BetriebserlassZentralesIdentittsmanagementsystemM-VIDM

Dieses Dokument ist Teil der Anfrage „Betriebserlass zum zentralen Identitätsmanagementsystem

/ 30
PDF herunterladen
IV.       Anlagen Anlage A           IDM-Rollen- und Rechtekonzept Der Datenzugriff der jeweiligen Rolle erfolgt auf Grundlage der DS-GVO, des, des DSG M-V, des §70 SchulG M-V sowie §5 SchulDSVO M-V in der jeweils gültigen Fassung. Rollen Univention Administrationsrollen Rollen/Rechte                        Globale administrie-         administrierende Per- IDM-Verantwortliche 2 rende           Personen     sonen       Schulträger der Schule systemadministrie-           /IT-Dienstleister rende Person (BM)             SDM Zugriff auf Nutzendenkreis der administrierende Personen des Schulträger                          X Zugriff auf Nutzendenkreis der IDM-Verantwortlichen            der Schule                               X                            X Zugriff auf Nutzendenkreis der Lehrkräfte                           X                            X Zugriff auf Nutzendenkreis der Schülerinnen und Schüler             X                            X                          X Zugriff auf Nutzendenkreis der BM-Mitarbeitenden                    X Zugriff auf Nutzendenkreis der kommunalen Mitarbeitenden            X                            X                          X Rechte                               Administration der Nut- zenden,                      Administration der Nut- zentrale Konfiguration       zenden, und Verwaltung IDM,          zentrale Konfiguration Administration Schnitt-      und stellen der führenden         Verwaltung         SDM    Optionales Zurückset- Quellsysteme, Admi-          des Schulträgers, Admi-    zen                der nistration         Landes-   nistration Schuldienste,   Passwörter von Schüle- dienste, Administration      Administration Schul-      rinnen und Schüler der Schulportal                  portal kommunaler Part     eigenen Schule 2 Die Schulleitung hat optional die Möglichkeit, Lehrkräfte als IDM-Verantwortliche an der Schule zu benennen. Diese verfügen über die Berechtigung nach Bedarf für Schülerinnen und Schüler die Passwortrücksetzung und Neu- vergabe vorzunehmen. Näheres dazu regelt eine entsprechende Verpflichtungserklärung. 11 Version 1.0 – Stand Mai 2021
11

Rollen nutzender Personen Rollen/Rechte         Lehrkraft             Schülerinnen und Mitarbeitende des  kommunale Mitar- Schüler          Ressorts des Bil-  beitende dungsministeriums Gruppen nutzender Schulleitung              Schülerinnen und Mitarbeitende des  Integrationshelfer- Personen              stellv. Schulleitung, Schüler          Bildungsministeri- innen und Integrati- Koordinatorinnen                       ums und nachgela-  onshelfer, und Koordinatoren,                     gerter Behörden    verwaltendes Per- IT-Beauf-                                                 sonal, tragte/schulische                                         haustechnisches Medienbildungsbe-                                         Personal auftragte, Lehrkräfte/Refe- rendarinnen und Referendare, unter- stützende pädago- gische Fachkräfte (upF) Dienst SSO            X                     X                X                  X Dienst Self Service - X                     X                X                  X Password Reset Landeseigene Schul-   X                     X                X                  X dienste Kommunale Schul-      X                     X                                   X dienste Zugriff Schulportal   X                     X                X                  X https://cloud.schule -mv.de Datenbereiche Die mit den Rollen verbundenen Rechte gelten immer für die zugehörige Schule bzw. Dienststelle. Eine Ausnahme bilden dabei die globalen Administratoren, deren Rechte datenbereichübergrei- fend bzw. schulübergreifend gelten. Für nicht landeseigene digitale Schuldienste muss der Anbie- ter bzw. der verantwortliche Träger oder die Schule ein eigenes Rollen- und Rechtekonzept erstel- len und vorhalten. 12 Version 1.0 – Stand Mai 2021
12

