Microsoft Word - DienstanweisungAnlage.docx
Dieses Dokument ist Teil der Anfrage „Nutzung von Microsoft 365 (ink. Teams)“
Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II Diese Erklärung sorgt dafür, dass Sie rechtssicher mit den Daten Ihrer Schülerin- nen und Schülern auf Ihren privaten Endgeräten arbeiten können. Sofern Sie die hier aufgeführten Maßnahmen zum Schutz der Daten einhalten, ist eine Haftung für Sie ausgeschlossen. Zur Verarbeitung von dienstlichen Daten auf privaten Endgeräten der Lehrkräfte ist eine Verpflichtungserklärung durch die Lehrkraft erforderlich. Die Genehmi- gung wird durch die Schulleiterin oder den Schulleiter erteilt. Hinweise zum Ausfüllen finden Sie in der „Handreichung zur Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten Endgeräten“, die die Medienberatung NRW in ihrem Internetangebot zur Verfügung stellt. © Ritterbach Verlag
Teil A - Allgemeine Angaben 1. Name und Anschrift der datenverarbeitenden Stelle Tragen Sie hier bitte Namen und Anschrift der Schule, den Namen der Schulleite- rin oder des Schulleiters sowie Ihren eigenen Namen ein. Name und Anschrift der Schule Name der Schulleiterin/ des Schulleiters Name und Anschrift der Lehrkraft 2. Zweckbestimmung und Rechtsgrundlagen der Datenverarbeitung Tragen Sie unter „Einsatz ab“ bitte den Zeitpunkt ein, ab dem die privaten Endgeräte für den dienstlichen Zweck verwendet werden sollen. Der Zeitpunkt muss nach der Antragstellung liegen. Zweckbestimmung Verarbeitung von personenbezogenen Daten der Schule durch Lehrkräfte zu dienstlichen Zwecken auf deren privaten ADV-Anlagen Rechtsgrundlagen Datenschutzgesetz NRW Schulgesetz NRW (BASS 1-1) VO-DV I (BASS 10-44 Nr. 2.1) VO-DV II (BASS 10-41 Nr. 6.1) Einwilligung Einsatz ab © Ritterbach Verlag
3. Art der verarbeiteten Daten und Dokumente Nr. Bezeichnung 3.1 Datensatz für die Verarbeitung durch die die Schüler/innen unterrichtenden Lehr- kräfte gemäß Absatz I Anlage 3 zur VO-DV I 1 Name, Geburtsname 2 Vorname 3 Geschlecht 4 Geburtsdatum 5 Konfession 6 Klasse/Jahrgangsstufe, Kurs 7 Schülernummer/Nummer des Gesamtschülerverzeichnisses 8 Ausbildungsrichtung bzw. Ausbildungsberuf 9 Fächer, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet 10 Leistungsbewertung in den Fächern, in denen die Lehrkraft die Schüler/innen unterrichtet 11 Zeiten des Fernbleibens vom Unterricht in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet 12 Vermerk über Benachrichtigungen gemäß § 50 Abs. 4 SchulG in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet 13 Erreichbarkeit der in § 1 Absatz 1 Nr. 1 - 3 VO-DV I genannten Personen (Anlage 1, Abschnitt A Nr. I Ziffern 1.4, 2.6, 2.7, 3.3, 3.4) 3.2 Datensatz für die Verarbeitung durch Klassenlehrer/innen, Jahrgangsstufenleiter/ innen, Beratungslehrer/innen sowie weitere mit Schulleitungsaufgaben betraute Lehr- kräfte gem. Absatz II Anlage 3 zur VO-DV I 1 Halbjahresnoten in allen Fächern 2 alle zeugnisrelevanten Leistungsangaben 3 Zeugnisbemerkungen 4 Vermerke über Benachrichtigungen gemäß § 50 Abs. 4 SchulG 3.3 Daten, die von Lehrer/innen auf Basis wirksamer Einverständniserklärungen verar- beitet werden dürfen 1 Kommunikationsdaten (elektronische Kommunikation, z.B. E-Mails) 2 Bilddaten (Fotos, Videos) 3 Dokumente, die personenbezogene Daten von Lehrkräften und weiterem an der Schule tätigen Personal enthalten, z.B. Protokolle von Konferenzen, Beschlüsse, Namenslisten © Ritterbach Verlag
