Dienstanweisung
für die automatisierte Verarbeitung
von personenbezogenen Daten in der Schule1
RdErl. d. Ministeriums für Schule und Bildung
v. 19.01.2018 (ABl. NRW. 02/18 S. 32)2
1 Die Schule ist berechtigt, Daten von Schülerinnen, Schülern, Eltern, Lehrkräften und anderen Bediensteten (mit Ausnahme der Bediensteten des Schulträgers) zu verarbeiten, soweit es zur Erfüllung ihrer durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist. Sie kann sich dabei der automatisierten Datenverarbeitung bedienen. Eine Basis-IT-Infrastruktur, als ein geschützter virtueller Arbeitsraum zur rechtskonformen Datenverarbeitung mit einer zentralen Benutzerverwaltung und grundlegenden Modulen zur Kommunikation, Organisation und Recherche für digitale Lernmittel, kann eingeführt werden.
Die Daten können auf schuleigenen Anlagen verarbeitet werden. Sie können auch z.B. in einem kommunalen Rechenzentrum verarbeitet werden.
Schuleigene ADV-Anlagen, zu denen Schülerinnen und Schüler Zugang haben, dürfen nicht für die lokale Verarbeitung der unter Nummern 4.3.2.1 bis 4.3.2.4 sowie 4.3.3 genannten Dokumente eingesetzt werden. Die lokale Verarbeitung von Zeugnissen, sonderpädagogischen Gutachten gemäß § 19 Absatz 5 SchulG (BASS 1-1), Lern- und Förderempfehlungen gemäß § 50 Absatz 3 SchulG und Benachrichtigungen gemäß § 50 Absatz 4 SchulG ist auf diesen Anlagen untersagt. Dieses bezieht sich in der Regel auf Anlagen außerhalb des Verwaltungsnetzes.
2 Über die Verarbeitung von personenbezogenen Daten entscheidet die Schulleiterin oder der Schulleiter. Sie oder er kann mit der Datenverarbeitung Bedienstete des Schulsekretariats im Einvernehmen mit dem Schulträger oder mit Ausnahme der Verwendungszwecke zu Nummer 4.3.2 sachkundige und dazu bereite Lehrkräfte und sonstige Bedienstete der Schule beauftragen. Sie oder er gibt ihnen diese Dienstanweisung bekannt und verpflichtet sie auf ihre Einhaltung; die Verantwortung der Schulleiterin oder des Schulleiters bleibt davon unberührt. Als Ausgleich für ihre Tätigkeit im Rahmen der Schulleitung kann die Zahl der wöchentlichen Pflichtstunden der Lehrkräfte aus dem Kontingent der Schulleiterin oder dem Schulleiter zur Verfügung stehenden Entlastungsstunden verringert werden. Für Aufgaben außerhalb der Schulleitung, die zur Entlastung von Lehrkräften mit Hilfe der automatisierten Datenverarbeitung bearbeitet werden, kann die Lehrerkonferenz Entlastungsstunden aus dem allgemeinen Entlastungskontingent vergeben. Eine Vergütung wird nicht gewährt.
3 Die Schule ist - auch soweit sie sich in kommunaler Trägerschaft befindet - speichernde Stelle im Sinne des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW). Für das Einhalten der Datenschutzvorschriften ist die Schulleiterin oder der Schulleiter verantwortlich.
Sollen personenbezogene Daten automatisiert verarbeitet werden, so ist das einzelne Verfahren in einem Verfahrensverzeichnis zu dokumentieren und vor Nutzung mit Echtdaten der oder dem zuständigen behördlichen Datenschutzbeauftragten zur Vorabkontrolle vorzulegen.
4 Die Schule darf folgende personenbezogene Daten verarbeiten:
4.1 Daten der Schülerinnen und Schüler
Art und Umfang dieser Daten richten sich nach der Verordnung der zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I - BASS 10-44 Nr. 2.1).
Zeugnisse, Lern- und Förderempfehlungen, Benachrichtigungen, Förderpläne und sonderpädagogische Gutachten dürfen nach Maßgabe der jeweiligen Bestimmungen mit Hilfe automatisierter Datenverarbeitungsanlagen ausgefertigt werden.