Anlage B       Datenschutzkonzept für das IDM Präambel           Das IDM ermöglicht es Lehrkräften, Schülerinnen und Schüler und sonstigen schulischen Mitarbeitenden sich bei bereitgestellten Schuldiensten zum Zweck der Erfüllung des Bildungs- und Erziehungsauftrages, der Schulpla- nung, der Schulorganisation, sowie der Schulaufsicht mit einheitlichen Da- ten von Nutzenden anzumelden. Diese zentrale Datenbereitstellung stellt hohe Anforderungen an die Daten- sicherheit sowie den Schutz der personenbezogenen Daten. Daher zielt die- ses Konzept darauf ab, die wichtigsten Ziele, Informationen und ergriffenen Maßnahmen zur Gewährleistung des Schutzes der personenbezogenen Da- ten von Lehrkräften, Schülerinnen und Schüler und sonstigen schulischen Mitarbeitenden übersichtlich und transparent darzustellen. Es kann auch als Grundlage für datenschutzrechtliche Prüfungen genutzt werden. Dadurch soll die Einhaltung der europäischen Datenschutz-Grund- verordnung (DS-GVO) nicht nur gewährleistet, sondern auch der Nachweis der Einhaltung geschaffen werden. Das Datenschutzkonzept ist kein statisches Dokument, sondern kann an sich verändernde Bedingungen angepasst werden. Rechtliche Rah- § 70 SchulG M-V – Umgang mit personenbezogenen Daten: menbedingun-       Verarbeitung personenbezogener Daten zur Erfüllung des Unterrichts- und gen des Daten- Erziehungsauftrages, der Schulplanung, der Schulorganisation, sowie der schutzes     beim Schulaufsicht IDM § 5a SchulDSVO M-V: Verarbeitung von personenbezogenen Daten für die Bereitstellung von digi- talen Schuldiensten und Lern- und Lehrinhalten DS-GVO:  Allgemeine Rechenschaftspflichten nach Art. 5 (2)  Weisungsbindung des Auftragsverarbeiters nach Art. 28  Dokumentation der technischen und organisatorischen Maßnahmen (TOM) nach Art. 24 bei der jeweiligen nutzenden Person des IDM  Erstellung und Führen eines Verzeichnisses von Verarbeitungstätig- keiten nach Art. 30 jeweils vom Verantwortlichen und dem Auftrag- nehmenden  Rechte der Betroffenen nach Art 12 ff.  gemeinsame Verarbeitung der Daten durch Schulen oder Schulträger und BM nach Art. 26 13 Version 1.0 – Stand Mai 2021
13

Datenschutzziele   Das Ministerium für Bildung, Kultur und Wissenschaft hat für seine Mitarbei- tenden sowie Schülerinnen und Schüler aber auch für Auftragsverarbei- tende sowie weitere Empfängerinnen und Empfänger personenbezogener Daten klare Datenschutzziele festgelegt, die sich an den Datenschutzgrund- sätzen nach Art.5 DS-GVO orientieren. Wichtig ist es dabei, die Verarbeitung dieser Daten transparent zu gestalten. Dazu gehört die genaue Auflistung der Betroffenen, des Umfangs und der Art der gespeicherten und verarbeiteten Daten, deren Herkunft sowie die Art der Verarbeitung und die mögliche Weiterleitung an Dritte. Aus perso- nenbezogenen Logdaten werden keine Nutzerprofile angelegt. Anfallende Protokolldaten werden anonymisiert für den statistischen Zweck abgeleitet. Das Ministerium für Bildung, Kultur und Wissenschaft stellt den Betroffenen deren Daten es verarbeitet, Möglichkeiten zur Verfügung diese Daten voll- ständig einzusehen, sie ggf. zu korrigieren sowie Auskunft über die Verarbei- tung zu verlangen und zu erhalten. Die obersten Ziele dieses Datenschutzkonzeptes sind: - die Beschränkung der verarbeiteten personenbezogenen oder perso- nenbeziehbaren Daten auf das benötigte Minimum orientiert an den oben genannten Rechtsgrundlagen. Dies erfolgt durch die Beschrei- bung der personenbezogenen Daten und Angabe der jeweiligen Zweck- bindung (Nutzungszweck) - die klare Festlegung der Rollen und damit verbundenen Zugriffsrechte sowie Verantwortlichkeiten - die Sicherstellung eines hohen Datenschutzniveaus bei allen an der Verarbeitung der Daten beteiligten Parteien - die Wahrung der Rechte der Betroffenen - der Aufbau und die kontinuierliche Verbesserung eines Datenschutz- managements - die nachweisbare Schulung, Sensibilisierung und Verpflichtung der Mit- arbeitenden 14 Version 1.0 – Stand Mai 2021
14