4. Kreis der Betroffenen Betroffene Person Schülerin/Schüler Eltern gem. § 123 SchulG Verpflichtete gem. § 41 SchulG Lehrerinnen und Lehrer Lehramtsanwärterinnen und Lehramtsanwärter sowie Lehrkräfte in Ausbildung Weiteres in der Schule tätiges Personal, z.B. Integrationshelfer/innen, Schulsozialarbeiter/in- nen, Therapeuten/innen, Schulverwaltungsassistenten/innen (nicht abschließend) 5. Zugriffsberechtigte Personen oder Personengruppen zu Nr. zugriffsberechtigte Personen 3.1 unterrichtende Lehrkräfte und Lehramtsanwärterinnen/Lehramtsanwärter 3.2 Klassenlehrer/innen, Jahrgangsstufenleiter/innen, Beratungslehrer/innen sowie weitere mit Schulleitungsaufgaben betraute Lehrkräfte 3.3 unterrichtende Lehrkräfte und Lehramtsanwärterinnen/Lehramtsanwärter, Klassenlehrer/innen, Jahrgangsstufenleiter/innen, Beratungslehrer/innen sowie weitere mit Schulleitungsaufgaben betraute Lehrkräfte 6. Herkunft der Daten Herkunft der Daten Schülerstammblatt, Schulverwaltungsprogramm, Direkterhebung bei Betroffenen, im Rahmen der Aufgabenerfüllung entstehende Daten 7. Fristen für die Löschung der Daten Die Aufbewahrungsfrist für die in privaten ADV-Anlagen gespeicherten Daten beträgt ein Jahr (vgl. § 9 Abs. 2 VO-DV I und § 9 Abs. 1 VO-DV II). Sie beginnt mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler (ggf. die Lehramtsanwärterin/der Lehramtsanwärter, die Lehrkraft in Ausbildung) von der Lehrkraft nicht mehr unterrichtet (ausgebildet) wird. Dateien wie auch deren Backups sind nach Ablauf der Aufbewahrungsfristen von den privaten Endgeräten der Lehrkräfte zu löschen. Vor Ablauf dieser Fristen sind Daten, die auf Basis einer Einwilligung erhoben wurden, bei Wi- derruf derselben zu löschen. © Ritterbach Verlag
Teil B - Datensicherheit Beachten Sie bitte, dass alle in 1. bis 3. genannten Maßnahmen für eine daten- schutzsichere Verarbeitung von personenbezogenen Daten durch Sie sicherzu- stellen sind. 1 Gem. § 10 DSG NRW ist die Sicherheit der verarbeiteten personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen zu gewährleisten. Folgende Maßnahmen werden im Einzelnen getroffen: 1. Vertraulichkeit Um sicherzustellen, dass nur Befugte die personenbezogenen Daten zur Kenntnis nehmen können, setze ich folgende Maßnahmen um: Zugriffsschutz der eingesetzten privaten Endgeräte durch ein adäquates Verfahren (z.B. ein ausreichend sicheres Passwort) automatische Sperre der privaten Endgeräte nach maximal 15 Minuten Inaktivität Anlegen eines eigenen Benutzerkontos für dienstliche Zwecke (sofern technisch möglich) Verschlüsselung der gespeicherten Daten durch ein geeignetes Verfahren z.B. bei externen Datenträgern Sofern LOGINEO NRW eingesetzt wird und erreichbar ist: Bearbeitung und Speicherung von Dokumenten, die sensible personenbezogene Daten (z.B. Wortzeugnisse) enthalten, aus- schließlich über den Online-Editor von LOGINEO NRW. 2. Integrität Damit die Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben, gewähr- leiste ich den Einsatz folgender Systeme: Einsatz eines (Betriebs-)Systems, für das aktuelle Sicherheitsupdates verfügbar sind Einsatz aktueller Virenschutz-Software Einsatz einer Firewall 3. Verfügbarkeit Damit die Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können, ergreife ich folgende Maßnahmen: regelmäßige Aktualisierung der (Betriebs-)Systeme regelmäßige Aktualisierung eingesetzter