Schriftliche Anfrage des Abgeordneten Florian Ritter SPD vom 16.12.2014 Videoüberwachung an Schulen 1 Ich frage die Staatsregierung: 1. a) Gibt es vonseiten der Staatsregierung schriftlich verfasste Vorgaben technischer, administrativer und rechtlicher Art für den Einsatz von Videoüberwachung an bayerischen Schulen? b) Wenn ja, was beinhalten sie (im Wortlaut)? c) Wie werden die Schulen über diese Vorgaben in Kenntnis gesetzt? 2. a) Wo ist nach Auffassung der Staatsregierung Video- überwachung nach Art 21 a Bayerisches Datenschutzgesetz auf Schulgeländen und in Schulgebäuden zulässig ? b) Wo ergibt sich ein ausdrückliches Verbot von Videoüberwachung ? 3. a) In welcher Form muss nach Auffassung der Staatsre- gierung der hinreichende Anlass für die Notwendigkeit einer Videoüberwachung an einer Schule festgestellt werden? b) In welcher Form muss nach Auffassung der Staatsregierung die Abwägung der Überwachung mit den schutzwürdigen Interessen der Betroffenen erfolgen? 4. An welchen Schulen in Bayern wird Videoüberwa- chung in den Gebäuden oder auf dem Schulgelände eingesetzt (sortiert nach Bezirk, Landkreis, Ort)? 5. a) Welche Bereiche in den Gebäuden und auf den Schul- geländen der unter 4 a genannten Schulen werden überwacht? b) Welche Stelle hat an den unter 4 a genannten Schulen die Videoüberwachung veranlasst? c) Welcher Personenkreis hat in den unter 4 a genannten Schulen Zugang zu den technischen Anlagen der Videoüberwachungsanlage sowie zu den Aufzeichnungen ? 6. a) Wurden an den unter 4 a genannten Schulen die be- hördlichen Datenschutzbeauftragten, die zuständige Personalvertretung, die Elternvertretung und die Vertretung der Schülerinnen und Schüler gehört und deren Zustimmung eingeholt? b) Wenn nein, warum nicht? 7. a) An welchen der unter 4 a genannten Schulen wurde eine Gefährdungsbeurteilung erstellt, als deren Ergebnis ein hinreichender Anlass für den Einsatz einer Videoüberwachung festgestellt werden konnte? b) Wie wurde dies dokumentiert? 8. a) An welchen der unter 4 a genannten Schulen wurde eine Abwägung der schutzwürdigen Interessen der von der Videoüberwachung Betroffenen vorgenommen ? b) Wie wurde dies dokumentiert? Videoüberwachung an Schulen Teil 2 Ich frage die Staatsregierung: 1. a) An welchen der unter 4 a – Anfrage Videoüberwachung an Schulen Teil I – genannten Schulen wurden Verstöße gegen die Datenschutzbestimmungen beim Einsatz der Videoüberwachung festgestellt? b) Wie viele Verstöße lagen jeweils vor? c) Welcher Art waren die jeweiligen Verstöße? 2. a) In welchen der unter 4 a – Anfrage Videoüberwachung an Schulen Teil I – genannten Schulen existierten vom Zeitpunkt der Entscheidung über die Einrichtung einer Videoüberwachung bis heute durchgängig Datenschutzbeauftragte ? b) Wie werden die in den Schulen benannten Datenschutzbeauftragten – insbesondere in Hinblick auf Einrichtung und Betrieb einer Videoüberwachung – qualifiziert? 3. Wie beurteilt die Staatsregierung die Verstöße von ge- setzlichen Regelungen zur Videoüberwachung an den genannten Schulen? 4. Welche Maßnahmen ergreift die Staatsregierung um in Zukunft solche Verstöße zu verhindern? Antwort des Staatsministeriums für Bildung und Kultus, Wissenschaft und Kunst vom 03.02.2015 Videoüberwachung an Schulen 1 1. a) Gibt es vonseiten der Staatsregierung schriftlich verfasste Vorgaben technischer, administrativer und rechtlicher Art für den Einsatz von Videoüberwachung an bayerischen Schulen? Ja. Drucksachen, Plenarprotokolle sowie die Tagesordnungen der Vollversammlung und der Ausschüsse sind im Internet unter www.bayern.landtag.de –Dokumente abrufbar. Die aktuelle Sitzungsübersicht steht unter www.bayern.landtag.de–Aktuelles/Sitzungen/Tagesübersicht zur Verfügung. 17. Wahlperiode 20.03.2015 17/5174 Bayerischer Landtag Seite 2 Bayerischer Landtag · 17. Wahlperiode Drucksache 17/5174 b) Wenn ja, was beinhalten sie (im Wortlaut)? Vorgaben für den Einsatz von Videoüberwachung an bayerischen Schulen enthalten insbesondere folgende Dokumente : • Verordnung zur Durchführung des Art. 28 Abs. 2 des Bay- erischen Datenschutzgesetzes (DVBayDSG-KM), dort insb. Anlage 8 • Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus über erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen vom 11. Januar 2013 (KWMBl S. 27, korr. S. 72) • Handreichung für Datenschutzbeauftragte an staatlichen Schulen, vom 09.04.2013, dort insb. Kap. 12 Alle genannten Dokumente können auf den Internetseiten des StMBW (www.km.bayern.de/datenschutz) im Wortlaut eingesehen werden und sind als Anlage beigefügt. c) Wie werden die Schulen über diese Vorgaben in Kenntnis gesetzt? Sämtliche genannten Vorgaben sind allgemein zugänglich. Soweit sie sich aus Verordnungen und Bekanntmachun- gen ergeben, sind diese in den einschlägigen Amts- und Gesetzesblättern veröffentlicht. Darüber hinaus sind sie auf den Internetseiten des StMBW (www.km.bayern.de/daten schutz) im Internet verfügbar. Alle Schulen und Schulaufsichtsbehörden wurden anlässlich der Einführung der Anlage 8 DVBayDSG-KM (vgl. oben die Antwort zu Frage 1 b über die Voraussetzungen einer zulässigen Videoüberwachung durch Schreiben des Staatsministeriums vom 25.09.2008 informiert. Für alle staatlichen Schulen wurden darüber hinaus zwischenzeitlich entsprechend geschulte Datenschutzbeauftragte eingesetzt. Aus Anlass von Medienberichten über mögliche Verstöße an einzelnen, nicht näher benannten Schulen wurden im Dezember 2014 vorsorglich alle Schulen in Bayern noch einmal auf die geltenden datenschutzrechtlichen Bestimmungen hingewiesen und angehalten, ggf. die Einhaltung des Datenschutzrechts bei ihren Überwachungsmaßnahmen zu überprüfen, insbesondere mit Blick auf • die Erforderlichkeit von Art und Umfang der Überwa- chung, • die Einhaltung der gesetzlichen Hinweispflichten, • das Verbot von Tonaufzeichnungen, • die Einhaltung der Löschungsfristen (max. 3 Wochen Speicherung). 2. a) Wo ist nach Auffassung der Staatsregierung Videoüberwachung nach Art. 21 a Bayerisches Datenschutzgesetz auf Schulgeländen und in Schulgebäuden zulässig? Grundvoraussetzung der Einrichtung einer Videoüberwachung ist stets die Erforderlichkeit und Verhältnismäßigkeit der konkreten Maßnahme. Hiervon ist – bei Vorliegen von Umständen, die nach der Wertung des Bayerischen Datenschutzgesetzes grundsätzlich eine Videoüberwachung zulassen – in der Regel nur auszugehen, wenn sich die Aufzeichnung auf den Eingangsbereich der Schule und im übrigen Schulgelände außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen auf Zeiten zwischen 22.00 Uhr und 6.30 Uhr beschränkt. b) Wo ergibt sich ein ausdrückliches Verbot von Videoüberwachung? Ein ausdrücklich geregeltes Verbot von Videoüberwachung im Sinne eines gesetzlichen Ausschlusses gibt es nicht. Um eine Beeinträchtigung schutzwürdiger Interessen von Betroffenen zu vermeiden, dürfen höchstpersönliche Bereiche wie z. B. Toilettenanlagen, Umkleidekabinen etc. grundsätzlich nicht videoüberwacht werden. 3. a) In welcher Form muss nach Auffassung der Staats- regierung der hinreichende Anlass für die Notwendigkeit einer Videoüberwachung an einer Schule festgestellt werden? b) In welcher Form muss nach Auffassung der Staatsregierung die Abwägung der Überwachung mit den schutzwürdigen Interessen der Betroffenen erfolgen? Die Erforderlichkeit einer Videoüberwachung muss im Vorfeld der Entscheidung über die Einrichtung einer Videoüberwachungsanlage in Form einer Dokumentation niedergelegt werden, die die Installation der einzelnen Kameras rechtfertigt . Für die dabei anzustellende Interessenabwägung und ihre Dokumentation ist über das allgemeine Gebot der Nachvollziehbarkeit des Verwaltungshandelns hinaus keine bestimmte Form vorgeschrieben. Der Landesbeauftragte für den Datenschutz stellt allgemein zugänglich auf seiner Homepage (www.datenschutzbayern .de -> Veröffentlichungen -> Mustervordrucke) ein Prüfungsschema zur Verfügung, das eine sachgerechte Dokumentation erlaubt. 4. An welchen Schulen in Bayern wird Videoüberwachung in den Gebäuden oder auf dem Schulgelände eingesetzt (sortiert nach Bezirk, Landkreis, Ort)? 5. a) Welche Bereiche in den Gebäuden und auf den Schulgeländen der unter 4 a genannten Schulen werden überwacht? b) Welche Stelle hat an den unter 4 a genannten Schulen die Videoüberwachung veranlasst? c) Welcher Personenkreis hat in den unter 4 a genannten Schulen Zugang zu den technischen Anlagen der Videoüberwachungsanlage sowie zu den Aufzeichnungen? 6. a) Wurden an den unter 4 a genannten Schulen die behördlichen Datenschutzbeauftragten, die zuständige Personalvertretung, die Elternvertretung und die Vertretung der Schülerinnen und Schüler gehört und deren Zustimmung eingeholt? b) Wenn nein, warum nicht? 7. a) An welchen der unter 4 a genannten Schulen wur- de eine Gefährdungsbeurteilung erstellt, als deren Ergebnis ein hinreichender Anlass für den Einsatz einer Videoüberwachung festgestellt werden konnte? b) Wie wurde dies dokumentiert? 8. a) An welchen der unter 4 a genannten Schulen wur- de eine Abwägung der schutzwürdigen Interessen *) Von einem Abdruck der Anlagen wurde abgesehen. Sie sind in der elekt ronischen Fassung der Schriftlichen Anfrage als pdf-Dokument im Internet unter www.bayern.landtag.de – Dokumente – unter der oben genannten Drs.