Verantwortliche    Verantwortlichkeit für Datenschutz: Ministerin Frau Bettina Martin Ministerium für Bildung, Wissenschaft und Kultur Mecklenburg-Vorpommern 19048 Schwerin Datenschutzbeauftragter Herr Michael Tiedke E-Mail: M.Tiedke@bm.mv-regierung.de Telefon: 0385 588-7676 IT-Sicherheitsbeauftragter: Herr Dr. Jan Skodzik E-Mail: J.Skodzik@bm.mv-regierung.de Telefon: 0385 588-7012 Technische Zuständigkeit für den Datenschutz des IDM: Integriertes Schulmanagementsystem M-V Herr Sven Korff E-Mail: S.Korff@bm.mv-regierung.de Telefon: 0385 588-7260 Einbindung der Die Einbindung erfolgt über: Angestellten und      1. Unterrichtung und Beratung der Verantwortlichen oder der Auftrags- Bediensteten             verarbeitenden sowie der Beschäftigten, die Verarbeitungen durchfüh- ren, hinsichtlich ihrer Pflichten, die sich aus dem Datenschutzrecht (DS-GVO sowie allgemeine und be- reichsspezifische nationale Datenschutzregelungen) ergeben durch die jeweils zuständigen Datenschutzbeauftragten. 2. Überwachung und Überprüfung der Einhaltung der DS-GVO und natio- naler Datenschutzvorschriften im Zusammenhang von Auftragsdaten- verarbeitungen sowie der Strategien der Verantwortlichen oder der Auftragsverarbeitenden für den Schutz personenbezogener Daten. Hierzu gehört auch die Zuweisung von Zuständigkeiten, die Sensibilisie- rung und Schulung der an den Verarbeitungsvorgängen beteiligten Mit- arbeiterinnen und Mitarbeiter und diesbezügliche Überprüfungen durch die jeweils zuständigen Dienstvorgesetzten in Zusammenarbeit mit den Datenschutzbeauftragten. 3. Die mit der Verarbeitung personenbezogenen Daten beauftragten Mit- arbeiterinnen und Mitarbeiter und Bediensteten sind zur Einhaltung der datenschutzrechtlichen Anforderungen nach der DS-GVO zu ver- pflichten. 4. Die Lehrkräfte sowie die unterstützenden pädagogischen Fachkräfte (upF) erhalten durch die Schulleitung einmal jährlich eine Datenschut- zunterweisung. Sie werden außerdem bei der Umsetzung des Daten- schutzes in den Schulen durch die zuständigen Datenschutzbeauftrag- ten beraten. 15 Version 1.0 – Stand Mai 2021
15