Anwendungen (z.B. Virendefinitionen) regelmäßige Backups der verarbeiteten Daten 1) § 10 DSG NRW fordert über die unter Nr. 1 bis 3 genannten Punkte hinaus noch Maßnahmen zur Sicherstellung der Authentizität, Revisionsfähig- keit sowie Transparenz der verarbeiteten personenbezogenen Daten. Da die lokale Verarbeitung der Daten allein durch die einzelne Lehrkraft und nur auf den ihr zur Verarbeitung genehmigten privaten Endgeräten erfolgt, sind die genannten Punkte immanent bzw. logische Folge dieser lokalen Verarbeitung selbst und nicht durch die Vorgabe technischer bzw. organisatorischer Maßnahmen zu definieren. Die Datensicherheit von in LOGINEO NRW verarbeiteten Daten wird durch technisch-organisatorische Maßnahmen gem. § 10 DSG NRW gewähr- leistet. Darunter fallen eben auch die hier nicht genannten Maßnahmen zur Authentizität, Revisionsfähigkeit und Transparenz. © Ritterbach Verlag
4. Weitere Vorgaben Backups der in Teil A genannten Daten in Cloudspeicherdienste sowie die Verarbeitung dieser Daten in cloudbasierten Anwendungen, zu denen zwischen Schulleiterin oder Schulleiter und Anbieter kein gültiges Vertragsverhältnis zur Verarbeitung personenbezogener Daten im Auf- trag besteht, sind nicht zulässig. Darauf ist insbesondere bei Systembackups von mobilen End- geräten zu achten und die betreffenden Daten zwingend bei solchen Backups auszuschließen. Bei Nutzung von Schnittstellen zu schulischer IT-Infrastruktur, die einen direkten Zugriff digitaler Endgeräte auf personenbezogene Daten aus der Schule erlauben (z. B. IMAP für E-Mail, CalDAV für Kalender, CardDAV für Adressdaten oder WebDAV für Dateimanagementsyste- me), ist sicherzustellen, dass andere auf dem angebundenen Endgerät installierte Anwendun- gen keinen Zugriff auf diese Daten haben können. (Beispiel: Zugriff von WhatsApp auf das Adressbuch). Im Zweifelsfall ist von der Nutzung der jeweiligen Schnittstelle oder der Anwen- dung abzusehen. Der Zugang zur schulischen Basis-IT-Infrastruktur LOGINEO NRW oder der Abruf personenbezogener Daten der Schule über ungeschützte Netzwerke, z.B. öffentliche Hotspots, ist untersagt. 5.Für die Nutzung vorgesehene private Endgeräte Tragen Sie hier bitte die Produktbezeichnung der genutzten Geräte und die Seri- ennummern aller privaten Geräte ein, die Sie für den dienstlichen Zweck nutzen wollen. Desktop- Genaue Bezeichnung Computer Seriennummer Notebook/ Genaue Bezeichnung Laptop Seriennummer Tablet Genaue Bezeichnung Seriennummer Smartphone Genaue Bezeichnung Seriennummer Genaue Bezeichnung Seriennummer Genaue Bezeichnung Seriennummer © Ritterbach Verlag
Teil C - Verpflichtungserklärung Ihre Unterschrift unter der Verpflichtungserklärung ist notwendig, damit Sie Ihre privaten Geräte für den dienstlichen Zweck nutzen können. Sie bestätigen damit, dass Sie alle Inhalte dieser Erklärung verstanden haben und die aufgeführten Maßnahmen umsetzen werden. Ich verpflichte mich, ausschließlich die in Teil A (und ggf. E) genannten personenbezogenen Daten auf meinen privaten Endgeräten und die Daten auch nur für dienstliche Zwecke zu ver- arbeiten. Des Weiteren verpflichte ich mich, die in Teil B aufgeführten technischen und organi- satorischen Maßnahmen umzusetzen und einzuhalten. Ich werde jegliche Änderung der obenstehenden Angaben der/den datenverarbeitenden Stelle/ n zur Kenntnis bringen. Ich wurde darüber in Kenntnis gesetzt, dass ich verpflichtet bin, der Schulleiterin oder dem Schulleiter alle Auskünfte zu erteilen, die für die datenschutzrechtliche 1 Verantwortung erforderlich sind . Ich verpflichte mich, Datenmissbrauch oder Datenverlust der bei mir verarbeiteten Daten um- gehend der Schulleitung zu melden. Ort, Datum Unterschrift der Lehrkraft 1) vgl. § 2 Absatz 2 Satz 5 VO-DV I © Ritterbach Verlag