4.2 Daten der Eltern
Art und Umfang dieser Daten richten sich nach der Verordnung der zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I).
Die Verarbeitung beschränkt sich auf die Daten, die zur Erfüllung der den Schulen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlich sind (Benachrichtigungen, Einladungen zu Konferenzen, Pflegschaftsversammlungen und anderen Sitzungen).
4.3 Daten der Lehrkräfte und anderer Bediensteter der Schule
Art und Umfang dieser Daten richten sich nach der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO-DV II - BASS 10-41 Nr. 6.1).
Die Daten der Lehrkräfte und der anderen Bediensteten der Schule mit Ausnahme der Bediensteten des Schulträgers dürfen insbesondere für folgende Zwecke verwendet werden:
4.3.1 Planung und Durchführung der Unterrichtsorganisation
4.3.1.1 Unterrichtsverteilung und Einrichtung von Kursen
4.3.1.2 Aufstellen von Stunden-, Aufsichts-, Vertretungs- und Prüfungsplänen sowie Sprechstundenlisten
4.3.2 Erledigung der laufenden schulischen Angelegenheiten
4.3.2.1 Berichte an die Schulaufsichtsbehörden in dienstrechtlichen Angelegenheiten und in Angelegenheiten der Lehrerversorgung
4.3.2.2 Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung der Schulaufsichtsbehörden zur dienstlichen Beurteilung, Fertigen von dienstlichen Beurteilungen, Berichte in disziplinarrechtlichen Angelegenheiten
4.3.2.3 Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden
4.3.2.4 Beantwortung von Anfragen und Erhebungen des Schulträgers (in äußeren Schulangelegenheiten) sowie anderer Behörden aus dem Geschäftsbereich des Ministeriums für Schule und Bildung und wissenschaftlicher Einrichtungen
4.3.3 Aktualisierung der Amtlichen Schuldaten und der Stellendatei des Ministeriums für Schule und Bildung.
Die Verarbeitung personenbezogener Daten von Bediensteten des Schulträgers darf nur nach Einwilligung der betroffenen Personen oder auf Basis bestehender rechtlicher kommunaler Regelungen erfolgen.
5 Für die Übermittlung und Weitergabe von personenbezogenen Daten von Schülerinnen, Schülern und Eltern gilt die VO-DV I.
6 Personenbezogene Daten der Lehrkräfte und der anderen Bediensteten der Schule dürfen grundsätzlich nur an die Schulaufsichtsbehörden nach Maßgabe der hierfür geltenden Vorschriften übermittelt werden (s. VO DV II).
Eine Übermittlung personenbezogener Daten der Lehrkräfte an andere Datenempfänger ist nur zulässig, soweit gesetzliche Vorschriften eine Unterrichtung staatlicher und kommunaler Stellen vorsehen.
Darüber hinaus ist die Übermittlung nur mit Einwilligung der Betroffenen zulässig. Die Weitergabe von Daten zu gewerblichen Zwecken hat ausnahmslos zu unterbleiben.
7 Schülerinnen, Schüler, Eltern und Lehrkräfte sowie die anderen Bediensteten der Schule haben einen Anspruch auf unentgeltliche Auskunft über die Daten, die über sie gespeichert sind (Art. 15 DSGVO). Die Auskunft kann durch Gewährung der Einsichtnahme oder schriftlich erteilt werden.
8 Die Betroffenen haben einen Anspruch auf Berichtigung ihrer personen-bezogenen Daten, wenn sie unrichtig sind (Art. 16 DSGVO). Weiterhin haben sie nach Maßgabe der Art. 17, 18 DSGVO einen Anspruch auf Löschung oder Einschränkung der Daten, wenn sie für die schulischen Aufgaben nicht erforderlich sind. Die Daten werden von Amts wegen nach Ablauf der Aufbewahrungsfrist gelöscht (§ 9 VO-DV I; § 9 VO-DV II).
9 Die Frist für die Aufbewahrung von Daten der Lehrkräfte beträgt fünf Jahre nach Ablauf des Jahres, in dem eine Lehrkraft die Schule verlassen hat.
