Untitled
Dieses Dokument ist Teil der Anfrage „Nutzung von Microsoft 365 (ink. Teams)“
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite LOGO 1/19 Vorblatt 1. Vorblatt 1.1. Angaben zum Verantwortlichen Name: Straße Postleitzahl Ort Telefon E-Mailadresse 1.2. Angaben zum Vertreter des Verantwortlichen Name: Straße Postleitzahl Ort Telefon E-Mailadresse 1.3. Angaben zur Person des Datenschutzbeauftragten Name: █████████████████████████████████████████ Straße ██████████████████████████████████ Postleitzahl Ort 44787 Bochum Telefon ███████████████████████ E-Mailadresse █████████████████████████████
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 2/19 Verarbeitungstätigkeiten 2. Verarbeitungstätigkeiten 2.1. Verarbeitungstätigkeit „Office 365 Account verwalten“ Ansprechpartner Siehe Abschnitte 1.1 und 1.2 (Art. 30 Abs. 1 S. 2 lit a)) Beschreibung der Tätig-Aus SchiLD NRW werden die benötigten Schülerdaten (Vor- keit name, Nachname, Klasse) exportiert und durch Skripte wer- den entsprechende Office-365 Accounts erzeugt. Ebenso werden die Schüler den Klassen (Office-365 Gruppen) zuge- wiesen. Die entsprechenden Daten für die Lehrerinnen und Lehrer werden manuell ermittelt. • Das Anlegen ist mit folgenden Maßnahmen verbunden: o Erstellen einer E-Mailadresse o Zuweisen der Lizenzen Bei ausgeschulten Schülern wird der Account mit allen seinen Daten, Postfächern und seinen OneDrive-Verzeichnissen ge- löscht. Zwecke der Verarbeitung• Durchführung von Unterricht, Teamarbeit, Kommunika- (Art. 30 Abs. 1 S. 2 lit b)) tion auf der Rechtsgrundlage von DS-GVO Art. 6 lit. a (Einwilligung): §120 SchulG Abs. 2 Satz 2, 3, §121 SchulG Abs. 1 Satz 5 • Aktive Schülerinnen und Schüler sollen die notwendigen Komponenten von Office 365 nutzen können. • Inaktive Schülerinnen und Schüler sollen 3 Wochen nach Beendigung des Schulverhältnisses die Komponenten von Office 365 nicht mehr nutzen können. Name des eingesetzen Office 365 Verfahrens Betroffene Personen 1. Schülerinnen und Schüler (Art. 30 Abs. 1 S. 2 lit c)) 2. Lehrerinnen und Lehrer Kategorien personenbe- • Name und ggf. Klassen- bzw. Kurszugehörigkeit zogener Daten o 1:vorname.nachname@subdomaine.schuldo- (Art. 30 Abs. 1 S. 2 lit c)) maine.de o 2: nachname@schuldomaine • Rechte und Rollen • Lizenzinformationen o 1: Microsoft 365 Apps für Schüler und Studenten (Whiteboard, Office für das Web, Forms, Sway, OneDrive, Apps for Enterprise), Office 365 A1 (Com- mon Data Service, Education Analytics, Kaizala Pro,
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 3/19 Verarbeitungstätigkeiten To-Do, Azure Active Direcory Basic für Bildungsein- richtungen, Stream E3 SKU, Teams, StaffHub, PowerApps, Planner, Skype, SharePoint und Ex- change Online). o 2: Office 365 A1 für Lehrpersonal (Common Data Service, Education Analytics, Kaizala Pro, White- board, To-Do, Azure Active Direcory Basic für Bild- ungseinrichtungen, Stream E3 SKU, Teams, Staff- Hub, PowerApps, Forms, Planner, Skype, Sway, Of- fice für das Web, SharePoint und Exchange Online) o 1, 2: Empfehlung: Deaktivieren von Yammer for Academic • Vom Nutzer erzeugte Inhalte und Einstellungen o 1, 2: Einwilligung Nutzungsbedingungen, persönliche Einstellungen, Angaben in Nutzerprofil, vom Nutzer erstellte Inhalte, in die Cloud gespeicherte Inhalte, E- Mail, Messages, Kalendereinträge, Kommentare, Da- tenbankeinträge o 1: Bei der Bearbeitung von Aufgaben gemachte An- gaben, eingefügte Inhalte, Antworten bei Tests, Anzahl (nicht) eingereichte Aufgaben, Badges, erhal- tenes Feedback • Für die technische Funktionalität vom System erhobene Daten o 1, 2: Geräte- und Nutzungsdaten (Gerätedaten nur bei BYOD und außerschulischer Nutzung), Nutzungs- daten von Inhalten, Interaktionen, Suchvorgänge und Befehle, Fehlermeldungen, Sicherungskopien, Positi- onsdaten – vor allem bei BYOD und außerschulischer Nutzung relevant, Text-, Eingabe- und Freihanddaten • Keine besonderen Kategorien gemäß Art. 9. Kategorien von Daten- • Intern: empfängern o N.N., Schulleitung: 1, 2 (Art. 30 Abs. 1 S. 2 lit. d) o N.N., Office-Administrator: 1, 2 (Nutzer- und Rechte- verwaltung nach Anweisung durch die Schulleitung) o Lehrkräfte: 1 (Unterrichtsdaten soweit zur Durchfüh- rung des Unterrichts erforderlich – nach Anweisung durch die Schulleitung) o Schülerinnen und Schüler: 2 (eigene Daten und nach Freigabe die von Mitschülern, Nachrichten von Mit- schülern) • Extern (Auftragsverarbeitung): o Microsoft Corporation (Serverstandort EU) auf Grund- lage des „Open Value Subscription-Vertrag für Bil- dungseinrichtungen V2035896“ vom ??.??.????