-Nr. einsehbar. Drucksache 17/5174 Bayerischer Landtag · 17. Wahlperiode Seite 3 der von der Videoüberwachung Betroffenen vorgenommen ? b) Wie wurde dies dokumentiert? Über die Einrichtung einer Videoüberwachung entscheiden Schule und Sachaufwandsträger eigenverantwortlich vor Ort. Die Kommunalverwaltung und die Schulen verfügen über geschulte Datenschutzbeauftragte, die die Einhaltung der datenschutzrechtlichen Bestimmungen sicherstellen sollen und sich bei Bedarf an ihre Aufsichtsbehörden oder auch an den Landesbeauftragten für den Datenschutz wenden können. Mit der Bestellung und Schulung von Datenschutzbeauftragten für alle staatlichen Schulen hat das Staatsministerium in den letzten Jahren wesentlich zur Stärkung des Schuldatenschutzes beigetragen und zugleich die Handlungsfähigkeit und Eigenverantwortung der Schulen gestärkt (vgl. den 25. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, Kap. 10.1). Auf eine gesonderte Erhebung an allen bayerischen Schulen wurde zur Vermeidung des diesen sonst entstehenden zusätzlichen Verwaltungsaufwands verzichtet. Eine Bewertung der Fragen Teil I 4 a bis 8 b ist daher nicht möglich, da den Schulaufsichtsbehörden die entsprechenden Daten nicht vorliegen. Videoüberwachung an Schulen 2 1. a) An welchen der unter 4 a – Anfrage Videoüberwachung an Schulen I – genannten Schulen wurden Verstöße gegen die Datenschutzbestimmungen beim Einsatz der Videoüberwachung festgestellt? b) Wie viele Verstöße lagen jeweils vor? c) Welcher Art waren die jeweiligen Verstöße? 2. a) In welchen der unter 4 a – Anfrage Videoüberwa- chung an Schulen I – genannten Schulen existierten vom Zeitpunkt der Entscheidung über die Einrichtung einer Videoüberwachung bis heute durchgängig Datenschutzbeauftragte? Vgl. hierzu die Antwort des Staatsministeriums zu der Anfrage des Fragestellers vom 16.12.2014 „Videoüberwachung an Schulen I“, zu den Fragen 4 a bis 8 b. b) Wie werden die in den Schulen benannten Datenschutzbeauftragten – insbesondere in Hinblick auf Einrichtung und Betrieb einer Videoüberwachung – qualifiziert? Für die notwendige Qualifikation der schulischen Datenschutzbeauftragten steht ein Fortbildungsangebot aus eLearning- und Präsenzschulungen zur Verfügung, das von der Akademie für Lehrerfortbildung und Personalführung Dillingen und einem dezentralen Multiplikatorensystem umgesetzt wird. Zudem können die Datenschutzbeauftragten auf eine Handreichung zurückgreifen, die datenschutzrechtliche Grundkenntnisse vermittelt und sich mit datenschutzrechtlichen Fragen des Schulalltags befasst. 3. Wie beurteilt die Staatsregierung die Verstöße von gesetzlichen Regelungen zur Videoüberwachung an den genannten Schulen? Bislang konnte in allen Fällen, in denen mögliche Anhaltspunkte für Rechtsverstöße bestanden, im Wege der Beratung – ggf. auch unter Einbindung des Landesbeauftragten für den Datenschutz – im Einvernehmen von Schule und Sachaufwandsträger eine datenschutzkonforme Lösung sichergestellt werden. Zu den Einzelfällen vgl. die Antwort des Staatsministeriums zu der Anfrage des Fragestellers „Videoüberwachung an Schulen I“ zu den Fragen 4 a bis 8 b. 4. Welche Maßnahmen ergreift die Staatsregierung, um in Zukunft solche Verstöße zu verhindern? Das Staatsministerium hat in den Schuljahren 2011/12 bis 2013/14 sukzessive für alle staatlichen Schulen behördliche Datenschutzbeauftragte bestellen lassen und damit auch für den Bereich der Videoüberwachung eine Instanz geschaffen , die vor Ort zur Einhaltung der datenschutzrechtlichen Vorschriften beiträgt. Für diese wichtige Aufgabe hat die Staatsregierung erhebliche personelle Ressourcen bereitgestellt . An allen staatlichen Realschulen, Gymnasien und beruflichen Schulen bzw. Schulzentren bestehen eigene Datenschutzbeauftragte, für die Grund-, Mittel- und Förderschulen wurden Datenschutzbeauftragte an den Schulämtern bestellt. Im Dezember 2014 hat das Staatsministerium in einem Schreiben an alle Schulen vorsorglich noch einmal an die rechtlichen Voraussetzungen einer zulässigen Videoüberwachung erinnert. Zugleich wurden die staatlichen Schulen mit Videoüberwachungsanlagen angewiesen, die datenschutzrechtliche Zulässigkeit der Maßnahmen zusammen mit ihrem zuständigen behördlichen Datenschutzbeauftragten zu überprüfen und etwaige datenschutzrechtliche Mängel ggf. unverzüglich zu beheben (vgl. oben Teil I 1 c. - Seite 1 von 2 - Amtliche Abkürzung: DVBayDSG-KM Ausfertigungsdatum: 23.03.2001 Gültig ab: 01.03.2001 Dokumenttyp: Verordnung Quelle: Fundstelle: GVBl 2001, 113 Gliederungs -Nr: 204-1-2-K Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzgesetzes (Durchführungsverordnung StMBW Art. 28 Abs. 2 BayDSG - DVBayDSG-KM) Vom 23. März 2001 Zum 02.02.2015 aktuellste verfügbare Fassung der Gesamtausgabe Stand: letzte berücksichtigte Änderung: Überschrift, § 2, Anlagen 1, 3 und 10 geänd. (V v. 1.4.2014, 167) Auf Grund des Art. 28 Abs. 2 Satz 2 des Bayerischen Datenschutzgesetzes vom 23. Juli 1993 (GVBl S. 498, BayRS 204-1-I), zuletzt geändert durch § 1 des Gesetzes vom 25. Oktober 2000 (GVBl S. 752), erlässt das Bayerische Staatsministerium für Unterricht und Kultus folgende Verordnung: § 1 Geltungsbereich Diese Verordnung gilt für öffentliche Schulen im Sinn des Art. 3 Abs. 1 des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG) sowie für staatlich anerkannte Ersatzschulen gemäß Art. 100 BayEUG, soweit auf diese Schulen das Bayerische Datenschutzgesetz Anwendung findet. § 2 Bestellung behördlicher Datenschutzbeauftragter, datenschutzrechtliche Freigabe, Führung eines Verfahrensverzeichnisses Die Bestellung behördlicher Datenschutzbeauftragter, die datenschutzrechtliche Freigabe und die Führung eines Verfahrensverzeichnisses sind nicht erforderlich, wenn die Schulen ausschließlich automatisierte Verfahren, die durch das Staatsministerium für Bildung und Kultus, Wissenschaft und Kunst (Staatsministerium) bereits generell freigegeben sind, in dem in den Anlagen 1 bis 11 aufgeführten Umfang einsetzen. § 3 In-Kraft-Treten Diese Verordnung tritt mit Wirkung vom 1. März 2001 in Kraft. München, den 23. März 2001 Bayerisches Staatsministerium für Unterricht und Kultus Monika Hohlmeier, Staatsministerin - Seite 2 von 2 - Anlage 8 Videoaufzeichnung an Schulen 1. Angaben zur speichernden Stelle: Name und Anschrift der jeweiligen Schule 2. Angaben zum automatisierten Verfahren: 2.1 Allgemeine Bezeichnung des Verfahrens Videoaufzeichnung an Schulen 2.2 Aufgaben, zu deren Erfüllung die personenbezogenen Daten verarbeitet oder genutzt werden - Schutz von Leben, Gesundheit, Freiheit und Eigentum der Personen, die sich im Bereich der Schule oder in deren unmittelbarer Nähe aufhalten - Schutz der schulischen Einrichtung vor Sachbeschädigung und Diebstahl 2.3 Örtliche und sachliche Zuständigkeit Die jeweilige Schule 2.4 Rechtsgrundlage für die Erhebung, Verarbeitung oder Nutzung Bayerisches Datenschutzgesetz (insbesondere: Art. 21a) in Verbindung mit Bestimmungen der Schulordnungen 2.5 Kreis der Betroffenen Alle Personen, die sich im Eingangsbereich der Schule aufhalten oder sich zwischen 22:00 Uhr und 6:30 Uhr außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen auf dem Schulgelände befinden. Darüber hinaus alle Personen, die sich außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen an Feiertagen, Wochenenden oder in den Ferien auf dem Schulgelände befinden. 3. Art der gespeicherten Daten: Mit Hilfe von optisch-elektronischen Einrichtungen erhobene personenbezogene Daten (Videoaufzeichnungen) 4. Art der regelmäßig an Dritte zu übermittelnden Daten: Keine 5. Regelfristen für die Löschung oder die Prüfung für die Löschung: Die gespeicherten Daten werden jeweils spätestens drei Wochen nach Aufzeichnung gelöscht, soweit sie nicht zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden. 6. Personengruppen, die innerhalb der speichernden Stelle automatisiert nutzen und verarbeiten: Die Schulleitung und von der Schulleitung beauftragte Angehörige des Lehr- oder Verwaltungspersonals © juris GmbH Amtsblatt der Bayerischen Staatsministerien für Unterricht und Kultus und Wissenschaft, Forschung und Kunst Inhaltsübersicht Nummer 3 München, den 14. Februar 2013 Jahrgang 2013 Datum Seite I. Rechtsvorschriften 04.01.2013 204-1-2-UK Verordnung zur Änderung der Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzgesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 II. Bekanntmachungen der Bayerischen Staatsministerien für Unterricht und Kultus und Wissenschaft, Forschung und Kunst 11.01.2013 204-UK Bekanntmachung über erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 III. Bekanntmachungen der Bayerischen Staatsregierung, anderer bayerischer Staatsministerien und sonstiger Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . — KWMBl Nr. 3/201322 I. Rechtsvorschriften 6 Bayerisches Gesetz- und Verordnungsblatt Nr. 2/2013 Auf Grund des Art. 28 Abs. 2 Satz 2 des Bayerischen Datenschutzgesetzes (BayDSG) vom 23. Juli 1993 (GVBl S. 498, BayRS 204-1-I), zuletzt geändert durch Gesetz vom 20. Juli 2011 (GVBl S. 307), erlässt das Bayerische Staatsministerium für Unterricht und Kultus folgende Verordnung: § 1 Die Verordnung zur Durchführung des Art. 28 Abs.  2 des Bayerischen Datenschutzgesetzes vom 23.  