10 Die Verarbeitung personenbezogener Daten ist im Informatikunterricht oder im Rahmen eines Modellversuchs zur Einführung einer informations- und kommunikationstechnologischen Grundbildung nicht zulässig. Für die Arbeit im Unterricht, bei der Behandlung von Dateien und beim Einsatz von Datenbanksystemen sind fiktive Daten zur Simulation personenbezogener Daten zu verwenden.
11 Wie in Art. 32 in Verbindung mit Art. 5 DSGVO bestimmt, sind bei der automatisierten Verarbeitung von personenbezogenen Daten in der Schule die folgenden Vorschriften zu beachten. Die Schulleiterin oder der Schulleiter ist verpflichtet, die Einhaltung der Vorschriften zu überwachen.
11.1 Unbefugte dürfen keinen Zugang zu den Datenverarbeitungsanlagen erhalten. Die Schulleiterin oder der Schulleiter verantwortet und gewährleistet durch organisatorische und technische Maßnahmen (z.B. Passwörter oder USER-ID), dass jede Benutzerin und jeder Benutzer nur Zugang zu den Daten erhält, die für deren Aufgabenbereich benötigt werden, und dass Daten nicht unbefugt verarbeitet werden können.
Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig. Es gilt § 2 Absatz 2 mit Anlage 3 der VO-DV I. Für die Genehmigung ist der als Anlage beigefügte Genehmigungsvordruck zu verwenden.
11.2 Die Eingabe von Daten in Datenverarbeitungsanlagen sowie die Veränderung oder Löschung gespeicherter, personenbezogener Daten ist nur den hiermit nach Nummer 2 ausdrücklich beauftragten Personen gestattet.
Die Benutzung von Datenverarbeitungssystemen, mit denen personenbezogene Daten aus anderen oder in andere Anlagen übermittelt werden, ist nur den hiermit nach Nummer 2 ausdrücklich beauftragten Personen gestattet.
11.3 Es muss feststellbar sein, an welche Stellen personenbezogene Daten durch Datenverarbeitungsanlagen übermittelt werden. Externer Datentransfer von personenbezogenen Daten (von einer Anlage zur anderen) im Sinne von Nummer 6 ist nachzuweisen.
11.4 Es muss feststellbar sein, welche personenbezogenen Daten zu welcher Zeit von wem in das Datenverarbeitungssystem eingegeben worden sind.
Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
11.5 Es muss sichergestellt werden, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können.
Dies ist durch den Einsatz angemessener technischer Maßnahmen (Verschlüsslung, Kopierschutz, Nachrichten-Authentifizierungscode) nach dem aktuellen Stand der Technik umzusetzen.
11.6 Die Schulleiterin oder der Schulleiter hat im Einvernehmen mit dem Schulträger durch organisatorische Maßnahmen den Datenschutz sicherzustellen.
Hierzu gehören z.B. Regelungen über
- das Verschließen der Räume,
- den Zugang zu gespeicherten personenbezogenen Daten,
- den Nachweis über den Umgang mit personenbezogenen Daten.
Die Schulleiterin oder der Schulleiter hat regelmäßig für Belehrungen über Sicherungspflichten zu sorgen und in unregelmäßigen Abständen persönliche Stichproben über das Sicherheitsverhalten der Benutzerinnen und Benutzer und den Zustand der schulischen ADV-Anlagen durchzuführen. Hierbei kann er sich durch die oder den zuständigen behördlichen Datenschutzbeauftragten beraten lassen.
12 Den Schulträgern der genehmigten oder vorläufig erlaubten Ersatzschulen wird empfohlen, diese Dienstanweisung zu übernehmen.
Nachfolgend finden Sie die Anlage zum Runderlass: |
Anlage - Seite 1 -
Anlage - Seite 2 -
Anlage - Seite 3 -
Anlage- Seite 5 -
Anlage- Seite 7 -
Anlage - Seite 8 -
Anlage - Seite 10 -
Anlage - Seite 11 -
1 Die Vorschrift ist noch an die Datenschutzgrundverordnung, an das neu gefasste Datenschutzgesetz NRW sowie an die Änderungen der VO-DV I und VO-DV II anzupassen.
2 Bereinigt.