online Service nisation                     Terms OST vom ??.??.????: (Art. 30 Abs. 1 S. 2 lit. e) • EU-US Privacy Shield • Standardvertragsklauseln Fristen für die Datenlö- •      Durch die Schule: Drei Wochen nach Beendigung des schung                          Schulverhältnisses wird der Account gelöscht. Die Postfä- (Art. 30 Abs. 1 S. 2 lit. f)    cher sind intern aber noch verfügbar. •  Durch Microsoft: Nach 30 Tagen werden die Postfächer durch Office 365 automatisiert entgültig gelöscht. Technische und organisa-•       Durch den Vertrag, der die Basis der Auftragsverarbeitung torische Maßnahmen ge-          mit Microsoft bildet, werden folgende TOM garantiert: mäß Art. 32 Abs.1               o Gewährleistung der Integrität und Vertraulichkeit der DSGVO                              Systeme und Dienste (Art. 30 Abs. 1 S. 2 lit. g)    o Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste o Wiederherstellung der Verfügbarkeit personenbezoge- ner Daten und des Zugangs zu ihnen nach einem phy- sischen oder technischen Zwischenfall o Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen o Maßnahmen entsprechend den Anforderungen der ISO 27001, ISO 27002 und ISO 27018.

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                                         Seite 8/19 Verarbeitungstätigkeiten o Online Service Terms Anhang B – Sicherheitsmaßnah- men •   Interne Maßnahmen o Alle Schülerinnen und Schüler und Lehrerinnen und Lehrer werden vorab über die zweckmäßige Verwen- dung informiert. o Die Verwendung dieser Technologien werden im Unter- richt thematisiert (Technik, Ethik, Gesetzeslage). o Näheres regelt die Nutzungsordnung.

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                                 Seite 9/19 Verarbeitungstätigkeiten 2.3. Verarbeitungstätigkeit „Kommunikation per Team-Chat“ Ansprechpartner              Siehe Abschnitte 1.1 und 1.2 (Art. 30 Abs. 1 S. 2 lit a)) Beschreibung der Tätig-Schülerinnen und Schüler und Lehrerinnen und Lehrer ko keit                         munizieren außerhalb des Unterrichts Team-Chat miteinander. Die Bekannheit dieser Technologien macht eine Beschreibung weitestgehend überflüssig. Zwecke der Verarbeitung•        Mitteilung über Unterrichtsorganisatorisches (Art. 30 Abs. 1 S. 2 lit b))•   Absprachen über die didaktische Jahresplanung •  Terminvereinbarung •  Erstellung von Unterrichtsmaterialen •  Erstellung von Prüfungsvorschlägen und Leistungsbewer- tungen • Organisation von schulischen Veranstaltungen • Arbeitsorganisatorisches • Bei unverschlüsselten Kanälen ist der Austausch von ver- traulichen Informationen explizit nicht vorgesehen: Betroffene       Personen 1. Schülerinnen und Schüler (Art. 30 Abs. 1 S. 2 lit c)) 2. Lehrerinnen und Lehrer Name des eingesetzten Microsoft Teams Verfahrens Kategorien personenbe- • Personennamen zogener             Daten • Unterrichtsmaterialien (Art. 30 Abs. 1 S. 2 lit c)) • Organisatorisches (z.B. TODO-Listen schulischer Veranstaltungen) • Keine besonderen Kategorien gemäß Art. 9. Kategorien von Daten- • Intern: empfängern                      o Kommunikationspartner (Art. 30 Abs. 1 S. 2 lit. d) • Extern (Auftragsverarbeitung): o Microsoft Corporation (Serverstandort EU) o Betroffene nach Art. 15 DS-GVO • Eine explizite Datenübermittlung an Drittländer findet nicht statt. Übermittlungen von per-• Microsoft Cooperation (█o.) sonenbezogenen Daten • Sofern es sich um eine in Art. 49 Abs. 1 Unterabsatz 2 an ein Drittland oder an DS-GVO genannte Datenübermittlung handelt: laut Online Service Terms OST: • EU-US Privacy Shield

Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO                                     Seite 10/19 Verarbeitungstätigkeiten eine internationale Orga- •     Standardvertragsklauseln nisation (Art. 30 Abs. 1 S. 2 lit. e) Fristen für die Datenlö- •      Durch die Schule: Drei Wochen nach Beendigung des schung                          Schulverhältnisses wird der Account gelöscht. Die Team- (Art. 30 Abs. 1 S. 2 lit. f)    kommunikation bleibt erhalten. •  Durch die Schule: Drei Wochen nach Verlassen der Klasse der Schule, werden alle Teams, die mit der Klasse verbunden waren, manuell gelöscht. Die Daten bleiben in- tern verfügbar. •  Durch Microsoft: Nach 30 Tagen werden die Daten entgül- tig gelöscht. Technische und organisa- • Durch den Vertrag, der die Basis der Auftragsverarbeitung torische Maßnahmen ge-          mit Microsoft bildet, werden folgende TOM garantiert: mäß Art. 32 Abs.1              o Gewährleistung der Integrität und Vertraulichkeit der DSGVO                               Systeme und Dienste (Art. 30 Abs. 1 S. 2 lit. g)   o Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste o Wiederherstellung der Verfügbarkeit personenbezoge- ner Daten und des Zugangs zu ihnen nach einem phy- sischen oder technischen Zwischenfall o Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen o Maßnahmen entsprechend den Anforderungen der ISO 27001, ISO 27002 und ISO 27018. o Online Service Terms Anhang B – Sicherheitsmaßnah- men •  Interne Maßnahmen o Alle Lehrerinnen und Lehrer und werden vorab über die zweckmäßige Verwendung informiert. o Alle Schülerinnen und Schüler und werden vorab über die zweckmäßige Verwendung informiert. o Näheres regelt die Nutzungsordnung.