März 2001 (GVBl S. 113, ber. S. 212, BayRS 204-1-2-UK), zuletzt geändert durch § 1 der Verordnung vom 17. August 2012 (GVBl S. 443) wird wie folgt geändert: 1. Der Überschrift werden die Worte „(Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG – DVBayDSG-KM)“ angefügt. 2. In § 2 wird die Zahl „10“ durch die Zahl „11“ ersetzt . 3. In Anlage 1 Nr. 3.1.1 Spalte 3 werden nach dem Wort „Telefon“ die Worte „, E-Mail-Adresse“ eingefügt . 4. Anlage 2 wird wie folgt geändert: a) In Nr. 2.4 Spiegelstrich 1 wird der Klammerzusatz „(speziell: Art. 85, 111, 113)“ durch den Klammerzusatz „(speziell: Art. 85, gegebenenfalls in Verbindung mit Art. 20, 30a Abs. 8 Sätze 1 und 2, Art. 30b Abs. 2 und 4, Art. 41 Abs. 3 bis 6, Art. 111, 113)“ ersetzt. b) In Nr. 3.1 Spalte 3 und Nr. 3.2 Spalte 3 werden jeweils nach dem Wort „Telefon“ die Worte „, E-Mail-Adresse“ eingefügt. c) Nr. 3.12 erhält folgende Fassung: „3.12 Gesundheitsdaten Legasthenie/LRS-Attest (freiwillige Angabe) Gesundheitsdaten bei Schülerinnen und Schülern mit sonderpädagogischem Förderbedarf Behinderungen (Art), Pfl egeaufwand, Schulbegleiter , Kostenträger , Ende der Kostenübernahme (Jahr), sonderpädagogischer Förderbedarf, letztes sonderpädagogisches/ sonstiges Gutachten (Jahr), letzter förderdiagnostischer Bericht (Jahr)“. d) Nr. 3.13 wird wie folgt geändert: aa) Spalte  2 erhält folgende Fassung: „Besondere pädagogische Maßnahmen“. bb) In Spalte  3 werden die Worte „, Förderplan , Verzicht auf Ziffernnoten (Verbalbeurteilung )“ angefügt. e) In Nr. 3.14 Spalte 3 wird nach dem Wort „Noten “ das Wort „/Verbalbeurteilungen“ eingefügt . f) In Nr. 3.15 Spalte  3 wird nach dem Wort „ Noten“ das Wort „/Verbalbeurteilungen“ und nach dem Wort „Gesamtnoten“ das Wort „/Verbalbeurteilungen“ eingefügt. g) Nr. 4.3 wird aufgehoben. h) Die bisherigen Nrn. 4.4 bis 4.7 werden Nrn. 4.3 bis 4.6. i) In Nr. 6 Spalte 3 Stichwort „Teilberechtigt“ werden die Worte „; Beratungslehrkräfte und Schulpsychologen betreffend die Zeugnisdaten (Nr. 3.14) nur im konkreten Einzelfall, soweit dies zur Erfüllung ihrer pädagogisch-psychologischen und rechtlichen Aufgaben im Rahmen der Schulberatung erforderlich ist“ angefügt. 5. Anlage 3 wird wie folgt geändert: a) In der Überschrift und in Nr. 2.1 wird jeweils das Wort „Kollegstufendatei“ durch das Wort „Oberstufendatei“ ersetzt. b) In Nr. 6 wird das Wort „Kollegstufenbetreuer“ durch das Wort „Oberstufenkoordinator“ ersetzt . 6. Anlage 4 wird wie folgt geändert: a) In Nr. 2.5 werden nach dem Wort „sind“ die Worte „sowie alle Schülerinnen und Schüler, 204-1-2-UK Verordnung zur Änderung der Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzgesetzes Vom 4. Januar 2013Vom 4. Januar 2013 (GVBl S. 6) KWMBl Nr. 3/2013 237Bayerisches Gesetz- und Verordnungsblatt Nr. 2/2013 die die Schule in diesen Schuljahren besuchen “ eingefügt. b) Es wird folgende Nr. 3.4 eingefügt: „3.4 Schülerbezogene Stundenplandaten Je Schüler (Name, Vorname): zugeordnete Klasse, besuchter Unterricht (Kursbezeichner , Fach, Lehrkraft , Zeit, Raum)“. c) In Nr. 5 werden nach dem Wort „Lehrer“ die Worte „und der Schülerinnen und Schüler“ eingefügt. 7. Anlage 5 wird wie folgt geändert: a) In Nr. 2.5 werden nach dem Wort „sind“ die Worte „sowie alle Schülerinnen und Schüler, die die Schule in diesen Schuljahren besuchen “ eingefügt. b) Folgende Nr. 3.4 wird eingefügt: „3.4 Schülerbezogene Stundenplandaten Je Schüler (Name, Vorname): zugeordnete Klasse, besuchter Unterricht (Kursbezeichner , Fach, Lehrkraft , Zeit, Raum)“. c) Nr. 5 erhält folgende Fassung: „5. Regelfristen für die Löschung oder die Prüfung für die Löschung: Die gespeicherten Daten der Lehrkräfte und der Schülerinnen und Schüler werden jeweils spätestens am Ende des Schuljahres gelöscht, das dem Schuljahr nachfolgt, in dem die Daten gespeichert wurden.“ 8. Anlage 6 Nr. 6 wird wie folgt geändert: a) Vor Spiegelstrich  1 werden folgende neue Spiegelstriche 1 und 2 eingefügt: „– die Schulleitung nur im konkreten Einzelfall , soweit dies zur Erfüllung ihrer pädagogischen , organisatorischen und rechtlichen Aufgaben erforderlich ist, – Beratungslehrkräfte und Schulpsychologen nur im konkreten Einzelfall, soweit dies zur Erfüllung ihrer p ädagogisch-psychologischen und rechtlichen Aufgaben im Rahmen der Schulberatung erforderlich ist,“. b) Die bisherigen Spiegelstriche 1 bis 3 werden Spiegelstriche 3 bis 5. 9. Anlage 10 wird wie folgt geändert: a) In Nrn. 3.2.2 und 3.3.2 werden jeweils die Worte „, jeweils Datum der Erstellung und Datum der letzten Änderung der veröffentlichten Beiträge“ angefügt. b) In Nr. 5 Satz 2 werden nach dem Wort „gelöscht “ die Worte „, im Fall der Speicherung im Rahmen der zweijährigen gymnasialen Qualifi kationsstufe spätestens am Ende der Qualifi kationsstufe bzw. im Rahmen des Besuchs der Berufl ichen Oberschule spätestens am Ende des Besuchs der Berufl ichen Oberschule “ eingefügt. 10. Es wird eine Anlage 11 angefügt, die die Fassung der Anlage zu dieser Änderungsverordnung erhält . § 2 Diese Verordnung tritt am 1. Februar 2013 in Kraft. München, den 4. Januar 2013 Bayerisches Staatsministerium für Unterricht und Kultus Dr. Ludwig S p a e n l e , Staatsminister Bayerisches Staatsministerium für Unterricht und Kultus Dr. Ludwig Sp a e n l e Staatsminister KWMBl Nr. 3/201324 8 Bayerisches Gesetz- und Verordnungsblatt Nr. 2/2013 Anlage zu § 1 Nr. 10 „Anlage 11 Schulinterner passwortgeschützter Bereich 1. Angaben zur speichernden Stelle: Name und Anschrift der jeweiligen Schule 2. Angaben zum automatisierten Verfahren: 2.1 Allgemeine Bezeichnung des Verfahrens Schulinterner passwortgeschützter Bereich 2.2 Aufgaben, zu deren Erfüllung die personenbezogenen Daten verarbeitet oder genutzt werden Information der am Schulleben der jeweiligen Schule beteiligten Personen (Schulleitung, Lehrkräfte, Verwaltungspersonal, Erziehungsberechtigte , Schülerinnen und Schüler) über Sachverhalte mit Schulbezug; Organisation des Schullebens 2.3 Örtliche und sachliche Zuständigkeit die jeweilige Schule 2.4 Rechtsgrundlage für die Erhebung , Verarbeitung oder Nutzung – Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (insbesondere: Art. 85) – Bayerisches Datenschutzgesetz (Art. 15 bis 23) – Bestimmungen der Schulordnungen – Lehrerdienstordnung 2.5 Kreis der Betroffenen Schulleitung, Lehrkräfte, Verwaltungspersonal, Erziehungsberechtigte , Schülerinnen und Schüler, sonstige Personen 3. Art der gespeicherten Daten: 3.1 Daten der Lehrkräfte 3.1.1 Grunddaten – Name, Namensbestandteile, Vorname(n), Benutzername, Namenskürzel, Funktion, Amtsbezeichnung, dienstliche Anschrift, dienstliche Telefonnummer, dienstliche E-MailAdresse , – private E-Mail-Adresse (nur zum Zweck der systemseitig automatisierten Information der Lehrkraft und nur, soweit die Lehrkraft darin wirksam eingewilligt hat) 3.1.2 Stundenplandaten, Vertretungsplandaten Klasse/Kurs, Fach, Datum, Dauer (Uhrzeit von/bis), Ort (Gebäude , Raum), vertretene Lehrkraft, vertretende Lehrkraft 3.1.3 Angaben in schulinternen Informationsplattformen – klassen-, fach- oder schulbezogene Information, soweit erforderlich mit wirksamer Einwilligung der Lehrkraft, – Lesebestätigung (Datum, Uhrzeit) 3.1.4 Ressourcennutzung Ressource, Datum, Dauer (Uhrzeit von/bis), Reservierungsgrund ohne Personenbezug zu Dritten 3.1.5 Buchungsdaten für Sprechzeiten Datum, Dauer (Uhrzeit von/bis), Ort (Gebäude, Raum) 3.2 Daten des Verwaltungspersonals 3.2.1 Grunddaten – Name, Namensbestandteile, Vorname(n), Benutzername, Namenskürzel , Funktion, Amtsbezeichnung, dienstliche Anschrift, dienstliche Telefonnummer, dienstliche E-Mail-Adresse, – private E-Mail-Adresse (nur zum Zweck der systemseitig automatisierten Information der Verwaltungskraft und nur, soweit die Verwaltungskraft darin wirksam eingewilligt hat) KWMBl Nr. 3/2013 259Bayerisches Gesetz- und Verordnungsblatt Nr. 2/2013 3.2.2 Angaben in schulinternen Informationsplattformen – klassen-, fach- oder schulbezogene Information, soweit erforderlich mit wirksamer Einwilligung der Verwaltungskraft, – Lesebestätigung (Datum, Uhrzeit) 3.2.3 Ressourcennutzung Ressource, Datum, Dauer (Uhrzeit von/bis), Reservierungsgrund ohne Personenbezug zu Dritten 3.3 Schülerdaten Schülerdaten und Daten von Erziehungsberechtigten werden nur gespeichert, soweit die Betroffenen bzw. bei Minderjährigen bis zur Vollendung des 14. Lebensjahres die Erziehungsberechtigten sowie bei Minderjährigen ab Vollendung des 14. Lebensjahres diese selbst und die Erziehungsberechtigten wirksam eingewilligt haben. 