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 4/19 Verarbeitungstätigkeiten o Betroffene nach Art. 15 DS-GVO • Eine explizite Datenübermittlung an Drittländer findet nicht statt. Übermittlungen von per-• Microsoft Cooperation (█o.) sonenbezogenen Daten • Sofern es sich um eine in Art. 49 Abs. 1 Unterabsatz 2 DS- an ein Drittland oder an GVO genannte Datenübermittlung handelt: laut Online eine internationale Orga- Service Terms OST vom ??.??.????: nisation o EU-US Privacy Shield (Art. 30 Abs. 1 S. 2 lit. e) o Standardvertragsklauseln Fristen für die Datenlö- • Durch die Schule: Drei Wochen nach Beendigung des schung Schulverhältnisses wird der Account gelöscht. Die Daten (Art. 30 Abs. 1 S. 2 lit. f) sind intern aber noch verfügbar. • Durch Microsoft: Nach 30 Tagen werden die Daten durch Office 365 automatisiert entgültig gelöscht. Technische und organisa-• Durch den Vertrag, der die Basis der Auftragsverarbei- torische Maßnahmen ge- tung mit Microsoft bildet, werden folgende TOM garan- mäß Art. 32 Abs.1 tiert: DSGVO o Gewährleistung der Integrität und Vertraulichkeit der (Art. 30 Abs. 1 S. 2 lit. g) Systeme und Dienste o Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste o Wiederherstellung der Verfügbarkeit personenbezoge- ner Daten und des Zugangs zu ihnen nach einem phy- sischen oder technischen Zwischenfall o Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen • Interne Maßnahmen o Nur besonders ausgewählte Personen können Benut- zer anlegen, die Benutzerdaten verändern oder Benut- zer löschen. o Alle Schülerinnen und Schüler werden vorab über die Verwendung ihres Namens und ihrer Klassenzugehö- rigkeit informiert. Auch wird ihnen der Zweck mitgeteilt. o Den Schülerinnen und Schüler steht die Möglichkeit of- fen, anstelle eines Namens eine 10stellige zufällige Zif- fernfolge zu verwenden. Die Schülerinnen und Schüler müssen dann über die Möglichen Konsequenzen infor- miert werden. o Die Schülerinnen und Schüler können jederzeit der Verwendung ihres Namens widersprechen. Sie wer- den darüber informiert, dass die Datenspuren – z.B. Bearbeitervermerke in Word-Dokumenten – nicht zent- ral gelöscht werden können.