Gestaltung kon- Folgende Bereiche werden regelmäßig durch die Verantwortlichen gemäß tinuierlicher Ver- Art. 24 sowie Art. 25 und 32 DS-GVO überprüft: besserungspro-        - Feststellung der aktuellen Anforderungen betreffend die personenbe- zesse                    zogenen Daten und Abgleich mit den festgelegten Verfahren und Pro- zessen - Feststellung, ob festgelegte Maßnahmen und Verfahren ausreichend definiert, dokumentiert bzw. auch eingehalten werden - Gewährleistung der Einhaltung von folgenden Kriterien: o Verfügbarkeit der personenbezogenen Daten o Vertraulichkeit der personenbezogenen Daten o (Daten)-Integrität der personenbezogenen Daten o Fristgemäßes Löschen der personenbezogenen Daten - Berücksichtigung und Anpassung der Verarbeitung an aktualisierte Rechtsprechung und technische Entwicklung Darüberhinausgehend sind weitere Maßnahmen im vertraulichen IT-Sicher- heitskonzept aufgeführt, welches basierend auf dem Schutzbedarf der Infor- mationen Anforderungen nach BSI IT-Grundschutz definiert. Bestehende         Die Listung der TOMs ist in der nichtöffentlichen Anlage „Technische und technische und organisatorische Maßnahmen (TOM) bei der organisatorische Verarbeitung personenbezogener Daten des Ministeriums für Bildung, Wis- Maßnahmen          senschaft und Kultur M-V“ zu finden. Die Einsichtnahme kann beim zustän- digen IT-Sicherheitsbeauftragten beantragt werden. Beschreibung       Die personenbezogenen Daten und Gruppen von Nutzenden, die durch das der personenbe- IDM verarbeitet werden, sind in §5a (5) SchulDSVO M-V (in der jeweils gül- zogenen Daten tigen Fassung) konkretisiert. mit       Verwen- dungszweck und Speicherort für alle Daten ist das LDAP-Verzeichnis des USC@School als Teil Löschfristen       des IDM. Die Aktualisierung und somit auch die Löschung von Daten, die der Verar- beiter nicht mehr für den angegebenen Verwendungszweck benötigt, er- folgt über die tägliche Synchronisation zwischen dem IDM und SIP. Die Da- ten der Nutzenden haben einen Gültigkeitszeitraum. Dieser beschreibt, in welchem Zeitraum sie einer bestimmten Schule zugeordnet sind. Die Daten des IDM werden täglich mit der Datenquelle (SIP) synchronisiert. Der Verwendungszweck der Daten im IDM erlischt, wenn eines der folgen- den, oder damit vergleichbaren, Szenarien eintreten: Lehrkraft/ mit- Schülerin    bzw. Sonstige arbeitende      Schüler Person     des BM/kommu- nale Mitarbei- tende 16 Version 1.0 – Stand Mai 2021
16

Beispiel1     Der Zuweisung      Schülerin     bzw.    Das (kommunale) Per- einer Lehrkraft    Schüler wechselt      sonal verlässt die für eine Schule,   in eine Schule, die   Schule und/oder be- die Daten aus      nicht die Dienste     kommt ein nichtschu- dem IDM be-        des IDM nutzt.        lisches Aufgabenfeld zieht, endet.                            zugewiesen. Beispiel 2    Das Beschäfti- Schülerin         bzw. Das Beschäftigungs- gungsverhält-      Schüler beendet verhältnis endet nis endet          Schullaufbahn Name                         Verwendungszweck Löschfrist Anrede                       Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Vorname                      Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Nachname                     Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Name des Nutzenden           Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Passworthash                 Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Primäre E-Mail-Adresse       Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Anzeigename                  Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Straße      Stammdienst- Erfüllung des Unter- 24h nach Beendigung stelle                       richtsauftrages          des Verwendungszwe- ckes PLZ Stammdienststelle        Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Stadt Stammdienststelle Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Typ des Nutzenden            Erfüllung des Unter- 24h nach Beendigung richtsauftrages          des Verwendungszwe- ckes Schulzugehörigkeit           Schulorganisation        24h nach Beendigung (Schulkürzel)                                         des Verwendungszwe- ckes 17 Version 1.0 – Stand Mai 2021
17

Klasse (nur Schülerinnen Schulorganisation       24h nach Beendigung und Schüler)                                     des Verwendungszwe- ckes mvSex                      Erfüllung des Unter- 24h nach Beendigung richtsauftrages       des Verwendungszwe- ckes mvRole                     Schulorganisation     24h nach Beendigung des Verwendungszwe- ckes mvStaffType                Schulorganisation     24h nach Beendigung des Verwendungszwe- ckes mvDst                      Schulorganisation     24h nach Beendigung des Verwendungszwe- ckes UUID                       Schulorganisation     24h nach Beendigung des Verwendungszwe- ckes Personenbezogene Pro- Systemüberwa-              24h nach Erfassung tokolldaten                chung Dokumentation      Die weiterführende Dokumentation getroffener Maßnahmen für den Schutz und die Sicherheit der personenbezogenen Daten findet sich im Betriebser- lass sowie den dort beigefügten sonstigen Anlagen. 18 Version 1.0 – Stand Mai 2021
18