3.3.1 Grunddaten Name, Namensbestandteile, Vorname(n), Benutzername, Namenskürzel , E-Mail-Adresse 3.3.2 Angaben in schulinternen Informationsplattformen – klassen- oder schulbezogene Information – Lesebestätigung (Datum, Uhrzeit) 3.3.3 Buchungsdaten für Sprechzeiten Lehrkraft, Datum, Dauer (Uhrzeit von/bis), Ort (Gebäude, Raum) 3.3.4 Daten der Erziehungsberechtigten – Grunddaten (Name, Namensbestandteile, Vorname(n), Benutzername , Namenskürzel, E-Mail-Adresse), – klassen- oder schulbezogene Informationen, Lesebestätigung (Datum, Uhrzeit) – Buchungsdaten für Sprechzeiten (Lehrkraft, Datum, Dauer [Uhrzeit von/bis], Ort [Gebäude, Raum]) 3.4 Schulbezogene Daten von Lehrkräften, Schülerinnen und Schülern, Erziehungsberechtigten und sonstigen Personen gemäß Anlage 9 Nrn. 3.1 und 3.2 4. Art der regelmäßig an Dritte zu übermittelnden Daten: Keine 5. Regelfristen für die Löschung oder die Prüfung für die Löschung : Soweit die Speicherung der Daten einer Einwilligung bedarf, werden die gespeicherten Daten gelöscht, wenn die Betroffenen, bei Minderjährigen bis zur Vollendung des 14. Lebensjahres die Erziehungsberechtigten sowie bei Minderjährigen ab Vollendung des 14. Lebensjahres diese selbst oder die Erziehungsberechtigten die erteilte Einwilligung widerrufen. Unbeschadet davon werden Grunddaten gemäß Nrn. 3.1.1, 3.2.1, 3.3.1, 3.3.4 spätestens einen Monat nachdem die betreffende Person die Schule verlassen hat gelöscht; alle übrigen Daten werden jeweils spätestens einen Monat nach Ablauf des jeweiligen Schuljahres gelöscht. 6. Personengruppen, die innerhalb der speichernden Stelle automatisiert nutzen und verarbeiten: 6.1 Lesenden und schreibenden Zugriff haben – die Schulleitung und die von der Schulleitung beauftragten Angehörigen des Lehr- und Verwaltungspersonals im Rahmen ihres jeweiligen Auftrags – außer auf Lesebestätigungen für nicht von diesem Personenkreis selbst verfasste Beiträge, – die übrigen Angehörigen des Lehr- und Verwaltungspersonals für die Ressourcennutzung (Daten gemäß Nrn. 3.1.4 und 3.2.3), soweit die Ressource selbst genutzt wird, – Erziehungsberechtigte und Lehrkräfte für die Sprechzeitenbuchung (Daten gemäß Nrn. 3.1.5, 3.3.3 und 3.3.4), soweit sie von der Sprechzeitenbuchung betroffen sind und den Beitrag selbst erstellt haben, KWMBl Nr. 3/20132610 Bayerisches Gesetz- und Verordnungsblatt Nr. 2/2013 – Schülerinnen und Schüler für von ihnen selbst erstellte Sprechzeitenbuchungen (Daten gemäß Nrn. 3.1.5, 3.3.3) 6.2 Lesenden Zugriff – mit Ausnahme privater E-Mail-Adressen – haben – Lehrkräfte und Verwaltungspersonal mit folgender Einschränkung : Nur soweit durch die Schulleitung eine Beauftragung erfolgt, besteht ein Leserecht für Grunddaten gemäß Nrn. 3.1.1, 3.2.1 und 3.3.1 bzw. persönliche Daten gemäß Nr. 3.3.4 und – soweit sie nicht selbst der Verfasser des Beitrags sind – für die Lesebestätigungen. – Schülerinnen und Schüler und Erziehungsberechtigte mit folgender Einschränkung: Für Schülerinnen und Schüler sowie Erziehungsberechtigte besteht kein Leserecht für die Ressourcennutzung. Stundenplandaten und Vertretungsplandaten können bis maximal einen Tag nach Ablauf der Gültigkeit des Stundenplans/Vertretungsplans eingesehen werden. Lesebestätigungen können nur für selbst erstellte Beiträge eingesehen werden. Für Buchungsdaten für Sprechzeiten gemäß Nr. 3.3.4 besteht für Schülerinnen und Schüler kein Leserecht. – Für die in Nr. 3.4 genannten Daten besteht ein uneingeschränktes Leserecht der Schulleitung, der Lehrkräfte, des Verwaltungspersonals, der Erziehungsberechtigten und der Schülerinnen und Schüler.“ KWMBl Nr. 3/2013 27 II. Bekanntmachungen der Bayerischen Staatsministerien für Unterricht und Kultus und Wissenschaft, Forschung und Kunst 204-UK Bekanntmachung über erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus vom 11. Januar 2013 Az.: I.5-5 L 0572.2-1a.54 865 Inhalt 1. Grundanliegen der Datenschutzbestimmungen 1.1 Aufgabe des Datenschutzes 1.2 Zweck der „Erläuternden Hinweise“ 2. Erläuterung wesentlicher datenschutzrechtlicher Begriffe 3. Geltungsbereich des Bayerischen Datenschutzgeset- zes 3.1 Vorrang spezieller Vorschriften 3.2 Geltungsbereich je nach Speichermedium, Datenart und Verarbeitungsart 4. Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung 4.1 Zulässigkeit der Datenerhebung 4.2 Zulässigkeit der Datenverarbeitung und -nutzung 4.3 Datenverarbeitung auf privaten Rechnern der Lehr- kräfte 4.4 Fernzugriff von Lehrkräften auf Dienste an Servern innerhalb der Schule 4.5 Datenverarbeitung im Auftrag (insbesondere web- basierte Verfahren), Wartung der Datenverarbeitungsanlage 4.6 An Schulen häufig auftretende Datenschutzfragen 5. Berichtigung, Löschung, Sperrung, Speicherungs- dauer 5.1 Berichtigung 5.2 Löschung und Sperrung 5.3 Speicherungsdauer 5.4 Entsorgung von Unterlagen und Datenträgern 6. Datensicherung, Datengeheimnis, Verpflichtung der Bediensteten 6.1 Datensicherung 6.2 Datengeheimnis 6.3 Verpflichtung der Bediensteten 7. Anspruch auf Auskunft 7.1 Allgemeines zum Auskunftsanspruch 7.2 Auskunftsanspruch der Schülerinnen und Schüler und ihrer Erziehungsberechtigten 7.3 Auskunftsanspruch des Schulpersonals 8. Institutionen des Datenschutzes 8.1 Sicherstellung des Datenschutzes 8.2 Datenschutzbeauftragte an den Schulen 8.3 Landesbeauftragter für den Datenschutz 8.4 Beratungsstellen in Datenschutzfragen 9. Freigabe eines automatisierten Verfahrens 10. Verfahrensverzeichnis 11. Wichtige Datenschutzbestimmungen für Schulen 12. Inkrafttreten, Außerkrafttreten Anlagenverzeichnis 1. Grundanliegen der Datenschutzbestimmungen 1.1 Aufgabe des Datenschutzes (insbesondere zu Art. 1 BayDSG) Aufgabe des Datenschutzes ist es, die Einzelnen davor zu schützen, dass sie bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten in un zulässiger Weise in ihrem Persönlichkeitsrecht beein trächtigt werden (zur leichteren Orientierung werden Gesetzeszitate kursiv dargestellt). Der Erreichung dieses Ziels an Schulen dienen sowohl allgemeine (subsidiäre ) Datenschutzbestimmungen – wie vor allem das Bayerische Datenschutzgesetz (BayDSG), die hierzu erlassene Vollzugsbekanntmachung und die Datenschutzverordnung (DSchV) – als auch bereichsspezifische (vorrangige) Sondervorschriften für den Schulbereich – wie insbesondere das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) und die Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG (DVBayDSG-KM). 1.2 Zweck der „Erläuternden Hinweise“ Die nachstehenden „Erläuternden Hinweise“ sollen darstellen, welche personenbezogenen Daten von den Schulen erhoben, verarbeitet und genutzt werden dürfen. Neben den allgemeinen Datenschutzbestimmungen werden dabei auch die speziell für den Schulbereich erlassenen bereichsspezifischen Sondervorschriften berücksichtigt. In einem vorangestellten Abschnitt (Nr. 2) werden zunächst die für den Datenschutz wesentlichen Begriffe erläutert. Sodann wird unter Nr. 3 abgegrenzt, für welche Daten die Bestimmungen des BayDSG gelten bzw. nicht gelten. 2. Erläuterung wesentlicher datenschutzrechtlicher Begriffe (insbesondere zu Art. 4 BayDSG) 2.1 Personenbezogene Daten sind Einzelangaben über per sönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbarer natürlicher Personen (Betroffene). Hierzu gehören beispielsweise Namen, Anschriften, Telefonnummern und Fotos. An Schulen werden etwa folgende personenbezogene Daten verarbeitet: – von Schülerinnen und Schülern beispielsweise Angaben zur Person, zur schulischen Laufbahn, zu den Leistungen und Veranlagungen, zu Verhalten und Mitarbeit, ggf. auch zum sozialen Umfeld und zum Gesundheitszustand, Zeugnisbemerkungen und Eintragungen im Schülerbogen, – von den Erziehungsberechtigten beispielsweise die Anschriften, – von den Ausbildungsbetrieben der Berufsschülerinnen und Berufsschüler beispielsweise ggf. die KWMBl Nr. 3/201328 Anschrift und ggf. der Name der Ausbildenden oder des Ausbildenden, – von den Lehrkräften beispielsweise Angaben zur Person, zur Lehrbefähigung, zur Unterrichtspflichtzeit und einer evtl. Ermäßigung, zu den unterrichteten Fächern und Klassen sowie zu Sprechstunden und Vertretungsstunden. Summendaten, die beispielsweise in amtliche Erhebungen einzutragen sind, sind, soweit sie keine Rückschlüsse auf bestimmte oder bestimmbare natürliche Personen zulassen, keine personenbezogenen Daten. 2.2 Eine Datei ist – eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merk malen ausgewertet werden kann (automatisierte Datei) oder – jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei). Eine Datei liegt demnach insbesondere vor, wenn personenbezogene Daten von Schülerinnen und Schülern, Erziehungsberechtigten und Lehrkräften – in einem EDV-Verfahren geführt werden, in dem mehrere Merkmale zu Datensätzen zusammengefasst sind (datenbankgeschützte Verfahren, z. B. Schulverwaltungsprogramm), – in Karteien (Schülerkartei, Lehrerkartei) geführt werden, – in Tabellenkalkulationen, Datenbanken usw. verwendet werden. Nicht unter den Begriff der Datei fallen – Listen (wie beispielsweise Klassenlisten, Notenlisten , Sprechstundenverzeichnisse), manuell geführte Notenbücher, Jahresberichte, – Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können. In der Regel fallen also beispielsweise Schülerakten und Schulpersonalakten nicht unter den Begriff der Datei. Akten sind alle nicht zu den Dateien zählenden, amtlichen oder dienstlichen Zwecken dienenden Unterlagen mit personenbezogenen Daten; dazu können auch Bild- und Tonträger, z. B. Fotografien, Videoaufnahmen , Tonbandaufnahmen zählen. Nach dem BayDSG wird dabei der Begriff „Akten“ als Restgröße definiert. Anmeldebogen, Schülerbogen, Notenbogen, Kursbogen etc. sind Bestandteile des Schülerakts. Soweit diese Unterlagen mit Rücksicht auf die einfachere Übertragung von Noten etc. zeitweise nach Klassen o. ä. zusammengefasst und außerhalb der Schülerakten aufbewahrt werden, ist die gleiche Sorgfalt anzuwenden, um die Daten vor unbefugtem Zugriff zu schützen. 