Für die Organisation dienstlicher Abläufe und damit auch die Ausgestaltung von IT-gestützten Prozessen, die für dienstliche Zwecke genutzt werden, ist die Schule verantwortlich. Dies gilt ggf. auch für die Entscheidung, private Geräte zur dienstlichen Nutzung zuzulassen.
Ob und inwieweit private Endgeräte für dienstliche Zwecke verwendet werden dürfen, insbesondere bei der Verarbeitung personenbezogener Daten, entscheidet die Schulleiterin oder der Schulleiter (vgl. § 27 Abs. 7 LDO). Die Entscheidung umfasst auch die Festlegung, welche Anwendungen hierbei genutzt werden dürfen (z. B. durch Führen einer Softwareliste).
Zielgruppe: Schulleitung
Adressat: Lehrkraft bzw. das sonstige an der Schule tätige Personal
Regelungen:
- KMBek zum Vollzug des Datenschutzrechts an staatlichen Schulen vom 14. Juli 2022, Nr. 3.2.4gesetze-bayern.de
- Bayerisches SchulportalDas Muster für eine Datenschutz-Geschäftsordnung für Schulen ist für die Schulleitungen im Schulportal abrufbar.portal.schulen.bayern.de
Private Endgeräte (z. B. Laptop, Smartphone), auf welchen für dienstliche Zwecke personenbezogene Daten gespeichert werden, sind vor der erstmaligen Nutzung der Schule anzuzeigen.
Hierfür geben die Lehrkräfte, die private Endgeräte nutzen, die „Erklärung zur dienstlichen Nutzung privater Endgeräte“ ab. Nähere Informationen zur Anzeigepflicht enthält die Datenschutz-Geschäftsordnung der Schule (vgl. Anlage 5 Nr. 3 Muster-DS-GO).
- Erklärung zur Nutzung privater Endgeräte für dienstliche Zwecke
- Erklärung zur Nutzung privater Endgeräte für dienstliche Zwecke
Die Schulleitung oder eine von ihr beauftragte Person belehrt und informiert die Lehrkräfte und das sonstige an der Schule tätige Personal in geeigneter Weise über die Voraussetzungen der Nutzung privater Endgeräte für dienstliche Zwecke.
Um die erforderliche Datensicherheit zu gewährleisten, müssen alle privaten Endgeräte bestimmte Sicherheitsstandards erfüllen. Sofern die Schule keine weiterreichenden Sicherheitsstandards festgelegt hat, sind dies die vom StMUK aufgestellten Mindestsicherheitsstandards .
Datenschutzrechtliche Verantwortung
Die datenschutzrechtliche Verantwortung der Schule erstreckt sich nach § 2 Abs. 1 Muster-Datenschutz-Geschäftsordnung ausdrücklich auch auf den Umgang von Lehrkräften mit im schulischen bzw. dienstlichen Zusammenhang verarbeiteten personenbezogenen Daten auf deren privaten Endgeräten.
Daher wird auch für diesen Fall explizit auf die Geltung der Datenschutz-Geschäftsordnung der Schule hingewiesen und insbesondere auf das Verfahren nach § 10 Muster-DS-GO für den Fall einer Verletzung des Schutzes personenbezogener Daten.
Verwendet man den häuslichen Telefonanschluss oder das private Smartphone lediglich für dienstliche Telefonate (z.B. Reisebüro: Ticketdaten wegen eines Schüleraustauschs; während eines Wandertags/Studienfahrt müssen Eltern angerufen werden (Zeckenbiss, Erkrankung, Abholen lassen)) muss das Telefon bzw. das Smartphone nicht angezeigt werden, da auf dem Endgerät keine lokale Datenverarbeitung erfolgt.
Anwendungen wie WebUntis verarbeiten personenbezogene Daten (unter anderem Name, Klasse, Abwesenheiten, etc.). Daher ist eine Anzeige notwendig, sofern diese auf privaten Geräten eingesetzt werden.
Auch bei der Nutzung von solchen Anwendungen über den Browser können beispielsweise Berichte heruntergeladen werden, die personenbezogene Daten enthalten.
In diesem Kontext empfehlen wir, in der Erklärung unter Ziffer 2 die zweite Alternative anzukreuzen und die entsprechende Anwendung (z. B. WebUntis (über Webbrowser oder native App)) zu nennen.
Stand: 08. Juli 2024