Anlage C       Supportkonzept Aufbau        Servicezei-   Tickettracking/Weiter-  Kontaktdetails ten           leitung 1st Level Support Service-      Mo-Fr: 7-16 Top-Desk                  Telefon: Desk M-V      Uhr                                   Schulen, die durch die IKT-Ost betreut wer- den: +49 395 3517 30 30 Schulen, die durch den KSM betreut wer- den: +49 385 633 3030  Schulen, die durch die HRO betreut wer- den: +49 381 381 3030 Schulen, die durch sonstige Dienstleister betreut werden: +49 395 3517 30 30 E-Mail-Adresse: support@servicedesk-mv.de 2nd Level Support UHD           Mo-Do: 7- Weiterleitung an das Ti- 17       Uhr cketsystem Helpline des E-Mail: servicedesk@kultus-mv.de Portal: Fr: 7-15 Uhr User-Help-Desk (UHD) https://servicedesk.kultus-mv.de des Bildungsministeri- ums ISY M-V       Mo-Do: 7- Weiterleitung der Ti-       E-Mail-Adresse: isy@schule-mv.de 17       Uhr ckets innerhalb des Ti- Fr: 7-15 Uhr cketsystem Helpline bei fachlichen      Themen durch den UHD an das Projektteam ISY M-V 3rd Level Support Univention Mo-Fr: 9-17 Bearbeitung der Anfra-       Supportformular: GmbH          Uhr           gen des 2nd Level Sup-  https://www.univention.de/produkte/sup- port und Rückmeldung    port/support-kontaktieren/supportformu- bei Problemlösung oder  lar/ Abstimmungsbedarf an den 2nd Level Support   Telefon: +49 421 222 32 40 E-Mail: support@univention.de DVZ GmbH      Mo-Do: 7- Bearbeitung der Anfra- Ticketsystem des Bildungsministeriums M- 17       Uhr gen des 2nd Level Sup- V Fr: 7-15 Uhr port und Rückmeldung bei Problemlösung oder Abstimmungsbedarf an den 2nd Level Support 19 Version 1.0 – Stand Mai 2021
19

IT-Bereich Mo-Do: 7- Bearbeitung der Anfra- E-Mail: it-service@bm.mv-regierung.de des       Bil- 17        Uhr gen des 2nd Level Sup- dungsmi-        Fr: 7-15 Uhr port und Rückmeldung Telefon: +49 385 588-7555 nisteriums                    bei Problemlösung oder Abstimmungsbedarf an den 2nd Level Support 1. Meldung an den 1st Level Support:    Schülerinnen und Schüler bzw. Sorgeberechtigte wenden sich an ihre Lehrkräfte    Lehrkräfte und an Schule tätiges Personal wenden sich an die IDM-Verantwortlichen an Schule    IDM-Verantwortliche streben eigenständige Lösung bei einfachen Problemen an    falls keine Lösung durch die IDM-Verantwortlichen möglich ist, wenden sie sich an den 1st Level Support    dadurch wird eine Bündelung der Anfragen sowie eine qualifizierte Meldung beim 1st Level Support sichergestellt    das Ticket wird beim 1st Level Support aufgenommen 2. Aufgaben des 1st Level Support:    erste Anlaufstelle für alle eingehenden Unterstützungsanfragen zum Schulportal    Irrtümlich eingegangene Anfragen zur Schul-IT werden an die Aufgabenträger Schul-IT wei- tergeleitet. Bei Schulen, die von keinem kommunalen Dienstleister betreut werden, wird auf die Zuständigkeit des Schulträgers verwiesen.    vollständige Erfassung (Registrierung und Einordnung) der Anfragen, inklusive aller erfor- derlichen Zusatzinformationen    Bearbeitung der Anfragen und unmittelbarer Lösungsversuch unter Zuhilfenahme der Wis- sensdatenbank    falls keine schnelle Sofortlösung möglich ist, erfolgt umgehend eine strukturierte Weiter- gabe der Anfrage inklusive Vorklärung/Fehlerbild an den 2nd Level-Support 3. Vorqualifizierung Tickets im 1st Level Zur Annahme und Weiterleitung von Anfragen werden folgenden Angaben abgefragt:    Name der meldenden Person    Vorname meldende Person    Name der Schule    Schulart    Emailadresse    Rückrufnummer der meldenden Person, bei der Problem auftrat bzw. die es gemeldet hat    Problemschilderung 4. Weitergabe an 2nd Level Support 20 Version 1.0 – Stand Mai 2021
20

Go to next pages