2.3 Automatisierte Verfahren sind solche, in denen wesentliche Verfahrensschritte (Erhebung, Verarbeitung, Nutzung) mit Hilfe programmgesteuerter Anlagen (Computern) ablaufen. Ein nicht automatisiertes Verfahren ist beispielsweise die manuelle Führung von Karteien 2.4 Erheben ist das Beschaffen von Daten über Betrof fene. Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. – Speichern ist das Erfassen, Aufnehmen oder Auf bewahren personenbezogener Daten auf einem Datenträger (beispielsweise Festplatten, USB-Sticks, Karteikarten oder Akten) zum Zwecke ihrer weiteren Verarbeitung oder Nutzung. – Verändern ist das inhaltliche Umgestalten gespei cherter personenbezogener Daten. – Übermitteln ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener perso nenbezogener Daten an Dritte in der Weise, dass die Daten durch die speichernde Stelle weitergegeben werden oder Dritte Daten einsehen oder abrufen, die zur Einsichtnahme oder zum Abruf bereitgehalten werden. Das Übermitteln von Daten kann in verschiedener Weise erfolgen, beispielsweise durch Weitergabe von Ausdrucken, Übergabe von Datenträgern , mündliche Auskunft, Übertragung in einem Netzwerk (insbes. im Internet), Veröffentlichung, Dateneinsicht. Sofern Daten an den Betroffenen selbst gegeben werden, liegt keine Datenübermittlung vor. – Sperren ist das Kennzeichnen gespeicherter perso nenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Gesperrte Daten dürfen nur noch in Ausnahmefällen genutzt werden (vgl. Nr. 5.2). – Löschen ist das Unkenntlichmachen gespeicherter Daten. Löschen kann z. B. durch vollständiges Überschreiben von Daten auf Datenträgern (z. B. USB-Sticks, Festplatten, Bändern) erfolgen oder durch Vernichtung von Karteikarten oder Akten im Reißwolf. Löschen einzelner Einträge auf Karteikarten oder in Akten hat so zu erfolgen, dass die ursprünglichen Daten nicht mehr lesbar sind. Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt, insbeson dere die Weitergabe von Daten innerhalb der speichern den Stelle an Teile derselben Stelle mit anderen Aufga ben oder anderem örtlichem Zuständigkeitsbereich. An Schulen liegt beispielsweise eine Nutzung vor, wenn Daten an die Lehrkräfte der Schule oder an Einrichtungen zur Mitgestaltung des schulischen Lebens weitergegeben werden. Auch das bloße Lesen von Daten stellt eine Datennutzung dar. 2.5 Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönli che oder sachliche Verhältnisse nicht mehr oder nur mehr mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Anonymisierung kann beispielsweise oftmals erreicht werden, indem aus Datensätzen Merkmale (beispiels- KWMBl Nr. 3/2013 29 weise Namen) entfernt werden und die Datensätze anschließend in eine zufällige Reihenfolge gebracht werden. Eine andere Möglichkeit bietet eine unumkehrbare Verschlüsselung der Daten (Kryptierung), die keine Rückschlüsse auf bestimmte oder bestimmbare natürliche Personen zulässt. Anonymisierte Daten stellen keine personenbezogenen Daten mehr dar. Pseudonymisieren dagegen ist das Ersetzen des NamensundandererIdentifikationsmerkmaledurch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (§ 3 Abs. 6a des Bundesdatenschutzgesetzes – BDSG). Pseudonymisierte Daten stellen weiterhin personenbezogene Daten dar. 2.6 Speichernde Stelle ist jede öffentliche Stelle, die Daten für sich selbst speichert oder durch andere im Auftrag speichern lässt. So bleibt eine Schule speichernde Stelle und damit für die ordnungsgemäße Datenverarbeitung und die Einbehaltung der Datenschutzvorschriften auch dann verantwortlich, wenn sie beispielsweise Schüler- oder Lehrerdaten auf einem Rechner einer anderen Schule, einer Lehrkraft (vgl. Nr. 4.3) oder einer Firma (z. B. zur Erstellung von Schülerausweisen; vgl. Nr. 4.5) verarbeiten lässt. Diese Stellen sind insbesondere nicht befugt, Daten, die sie von einer Schule nur zur Verarbeitung erhalten haben, für eigene Zwecke zu verwenden. 2.7 Dritte sind alle Personen oder Stellen außerhalb der speichernden Stelle, also alle außerschulischen Personen und Firmen, aber auch andere Schulen und Behörden. Dritte sind nicht die Betroffenen sowie diejenigen Perso nen und Stellen, die im Inland, in einem ande ren Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezoge ne Daten im Auftrag erheben, verarbeiten oder nutzen. Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sind alle Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen. Werden dagegen personenbezogene Daten auf dem Server eines privaten Programmanbieters in der Schweiz oder in den USA verarbeitet, ist dieser Dritter. Nicht Dritter, weil Betroffener, sind bei Schülerdaten die Schülerinnen und Schüler selbst und bei minderjährigen Schülerinnen und Schülern deren Erziehungsberechtigte . 2.8 Regelmäßige Datenübermittlungen liegen vor, wenn bestimmte Daten bei Eintritt festgelegter Voraussetzungen weitergegeben oder zum Abruf bereitgehalten werden, ohne dass die speichernde Stelle hierüber im konkreten Einzelfall entscheidet. Keine regelmäßigen Datenübermittlungen, sondern Einzelübermittlungen liegen dagegen vor bei Datenübermittlungen, die von Fall zu Fall nach Einzelentscheidungen durch die speichernde Stelle vorgenommen werden. Beispiele für regelmäßige Datenübermittlungen sind der Jahresbericht der Schule, die Abgabe der Amtlichen Schuldaten oder die Schülerlisten für die Handwerkskammer . 3. Geltungsbereich des Bayerischen Datenschutz gesetzes 3.1 Vorrang spezieller Vorschriften Besondere Vorschriften über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und deren Schutz gehen den allgemeinen Vorschriften des BayDSG vor. Sofern für den Schulbereich derartige besondere Vorschriften vorliegen, werden sie im Folgenden berücksichtigt . Zu nennen sind hier insbesondere Art. 31 Abs. 1 Satz 2, Art. 75, 85, 85a, 88a, 111, 113a, 113b und 113c BayEUG und die Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG. Im Schulbereich zu beachten sind auch die landesweite datenschutzrechtliche Freigabe des Amtlichen Schulverwaltungsprogramms ASV und die Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV in der jeweils aktuellen Fassung. Neben den Datenschutzbestimmungen sind bei der Datenverarbeitung an Schulen zudem die einschlägigen Bestimmungen des Bayerischen Personalvertretungsgesetzes (BayPVG), der Tarifvertrag zu Arbeitsbedingungen an Bildschirmgeräten, die FMBek zu Arbeitsbedingungen an Bildschirmgeräten für Beamte, das Urheberrecht (Copyright) nach dem Urheberrechtsgesetz (UrhG) und dem Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KunstUrhG) – insbesondere bei Bildern, Bildbearbeitungen, mit Grafikprogrammen angefertigten Grafiken sowie Ton- und Videoaufzeichnungen – sowie ganz generell Lizenzfragen zu beachten. 3.2 Geltungsbereich je nach Speichermedium, Datenart und Verarbeitungsart Das BayDSG gilt unabhängig vom Speichermedium sowohl für personenbezogene Daten, die in Dateien verarbeitet werden, als auch für personenbezogene Daten, die in Akten verarbeitet werden. Für nicht personenbezogene Daten gilt das BayDSG nicht; gleichwohl gelten auch dafür Schutzvorschriften wie z. B. die Verschwiegenheitspflicht von Beamtinnen und Beamten nach § 37 des Beamtenstatusgesetzes (BeamtStG) oder von Arbeitnehmerinnen und Arbeitnehmern nach § 3 Abs. 2 des Tarifvertrages für den Öffentlichen Dienst der Länder (TV-L). Das BayDSG gilt unabhängig von der Verarbeitungsart , also bei Verarbeitung in automatisierten Verfahren und bei Verarbeitung in nicht automatisierten Verfahren . Bei automatisierten Verfahren sind allerdings gegenüber nicht automatisierten Verfahren weitere technische und organisatorische Maßnahmen zum Schutz der Daten zu beachten (vgl. Nr. 6.1). 4. Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Allgemeines: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn sie durch eine Rechtsvorschrift erlaubt ist oder wenn der Betroffenen eingewilligt hat (Art. 15 Abs. 1 BayDSG). Eine gesetzliche Erlaubnis zur Datenerhebung, -verarbeitung und -nutzung im Schulbereich ist beispielsweise in Art. 85 KWMBl Nr. 3/201330 BayEUG unter den dort genannten Voraussetzungen enthalten. Ohne eine ausdrückliche Erlaubnis durch Rechtsvorschrift dürfen personenbezogenen Daten nur erhoben, verarbeitet oder genutzt werden, wenn der Betroffene wirksam eingewilligt hat. Eine Einwilligung ist nur wirksam, wenn sie freiwillig, informiert und in der Regel schriftlich erfolgt (siehe zu den Anforderungen einer wirksamen Einwilligung Art. 15 Abs. 2 bis 4 und 7 BayDSG). Bei minderjährigen Schülerinnen und Schülern bis zur Vollendung des 14. Lebensjahres müssen die Erziehungsberechtigten einwilligen, bei minderjährigen Schülerinnen und Schülern ab Vollendung des 14. Lebensjahres diese selbst und die Erziehungsberechtigten. Zur Einholung der Einwilligungen der Betroffenen im Zusammenhang mit der Öffentlichkeitsarbeit der Schulen (Veröffentlichung auf der Schulhomepage, in der örtlichen Tagespresse und im Jahresbericht [soweit es um Daten geht, die nicht in Art. 85 Abs. 3 BayEUG aufgeführt sind]) hat das Staatsministerium für Unterricht und Kultus den Schulen Einwilligungsmuster verbindlich vorgegeben (siehe Anlage zu dieser Bekanntmachung). Die Muster können für den individuellen Einsatz angepasst werden, die rechtlichen Aussagen dürfen dadurch aber nicht verändert werden. 