Verarbeitung personenbezogener Daten auf privaten IT-Systemen von Lehrkräften
FAQ zum RdErl. d. MK v. 01.01.2020 – 15-05410/1-8 – Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT-Systemen) von Lehrkräften
Den Erlass finden Sie unter diesem ► Link auf Voris.
Nein, der Erlass gilt nur für private IT.
Nein. Private (stationäre oder mobile) Endgeräte mit den Betriebssystemen Windows, MacOS oder Linux fallen nicht unter das Verbot.
Ja, allerdings weisen die meisten Laptops eines der o.g. sicheren Betriebssysteme auf, sodass eine lokale Speicherung möglich ist.
Ja, da die Neufassung des Erlasses neue Regelungen enthält, muss ein neuer Antrag gestellt bzw. eine neue Genehmigung erteilt werden.
Einen an die neue Erlasslage angepassten Vordruck finden Sie hier ►Link.
Hilfestellungen - z.B. in Form von ausführlichen Tutorials für die verschiedenen Betriebssysteme - finden Sie auf der Seite Datenschutz und Nutzungsrecht in Schulen (► https://datenschutz.nibis.de/regelungen-fuer-private-it-systeme/).
Eine lokale Speicherung ist nur dann zulässig, sofern eines der o.g. Betriebssysteme genutzt wird. Dies ist bei mobilen digitalen Endgeräten regelmäßig nicht der Fall, da auf diesen die mobilen Versionen der „unsicheren“ Betriebssysteme installiert sind (iOS, iPadOS, Android). Sieht also die App eine lokale Speicherung vor, darf die App nicht genutzt werden.
Es kommen nur Apps in Betracht, die eine externe Speicherung (externer Server, Cloud) vorsehen. Voraussetzung ist allerdings der Abschluss eines Vertrages zur Datenverarbeitung im Auftrag, der den Anforderungen des Artikels 28 DSGVO entspricht. Ein Muster finden Sie hier: ► Dokument.
Nein, die Verzeichnisse von Verarbeitungstätigkeiten sind weiter prozessbezogen zu führen. Das heißt, die jeweils in der Schule geführten Verzeichnisse von Verarbeitungstätigkeiten (z. B. Zeugniserstellung) sind um die genutzten Programme der Lehrkräfte zu ergänzen.
Nein, der Datenrahmen in Ziffer 3.2 enthält insbesondere keine Gesundheitsdaten, sodass Fördergutachten nicht vollständig auf privater IT gespeichert werden dürfen.
Eine Alternative wäre das Gutachten in anonymisierter Form anzufertigen oder die Nutzung von Dienstgeräten.