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 5/19 Verarbeitungstätigkeiten
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 6/19 Verarbeitungstätigkeiten 2.2. Verarbeitungstätigkeit „Kommunikation per E-Mail“ Ansprechpartner Siehe Abschnitte 1.1 und 1.2 (Art. 30 Abs. 1 S. 2 lit a)) Beschreibung der Tätig- Schülerinnen und Schüler und Lehrerinnen und Lehrer kom- keit munizieren außerhalb des Unterrichts per E-Mail miteinander. Die Bekannheit dieser Technologien macht eine Beschreibung weitestgehend überflüssig. Zwecke der Verarbeitung Kommunikation und Übermittlung allgemeiner Informationen (Art. 30 Abs. 1 S. 2 lit b)) wie beipielsweise • Mitteilung über Unterrichtsorganisatorisches, • Mitteilung über Aufgaben, • Terminvereinbarung, • Rückfragen zum Stoff des Unterrichts, • Bereitstellen von Arbeitsergebnissen oder • Krankmeldungen der Schülerin/des Schülers (ohne Nen- nung der Erkrankung). • Explizit nicht vorgesehen sind der Austausch von o Bewertungen von Leistungen, o Beschreibungen oder Bewertungen persönlicher Le- bensumstände (Familie, finanzielle Situation, Strafver- fahren etc.) und o Protokolle von Teilkonferenzen oder Vergleichbarem. Rechtsgrundlagen sind: • DS-GVO Art. 6 lit. e: VO-DV I Anlage 1, VO-DV II Anlage 1 • DS-GVO Art. 6 lit. a (Einwilligung): Daten zur Erreichbar- keit (private E-Mail-Adresse) und Erreichbarkeit am Ar- beitsplatz ( E-Mail) Betroffene Personen 1. Schülerinnen und Schüler (Art. 30 Abs. 1 S. 2 lit c)) 2. Lehrerinnen und Lehrer 3. Erziehungsberechtigte 4. Nach dem Berufsbildungsgesetz zuständige Stelle 5. Externe Stellen Name des eingesetzen Microsoft Outlook in Verbindung mit Office 365 Verfahrens Kategorien personenbe- • 1, 3: Grunddaten nach VO-DV I §4, Anlage 1 A I, C III zogener Daten • 2: Lehrerdaten nach VO-DV II §5, Anlage 1 (Art. 30 Abs. 1 S. 2 lit c)) • 4: Nach dem Berufsbildungsgesetz zuständige Stelle • 5: Name, Adressdaten
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 7/19 Verarbeitungstätigkeiten • Keine besonderen Kategorien gemäß Art. 9. Kategorien von Daten- • Intern: empfängern o Kommunikationspartner (Art. 30 Abs. 1 S. 2 lit. d) o 1, 2, 3, 4: Schulleitung – alle E-Mailadressen o 1, 2, 3, 4: Schulverwaltung – alle E-Mailadressen o 1, 3, 4: Lehrerinnen und Lehrer, Beratungsteam, Lehr- amtsanwärter – Daten soweit diese zur Erfüllung de Aufgaben dieser Personen erforderlich ist o 2: Lehrerinnen und Lehrer, Beratungsteam, Lehramts anwärter – alle E-Mailadressen o dienstliche E-Mail-Adresse (3) • Extern (Auftragsverarbeitung): o Microsoft Corporation(Serverstandort EU) o Betroffene nach Art. 15 DS-GVO • Eine explizite Datenübermittlung an Drittländer findet nicht statt. Übermittlungen von per-Microsoft Cooperation (█o.) sonenbezogenen Daten an ein Drittland oder an Sofern es sich um eine in Art. 49 Abs. 1 Unterabsatz 2 eine internationale Orga- GVO genannte Datenübermittlung handelt: laut Online Service nisation Terms OST vom ??.??.????: (Art. 30 Abs. 1 S. 2 lit. e) • EU-US Privacy Shield • Standardvertragsklauseln Fristen für die Datenlö- • Durch die Schule: Drei Wochen nach Beendigung des schung Schulverhältnisses wird der Account gelöscht. Die Postfä- (Art. 30 Abs. 1 S. 2 lit. f) cher sind intern aber noch verfügbar. • Durch Microsoft: Nach 30 Tagen werden die Postfächer durch Office 365 automatisiert entgültig gelöscht. Technische und organisa-• Durch den Vertrag, der die Basis der Auftragsverarbeitung torische Maßnahmen ge- mit Microsoft bildet, werden folgende TOM garantiert: mäß Art. 32 Abs.1 o Gewährleistung der Integrität und Vertraulichkeit der DSGVO Systeme und Dienste (Art. 30 Abs. 1 S. 2 lit. g) o Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste o Wiederherstellung der Verfügbarkeit personenbezoge- ner Daten und des Zugangs zu ihnen nach einem phy- sischen oder technischen Zwischenfall o Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen o Maßnahmen entsprechend den Anforderungen der ISO 27001, ISO 27002 und ISO 27018.