4.1 Zulässigkeit der Datenerhebung Nach Art. 85 Abs. 1 Satz 1 BayEUG dürfen die Schulen „die zur Erfüllung der ihnen durch Rechtsvorschrif ten zugewiesenen Aufgaben erforderlichen Daten erheben“. Dieser Erforderlichkeitsgrundsatz ist einer der zentralen Grundsätze des Datenschutzes: Die Erhebung personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Aufgabenerfüllung der erhebenden Stelle erforderlich ist. Ob eine Datenerhebung zur Aufgabenerfüllung erforderlich ist, muss in jedem Einzelfall mit Blick auf die konkret zugewiesene Aufgabe beurteilt werden. Die Aufgabenzuweisung ergibt sich aus den einschlägigen Spezialregelungen, vor allem dem BayEUG, den Schulordnungen, dem Bayerischen Schulfinanzierungsgesetz , dem Bayerischen Beamtengesetz, dem Beamtenstatusgesetz, etc. In den Rechtsvorschriften müssen die zur Erhebung zulässigen Daten nicht einzeln aufgeführt sein. Dies darf jedoch nicht dazu führen, dass wahllos Daten erho ben werden, die an der Schule vielleicht irgendwann einmal zur Erfüllung ihrer Aufgaben benötigt werden könnten – das wäre eine unzulässige Datensammlung auf Vorrat. Die Schulen haben vielmehr bei jedem Datum konkret zu prüfen, auf Grundlage welcher Rechtsvorschrift im Einzelnen seine Erhebung zulässig ist und ob seine Erhebung für die Erfüllung der Aufgabe der Schule schon jetzt tatsächlich erforderlich ist. Bei der Erhebung von Daten durch die Schulen ist der Betroffene auf die Rechtsvorschrift hinzuweisen, die ihn zu den geforderten Angaben verpflichtet (in der Regel Art. 85 Abs. 1 BayEUG). Der Hinweis ist, wenn möglich, schriftlich zu geben; erfolgt er zusammen mit anderen Erklärungen, so ist er deutlich hervorzuheben . Aus Gründen der Aufsichtspflicht ist es zulässig, bei Internetzugriffen im Unterricht oder bei Internetzugriffen außerhalb des Unterrichts zu unterrichtlichen/ dienstlichen Zwecken automatisierte personenbezogene Protokolldateien zu führen. Die Schülerinnen und Schüler, Lehrkräfte und Verwaltungsangestellten sind in geeigneter Weise auf die Protokollierung hinzuweisen , etwa durch einen entsprechenden Passus in einer Nutzungsordnung bzw. im Rahmen einer Belehrung, dass außerdienstliche bzw. nicht schulisch veranlasste Internetzugriffe am Verwaltungsrechner unzulässig sind. Daneben sind die Maßgaben des Personalvertretungsrechts – insbesondere Art. 75a BayPVG – zu beachten. Lehrkräften und Verwaltungsangestellten kann – z. B. im Rahmen einer entsprechenden Dienstvereinbarung , die jeweils vor Ort abzuschließen wäre – ausnahmsweise eine außerdienstliche Internetnutzung gestattet werden. Siehe hierzu – insbesondere zum Einwilligungserfordernis in die Protokollierung bei privater Internetnutzung – ausführlich die Rechtlichen Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schulen (Bekanntmachung des Staatsministeriums für Unterricht und Kultus). Für die Erhebung von Daten zum Zwecke einer Verarbeitung außerhalb der Schule (Erhebungen einschließlich Umfragen und wissenschaftliche Untersuchungen) sind in den Schulordnungen Regelungen getroffen. 4.2 Zulässigkeit der Datenverarbeitung und -nutzung Nach Art. 85 Abs. 1 Satz 1 BayEUG ist die Verarbeitung und Nutzung von Daten, die zur Erfüllung der den Schulen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlich sind, zulässig. Es ist also auch hier der Erforderlichkeitsgrundsatz zu beachten (vgl. Nr. 4.1). Weitere Vorschriften, die eine Datenverarbeitung erlauben, sind z. B. Art. 85a und Art. 113a BayEUG. Der für die automatisierte Verarbeitung und Nutzung von Schülerdaten, Kollegiatendaten, Lehrerdaten, Bibliotheks(ausleihe-)daten sowie die automatisierte Erstellung von Stundenplänen und Vertretungsplänen jeweils zulässige Datenrahmen ist in den Anlagen der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG beschrieben. Betreffend das Amtliche Schulverwaltungsprogramm ASV ist der zulässige Datenrahmen in der landesweiten datenschutzrechtlichen Freigabe festgelegt. Hinsichtlich des Datenrahmens EDV-mäßig geführter Lehrerdaten, der in einem solchen Verfahren zulässigen Auswertungen, der zugriffsberechtigten Personen etc. hat das Bayerische Staatsministerium für Unterricht und Kultus mit dem Hauptpersonalrat des staatlichen Lehrpersonals die „Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV“ geschlossen. Bei der Übermittlung von Daten sind folgende Fälle zu unterscheiden: a) Datenübermittlung zur Erfüllung der den Schulen durch Rechtsvorschriften jeweils zugewiesenen Aufgaben: nach Art. 85 Abs. 1 Satz 1 BayEUG im Rahmen des Erforderlichen zulässig. Unter dieser Voraussetzung ist es beispielsweise zulässig, KWMBl Nr. 3/2013 31 – aus der Lehrerdatei ein Sprechstundenverzeichnis für die Eltern zu erstellen, – den Eltern einer Schülerin bzw. eines Schülers der Schule die Telefonnummer eines Mitglieds des Elternbeirats mitzuteilen, – die jeweiligen Ausbildungsbetriebe über bedeutsame Angelegenheiten, welche die Ausbildung der Berufsschülerin oder des Berufsschülers betreffen, zu unterrichten (vgl. Art. 59 Abs. 3 BayEUG in Verbindung mit § 21 Abs. 1 Satz 2 BSO). b) Weitergabe von Daten und Unterlagen über Schülerinnen und Schüler und Erziehungsberechtigte an außerschulische Stellen: nur bei Nachweis eines rechtlichen Anspruchs auf die Herausgabe dieser Daten nach Art. 85 Abs. 2 BayEUG zulässig. Diese Regelung gilt nicht nur für die Übermittlung von Daten, sondern auch für die Übermittlung von Unterlagen. Unter dieser Voraussetzung ist es beispielsweise zulässig, Auskünfte über Lehrkräfte und Schülerinnen bzw. Schüler an Strafverfolgungsbehörden (Staatsanwaltschaft, Polizei) weiterzugeben. Nicht zulässig ist es dagegen beispielsweise, – Schüler- oder Lehrerdaten zu Werbezwecken weiterzugeben (Nimmt eine Schule aus pädagogischen Gründen an einem Wettbewerb einer nichtstaatlichen Stelle teil, so ist bei minderjährigen Schülerinnen und Schülern die – in der Regel schriftliche – Einwilligung der Erziehungsberechtigten erforderlich, ab Vollendung des 14. Lebensjahres zusätzlich auch die schriftliche Einwilligung der Schülerinnen und Schüler selbst. Der Einwilligung muss eine angemessene Information über die Teilnahmebedingungen vorausgehen. Vor der Weitergabe von Adressdaten zur Benachrichtigung der Sieger oder zur Verleihung der Preise muss vom Wettbewerbsveranstalter eine Erklärung abgegeben werden, dass die Daten nicht zu Werbezwecken verwendet werden und nur für die Dauer des Wettbewerbs gespeichert und dann gelöscht werden.), – Lehrerdaten ohne Zustimmung der Betroffenen zur Erstellung eines Lehrerhandbuchs weiterzugeben , – Daten über Fehltage der Schülerinnen und Schüler ohne Zustimmung der Erziehungsberechtigten bzw. volljährigen Schülerinnen und Schüler an eine (kommunale) Beratungsstelle weiterzugeben , – Adressen der Erziehungsberechtigten ohne Zustimmung der Betroffenen an Elternverbände weiterzugeben, – Jahresberichte an außerschulische Interessenten zu übersenden, insbesondere wenn erkennbar ist, dass diese auf Gewinnung von schülerbezogenen Daten abzielen (aus diesem Grunde ist es auch nicht erlaubt, Schüler- oder Lehrerlisten des Jahresberichts ins Internet einzustellen), – Schüler-, v. a. Abiturientennamen ohne Einwilligung der Betroffenen ins Internet einzustellen oder zur Veröffentlichung in einer Zeitung zur Verfügung zu stellen (Muster zur Einholung der Einwilligungserklärungen finden sich in der Anlage zu dieser Bekanntmachung), – Daten von Lehrkräften (z. B. Name, dienstliche Kommunikationsdaten, Sprechzeiten), die an der Schule keine Funktion mit Außenwirkung wahrnehmen , ohne deren Einwilligung auf den Internetseiten der Schule zu veröffentlichen (Muster zur Einholung der Einwilligungserklärungen finden sich in der Anlage zu dieser Bekanntmachung ). Welche Lehrkräfte an der Schule eine Funktion mit Außenwirkung wahrnehmen, wird unter Buchst. e erläutert. Wenn Daten von öffentlichen Stellen angefordert werden, ist die Schule dafür verantwortlich, dass für die Datenübermittlung im konkreten Einzelfall eine hinreichende rechtliche Grundlage besteht. Sie hat daher zu prüfen, ob die angeforderten Daten ihrer Art nach generell zur Erfüllung der Aufgabe der anfordernden öffentlichen Stelle geeignet sind; schutzwürdige Belange des Betrof fenen sind dabei zu beachten. Ob die Daten im Einzelnen zur rechtmäßigen Erfüllung der Aufgaben der anfordernden öffentlichen Stelle erforderlich sind, ist eigenverantwortlich von der anfordernden Stelle zu beurteilen. c) Datenübermittlung an Schulaufsichtsbehörden zur Erfüllung der dortigen Aufgaben: nach Art. 85 Abs. 1 Satz 1 bzw. Satz 5 Nr. 3 und Art. 113 