Teil D - Genehmigung der Schulleiterin/ des Schulleiters Die Unterschrift der Schulleiterin/des Schulleiters unter der Verpflichtungserklä- rung ist notwendig, damit Sie Ihre privaten Geräte ab dem unter Teil A genannten Zeitpunkt für dienstliche Zwecke nutzen dürfen. Darüber hinaus besteht nur auf diese Weise ein Haftungsschutz für die in Teil B aufgeführten Geräte. Unter den oben genannten Voraussetzungen erteile ich die Genehmigung zur Verarbeitung der in Teil A genannten Daten zu dienstlichen Zwecken auf den unter Teil B Absatz 5 genannten privaten Endgeräten der Lehrkraft. Ich erteile des Weiteren die Erlaubnis, die aufgeführten mobilen privaten Endgeräte für die dienstliche Nutzung innerhalb der Schule mitzuführen. Eine Aufbewahrung der Geräte über Nacht in Gebäuden der Schule ist nicht zulässig. Ort, Datum Unterschrift der Schulleiterin/des Schulleiters © Ritterbach Verlag
Teil E - Verarbeitung personenbezogener Daten von Lehramtsanwärterinnen und Lehramtsanwärtern und Lehrkräften in Ausbildung Falls Sie in die Ausbildung von Lehramtsanwärterinnen oder Lehramtsanwärtern eingebunden sind, dürfen Sie die Daten dieser Personen nur mit Genehmigung der Leiterin oder des Leiters des ZfsL auf Ihren privaten Endgeräten verarbeiten. Teil E stellt diese Genehmigung dar, die bei einer Zuständigkeit mehrerer ZfsL in der entsprechenden Anzahl ausgefüllt werden muss. 1. Name und Anschrift der datenverarbeitenden Stelle Tragen Sie hier bitte Namen und Anschrift des ZfsL, den Namen der Leiterin oder des Leiters des ZfsL sowie Ihren eigenen Namen ein. Name und Anschrift des Zentrums für schulprakti- sche Lehrerausbildung (ZfsL) Name der Leiterin/des Leiters des ZfsL Name und Anschrift der Lehrkraft 2. Art der verarbeiteten Daten und Dokumente Nr. Bezeichnung Datensatz zum Zwecke des Erstellens von Beurteilungsbeiträgen von Lehramtsanwär- terinnen und Lehramtsanwärtern sowie Lehrkräften in Ausbildung gem. Anlage 6 zur VO-DV II 1 Name, Vorname 2 E-Mail-Adresse (sofern Einwilligung vorliegt) 3 Beurteilung der Leistungen der Lehramtsanwärterinnen und Lehramtsanwärter und der Lehrkräfte in Ausbildung 4 Dienstliche E-Mail-Adresse © Ritterbach Verlag
Teil F – Genehmigung der ZfsL-Leiterin/ des ZfsL-Leiters Die Unterschrift der Leiterin/des Leiters unter der Verpflichtungserklärung ist not- wendig, damit Sie Ihre privaten Geräte ab dem unter Teil A genannten Zeitpunkt für dienstliche Zwecke nutzen dürfen. Bei einer Zuständigkeit mehrerer ZfsL muss die Genehmigung aller zuständigen Leiterinnen oder Leiter vorliegen. Drucken Sie Teil F in diesem Fall mehrfach aus. Unter den in Teil B genannten Voraussetzungen und mit Bezug auf die Verpflichtung zu deren Einhaltung in Teil C erteile ich die Genehmigung zur Verarbeitung der unter Teil E Absatz 2 ge- nannten Daten zu dienstlichen Zwecken auf den angegebenen privaten Endgeräten der Lehr- kraft. Name des Zentrums für schulpraktische Lehrer- ausbildung (ZfsL) Ort, Datum Unterschrift der Leiterin/des Leiters des ZfsL © Ritterbach Verlag