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 8/19 Verarbeitungstätigkeiten o Online Service Terms Anhang B – Sicherheitsmaßnah- men • Interne Maßnahmen o Alle Schülerinnen und Schüler und Lehrerinnen und Lehrer werden vorab über die zweckmäßige Verwen- dung informiert. o Die Verwendung dieser Technologien werden im Unter- richt thematisiert (Technik, Ethik, Gesetzeslage). o Näheres regelt die Nutzungsordnung.
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 9/19 Verarbeitungstätigkeiten 2.3. Verarbeitungstätigkeit „Kommunikation per Team-Chat“ Ansprechpartner Siehe Abschnitte 1.1 und 1.2 (Art. 30 Abs. 1 S. 2 lit a)) Beschreibung der Tätig-Schülerinnen und Schüler und Lehrerinnen und Lehrer ko keit munizieren außerhalb des Unterrichts Team-Chat miteinander. Die Bekannheit dieser Technologien macht eine Beschreibung weitestgehend überflüssig. Zwecke der Verarbeitung• Mitteilung über Unterrichtsorganisatorisches (Art. 30 Abs. 1 S. 2 lit b))• Absprachen über die didaktische Jahresplanung • Terminvereinbarung • Erstellung von Unterrichtsmaterialen • Erstellung von Prüfungsvorschlägen und Leistungsbewer- tungen • Organisation von schulischen Veranstaltungen • Arbeitsorganisatorisches • Bei unverschlüsselten Kanälen ist der Austausch von ver- traulichen Informationen explizit nicht vorgesehen: Betroffene Personen 1. Schülerinnen und Schüler (Art. 30 Abs. 1 S. 2 lit c)) 2. Lehrerinnen und Lehrer Name des eingesetzten Microsoft Teams Verfahrens Kategorien personenbe- • Personennamen zogener Daten • Unterrichtsmaterialien (Art. 30 Abs. 1 S. 2 lit c)) • Organisatorisches (z.B. TODO-Listen schulischer Veranstaltungen) • Keine besonderen Kategorien gemäß Art. 9. Kategorien von Daten- • Intern: empfängern o Kommunikationspartner (Art. 30 Abs. 1 S. 2 lit. d) • Extern (Auftragsverarbeitung): o Microsoft Corporation (Serverstandort EU) o Betroffene nach Art. 15 DS-GVO • Eine explizite Datenübermittlung an Drittländer findet nicht statt. Übermittlungen von per-• Microsoft Cooperation (█o.) sonenbezogenen Daten • Sofern es sich um eine in Art. 49 Abs. 1 Unterabsatz 2 an ein Drittland oder an DS-GVO genannte Datenübermittlung handelt: laut Online Service Terms OST: • EU-US Privacy Shield
Verzeichnis von Verarbeitungstätigkeiten Verantwortli- cher gem. Artikel 30 Abs. 1 DSGVO Seite 10/19 Verarbeitungstätigkeiten eine internationale Orga- • Standardvertragsklauseln nisation (Art. 30 Abs. 1 S. 2 lit. e) Fristen für die Datenlö- • Durch die Schule: Drei Wochen nach Beendigung des schung Schulverhältnisses wird der Account gelöscht. Die Team- (Art. 30 Abs. 1 S. 2 lit. f) kommunikation bleibt erhalten. • Durch die Schule: Drei Wochen nach Verlassen der Klasse der Schule, werden alle Teams, die mit der Klasse verbunden waren, manuell gelöscht. Die Daten bleiben in- tern verfügbar. • Durch Microsoft: Nach 30 Tagen werden die Daten entgül- tig gelöscht. Technische und organisa- • Durch den Vertrag, der die Basis der Auftragsverarbeitung torische Maßnahmen ge- mit Microsoft bildet, werden folgende TOM garantiert: mäß Art. 32 Abs.1 o Gewährleistung der Integrität und Vertraulichkeit der DSGVO Systeme und Dienste (Art. 30 Abs. 1 S. 2 lit. g) o Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste o Wiederherstellung der Verfügbarkeit personenbezoge- ner Daten und des Zugangs zu ihnen nach einem phy- sischen oder technischen Zwischenfall o Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen o Maßnahmen entsprechend den Anforderungen der ISO 27001, ISO 27002 und ISO 27018. o Online Service Terms Anhang B – Sicherheitsmaßnah- men • Interne Maßnahmen o Alle Lehrerinnen und Lehrer und werden vorab über die zweckmäßige Verwendung informiert. o Alle Schülerinnen und Schüler und werden vorab über die zweckmäßige Verwendung informiert. o Näheres regelt die Nutzungsordnung.