Abs. 1 Satz 1 BayEUG zulässig. d) Herausgabe eines Jahresberichts für die Schülerinnen und Schüler und Erziehungsberechtigten der Schule: nach Art. 85 Abs. 3 BayEUG zulässig, sofern nur die dort aufgeführten personenbezogenen Daten enthalten sind. Soweit in den Jahresbericht personenbezogene Daten aufgenommen werden sollen, die nicht in Art. 85 Abs. 3 BayEUG aufgeführt sind (insbesondere Klassenfotos), ist eine Einwilligung der Betroffenen hierzu erforderlich (Mustereinwilligungserklärungen siehe Anlage zu dieser Bekanntmachung). In Anbetracht der Wertung des Gesetzgebers, in Art. 85 Abs. 3 BayEUG eine grundsätzlich abschließende Regelung vorzunehmen, sollten – über Klassenfotos hinaus – Einwilligungen nur äußerst zurückhaltend eingeholt werden. Insbesondere sollten Wohnadressen nicht in den Jahresbericht aufgenommen werden. e) Öffentlichkeitsarbeit der Schule (Art. 57 Abs. 3 BayEUG): Bei Veröffentlichungen der Schule (insbesondere in Form einer Homepage im Internet) ist zu beachten, dass im Hinblick auf die enge lokale Begrenzung des Aufgaben- und Wirkungsbereichs von Schulen das Persönlichkeitsrecht der Schülerinnen und Schüler, Eltern, Lehrkräfte und des sonstigen Schulpersonals Vorrang vor dem Informationsinteresse einer breiteren Öffentlichkeit hat. Auch die Tatsache, dass es Berufsschulen mit zum Teil bundesweiten Schulsprengeln gibt, vermag hieran nur wenig zu ändern. Für den Internetauftritt von Schulen ist Anlage 9 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG zu beachten. Vor der Einstellung personenbezogener Daten (dazu gehören z. B. auch Fotos) ins Internet (z. B. Sieger von Mal-, Sport-, Musikwettbewerben, Lehrer- und KWMBl Nr. 3/201332 Schüler-Interviews, Mitglieder einer Internet-AG, Abiturienten der letzten 20 Jahre etc.) ist daher die Einwilligung der Betroffenen einzuholen (Muster zur Einholung der Einwilligungserklärungen finden sich in der Anlage zu dieser Bekanntmachung). Die Schule ist dafür verantwortlich, dass für jeden Betroffenen eine hinreichende Einwilligungserklärung vorliegt; ggf. bereits auf der Schulhomepage ohne hinreichende Einwilligung eingestellte Daten sind zu löschen. Die vorgenannten Einwilligungsmuster umfassen keine Ton-, Video- und Filmaufnahmen . Wegen des weit größeren Eingriffs in das Recht auf informationelle Selbstbestimmung ist in diesen Fällen eine zusätzliche schriftliche Einwilligung einzuholen, die sich auf den konkreten Fall beziehen muss. Es wird darauf hingewiesen, dass nur in begründeten Ausnahmefällen derartige zusätzliche Einwilligungen eingeholt werden dürfen . Klassenweise oder klassenübergreifende Schülerlisten sowie Lehrerlisten des Jahresberichts dürfen nicht ins Internet eingestellt werden. Eine Einwilligung ist nicht erforderlich zur Veröffentlichung der dienstlichen Kommunikationsdaten (Name, Namensbestandteile, Vorname(n), Funk tion, Amtsbezeichnung, Lehrbefähigung, dienstliche Telefonnummer, dienstliche E-MailAdresse ) der Schulleitung und der Lehrkräfte, die an der Schule eine Funktion mit Außenwirkung wahrnehmen. Im schulischen Bereich ist von einer Funktion mit Außenwirkung neben der Schulleitung auch bei der stellvertretenden Schulleitung sowie (im beruflichen Schulbereich) bei Betreuern für die fachpraktische Ausbildung außerhalb der Schule und den Außenkoordinatoren auszugehen. Fachbetreuer wirken dagegen eher „nach innen“ und werden von Schulexternen allgemein nicht als Vertreter der Schule wahrgenommen. Personenbezogene Vertretungspläne und Sprechstundenverzeichnisse dürfen nach dem o. G. ohne schriftliche Zustimmung aller betroffenen Lehrkräfte nicht auf der Schulhomepage veröffentlicht werden. Da die Zustimmung in jedem Einzelfall eingeholt werden müsste und dies in der Praxis kaum realisierbar ist, ist auf eine personenbezogene Veröffentlichung der Vertretungspläne und Sprechstundenverzeichnisse auf der Internetseite der Schule zu verzichten. Indem für Vertretungsfälle lediglich der geänderte Zeitpunkt des Unterrichtsbeginns bzw. des Unterrichtsendes bzw. die Änderung des Unterrichtsfachs im Internet mitgeteilt wird, kann eine ausreichende Information auch in nicht-personenbezogener Weise erfolgen. In diesem Fall ist keine Zustimmung der betroffenen Lehrkräfte notwendig. f) Schulinterner passwortgeschützter Bereich: Dabei handelt es sich um einen Bereich (meistens der Schulhomepage), der über ein Passwort nur einem begrenzten Benutzerkreis (Schulleitung, Lehrkräfte , Verwaltungspersonal, Erziehungsberechtigte , Schülerinnen und Schüler der jeweiligen Schule) offen steht. Das o. g. Einwilligungserfordernis der Betroffenen vor Veröffentlichung ihrer personenbezogenen Daten auf der Schulhomepage entfällt bei Einstellung personenbezogener Daten in einen passwortgeschützten Bereich nur unter bestimmten Voraussetzungen – und zwar dann, wenn es gerade darauf beruht, dass die personenbezogenen Daten weltweit im Internet veröffentlicht werden und damit eine Datenübermittlung an die Allgemeinheit vorliegt . In Anlage 11 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG ist ein schulinterner passwortgeschützter Bereich geregelt: Danach kann neben der Schulleitung, den Lehrkräften und dem Verwaltungspersonal im Sekretariat auch den Schülerinnen und Schülern der jeweiligen Schule sowie deren Erziehungsberechtigten z. B. Einblick in den Vertretungsplan für den Aushang sowie in Sprechzeiten der einzelnen, namentlich genannten Lehrkräfte gegeben sowie den Schülerinnen und Schülern und deren Erziehungsberechtigten die Möglichkeit eingeräumt werden, Lehrersprechzeiten zu buchen bzw. eigene Buchungen zu stornieren . Nur soweit Schulen den Rahmen der Anlage 11 überschreiten, muss vorab eine datenschutzrechtliche Freigabe durch den örtlich zuständigen Datenschutzbeauftragten erfolgen. Dabei sind auch die Vorgaben der Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV in der jeweils aktuellen Fassung zu beachten (hier insbesondere § 1 Abs. 2 und Anlage 4). Aus technischer und organisatorischer Datenschutzsicht sind die Inhalte eines geschützten Bereichs bei der Übertragung durch geeignete Verschlüsselung zu sichern (https). Der Zugriff ist durch ein Passwort zu schützen, das mindestens zu Beginn jedes Schuljahres zu wechseln und auf geeignete Weise sicher den Zugriffsberechtigten mitzuteilen ist. Die Art der betroffenen Daten kann es erlauben, ausnahmsweise von der Forderung nach einem individuellen Login/Passwort pro Benutzer, das auch nur diesem Benutzer bekannt ist, abzuweichen. Sollte es bei dieser Vorgehensweise zu Sicherheitsproblemen kommen (z. B. Bekanntwerden des Passworts für eine Vielzahl von Nichtberechtigten, etwa durch unerlaubte Publizierung im Internet), so ist das Passwort unverzüglich zu wechseln. Sollte es auch dann erneut zu Problemen kommen, sind allerdings individuelle Passwörter für die einzelnen Benutzer unumgänglich. Siehe zum passwortgeschützten Bereich auch den 24. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, Nr. 10.2.4, S. 164 (einsehbar über die Web-Seite des Landesbeauftragten für den Datenschutz unter dem Pfad www.datenschutz-bayern.de in der Rubrik „Tätigkeitsberichte“). g) Vom Einsatz bzw. Weiterbetrieb von Verfahren, bei denen personenbezogene Daten auf einem Server außerhalb der Europäischen Union oder eines ande ren Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum gespeichert werden, wird mit Blick auf die Vorgaben des Art. 21 Abs. 2 und 3 BayDSG dringend abgeraten. Bei Datenspeicherung auf einem außereuropäischen Server gelten die hohen Standards der Europäischen Datenschutzrichtlinie nicht und eine Überprüfung der Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherung dürfte sich zudem sehr schwierig gestalten. KWMBl Nr. 3/2013 33 h) Nach Art. 85 Abs. 1 Satz 1 BayEUG ist die Nutzung von Daten, die zur Erfüllung der den Schulen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlich sind, zulässig. Es ist also auch hier der Erforderlichkeitsgrundsatz zu beachten (vgl. Nr. 4.1). Unter diesen Voraussetzungen ist es beispielsweise zulässig, – dass Lehrkräfte an den Klassenleiter Noten zur Zeugniserstellung weitergeben, – eine Lehrerliste mit Namen, Fächern, Funktionen und unterrichteten Klassen an das Kollegium zu verteilen (weitere Daten wie Anschrift, Telefonnummer oder Geburtsdatum erfordern dagegen die Einwilligung der betroffenen Lehrkräfte), – Daten gemäß Art. 85a Abs. 2 BayEUG zur Unterstützung der Schulanmeldung, des Schulwechsels , der Kooperation von Schulen und zur Überwachung der Schulpflicht an die gemäß Art. 85a Abs. 1 Satz 1 BayEUG beauftragte Stelle weiterzugeben. Unter dieser Voraussetzung kann es auch zulässig sein, – dass Daten an den Elternbeirat, an Klassenel- ternsprecher oder die Mitverantwortlichen in der Berufserziehung der Schülerinnen und Schüler weitergegeben werden, beispielsweise also dem Elternbeirat der eigenen Schule Adressdaten der Erziehungsberechtigten überlassen werden. Auch das vertrauensvolle Zusammenwirken zwischen Schule und Erziehungsberechtigten (Aussprachen , Beratungen) wird unter dieser Voraussetzung durch das Datenschutzrecht nicht eingeschränkt. 4.3 Datenverarbeitung auf privaten Rechnern der Lehrkräfte Der Einsatz privater Rechner in der Verwaltung zur Erledigung dienstlicher Aufgaben ist im Allgemeinen nicht zulässig und unter Datensicherheitsgesichtspunkten riskant. Er ist nur in Ausnahmefällen zugelassen . Der Einsatz privater Rechner von Lehrkräften ist wegen der Besonderheit der Aufgabenwahrnehmung als ein solcher Ausnahmefall anzusehen. Die Schule ist hierbei speichernde Stelle im Sinne des Art. 4 Abs. 9 BayDSG. Folgende Richtlinien sind zu beachten: – Es dürfen lediglich Daten jener Schülerinnen und Schüler verarbeitet werden, die die bearbeitende Lehrkraft selbst unterrichtet bzw. deren Klassleiter sie ist. – Art und Umfang der Daten, die nicht überschritten werden dürfen, sind in Anlage 6 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG beschrieben. – Die Schülerdaten dürfen Dritten nicht zugänglich gemacht werden. Eine Datenübermittlung an Dritte ist nicht zugelassen. Selbstverständlich finden auch in diesem Rahmen die Regelungen zum Datengeheimnis bzw. zur Verschwiegenheitspflicht von Beamtinnen und Beamten nach § 37 BeamtStG oder von Arbeitnehmerinnen und Arbeitnehmern nach § 3 Abs. 2 TV-L Anwendung. – Die Daten sind passwortgeschützt abzuspeichern. Zudem sind Sicherungsmaßnahmen zu ergreifen, um den Zugriff auf die Daten über das Internet zu verhindern (aktivierte Firewall, Betriebssystem und sicherheitsrelevante Software – z. B. Flash-Player, PDF-Reader oder Webanwendungen – mit den jeweils aktuellen Sicherheitsupdates sowie Antiviren -Programm mit stets aktuellen Antivirensignaturen ). – Die Daten dürfen nur für die Dauer des laufenden Schuljahres bzw. für den jeweiligen Zeugnistermin maschinell gespeichert werden und sind dann zu löschen (vgl. Nr. 5.3). – Es ist geeignete Vorsorge zu treffen, dass alle gespeicherten Daten beim Ausfall des Rechners trotzdem jederzeit zur Verfügung stehen. 4.4 Fernzugriff von Lehrkräften auf Dienste an Servern innerhalb der Schule Fernzugriffe auf Dienste an Servern innerhalb der Schule (insbes. Terminal-Server-Systeme) ermöglichen den Lehrkräften die Arbeit am Heimarbeitsplatz, ohne dortige Speicherung personenbezogener Daten. Diesem Vorteil gegenüber steht die Bedrohung, die mit der Öffnung von Diensten der Schule zum Internet hin einhergeht und besondere, aufeinander abgestimmte Sicherheitsmaßnahmen erfordert: Die Möglichkeit des Zugriffs von außen ist daher durch technische Vorkehrungen auf wenige, unbedingt benötigte Dienste an explizit dafür vorgesehenen Servern einzuschränken. Ebenso sind die auf diesen Servern gespeicherten personenbezogenen Daten sowie die Verbindungen dieser Server zu weiteren Rechnern der Schule auf das unbedingt Notwendige zu beschränken. Eine der Sensibilität der auf den von außen zugänglichen Servern gespeicherten Daten angemessen sichere Authentifizierung sowie eine entsprechend sichere Verschlüsselung der übermittelten Daten ist vorzu sehen. Zugriffe von außen auf Server der Schule sind in geeigneter Weise zu protokollieren, um unberechtigte Zugriffsversuche erkennen zu können. Die Protokolle dürfen nur für maximal acht Unterrichtswochen aufbewahrt (vgl. Nr. 5.3) und nur zu dem Zweck, unberechtigte Zugriffsversuche zu erkennen, ausgewertet werden. Auf Grund der Komplexität der notwendigen Sicherheitsmaßnahmen wird die Beauftragung entsprechend spezialisierten Fachpersonals empfohlen. 4.5 Datenverarbeitung im Auftrag (insbesondere webbasierte Verfahren), Wartung der Datenverarbeitungsanlage (insbesondere zu Art. 6 BayDSG) a) Auftragsdatenverarbeitung (Allgemeines): Eine Auftragsdatenverarbeitung liegt vor, wenn personenbezogene Daten durch andere Stellen im Auftrag erhoben, verarbeitet oder genutzt werden (Art. 6 Abs. 1 Satz 1 BayDSG). Das ist z. B. dann der Fall, wenn Daten auf dem Server eines privaten Anbieters verarbeitet werden oder wenn bei einer größeren Kommune personenbezogene Daten einer staatlichen Schule nicht auf einem Server an der Schule, sondern auf einem Server der Kommune verarbeitet werden. Die Schule muss den Auftragnehmer sorgfältig auswählen (es ist insbesondere darauf zu achten, dass der Auftragnehmer die notwendigen Maßnahmen gemäß Art. 7 Abs. 2 KWMBl Nr. 3/201334 BayDSG getroffen hat) und mit dem Auftragnehmer schriftlich eine Auftragsdatenverarbeitungsvereinbarung abschließen, die den Vorgaben des Art. 6 BayDSG genügt. Dabei sollte das Muster auf der Homepage des Bayerischen Landesbeauftragten für den Datenschutz (www.datenschutz-bayern.de) in der Rubrik „Veröffentlichungen“ unter „Mustervordrucke “ herangezogen werden. Der für die Schule zuständige Datenschutzbeauftragte ist vor Abschluss der Auftragsdatenverarbeitungsvereinbarung einzubinden. Der Auftragnehmer erhält keine Entscheidungsbefugnis bezüglich der Daten und wird weder „Herr der Daten“ noch verantwortliche bzw. speichernde Stelle. Er darf die erhaltenen Daten nicht zu eigenen Zwecken nutzen und muss sich strikt an die schriftlichen Weisungen des Auftraggebers halten (Art. 6 Abs. 3 BayDSG). Der Auftragnehmer wird lediglich zum „verlängerten Arm“ des Auftraggebers. Nach Art. 6 Abs. 2 Satz 3 BayDSG hat sich der Auftraggeber soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen. Mit Blick darauf, dass den Schulen das entsprechende technische Knowhow meist fehlen dürfte, um eine solche Prüfung vornehmen zu können, empfiehlt es sich, vom privaten Anbieter regelmäßig den Nachweis der Einhaltung der vom Bundesamt für Sicherheit in der Informationstechnik veröffentlichten Standards (IT- Grundschutz des BSI) zu verlangen – beispielsweise durch Vorlage einer ISO 27001 Zertifizierung nach IT-Grundschutz des BSI oder durch eine sicherheitstechnische Überprüfung (beispielsweise Penetrationstest bei Webanwendungen ) durch einen qualifizierten Dienstleister, der über ausreichend Erfahrung bei der Überprüfung von Anwendungen auf aktuelle Schwachstellenklassen verfügt. Soweit bereits jetzt Verfahren zum Einsatz kommen, bei denen Daten auf dem Server eines privaten Anbieters verarbeitet werden, eine Überprüfung der Verfahrenssicherheit aber noch nicht vorliegt, ist dies baldmöglichst nachzuholen . Falls keine Überprüfung erfolgen kann, ist von der Nutzung des Verfahrens abzusehen und die Auftragsdatenverarbeitungsvereinbarung zum nächstmöglichen Zeitpunkt zu kündigen. Da die Auftragsdatenverarbeitungsvereinbarung bei kostenpflichtigen Angeboten in der Regel Teil des Vertrags mit dem Anbieter des Verfahrens sein dürfte, ist der Schulaufwandsträger bei Abschluss bzw. Kündigung einer kostenpflichtigen Vereinbarung ggf. einzubinden. Die sicherheitstechnische Überprüfung des Verfahrens und die Einbindung des örtlich zuständigen Datenschutzbeauftragten entbinden die Schulleitung nicht von ihrer datenschutzrechtlichen Verantwortung , d. h. die datenschutzrechtlichen Vorgaben sind auch in diesem Fall von der Schule zu beachten (insbesondere der Aspekt der Erforderlichkeit der Datenerhebung, -verarbeitung und -nutzung für die Aufgabenerfüllung). b) Ausstellen von Schülerausweisen durch private Dienstleister und weitere Beispiele für Auftragsdatenverarbeitung im schulischen Bereich: Gemäß der Bekanntmachung des Bayerischen Staats ministeriums für Unterricht und Kultus vom 27. August 1996 (KWMBl I S. 339) können sich staatliche Schulen bei der Ausstellung von Schülerausweisen eines privaten Dienstleisters (z. B. einer Fotofirma) bedienen. Die dabei einzuhaltenden Datenschutzmaßnahmen sind in der genannten Bekanntmachung detailliert aufgeführt. Auch bei der Ausstellung von Mensaausweisen durch private Dienstleister und beim Einsatz von personenbezogenen Smartcards zur Anmeldung an Schulrechnern, die durch den Schulaufwandsträger ausgestellt werden, handelt es sich um einen Fall der Auftragsdatenverarbeitung – es gelten die unter Buchst. a beschriebenen Vorgaben. c) Wartung von Datenverarbeitungsanlagen vor Ort: Wird die Installation, Prüfung oder Wartung der Datenverarbeitungsanlage der Schule durch eine andere Stelle vorgenommen (beispielsweise einen Techniker des Schulaufwandsträgers oder eine Firma), so soll diese möglichst nicht auf personenbezogene Daten zugreifen können. Dies ist etwa dadurch realisierbar, dass die Programme zur Verarbeitung personenbezogener Daten während der Arbeiten an der Datenverarbeitungsanlage nicht laufen und vom Wartungspersonal nicht gestartet werden können. In diesem Fall handelt es sich nicht um eine Datenverarbeitung im Auftrag, eine Auftragsdatenverarbeitungsvereinbarung muss nicht abgeschlossen werden. Kann der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden oder ist dieser im Rahmen der Arbeiten erforderlich (wenn beispielsweise ein Fehler beseitigt werden muss, der speziell auch die Schulverwaltungsprogramme betrifft oder geprüft werden soll, ob nach Ausführung der Arbeiten auch die Schulverwaltungsprogramme wieder lauffähig sind), gelten die Vorschriften über die Auftragsdatenverarbeitung in Art. 6 Abs. 1 bis 3 BayDSG entsprechend. Insbesondere ist gemäß Art. 6 Abs. 4 Satz 1 in Verbindung mit Art. 6 Abs. 2 Satz 2 BayDSG eine schriftliche Auftragdatenverarbeitungsvereinbarung abzuschließen. Einem etwaigen Datenmissbrauch ist durch geeignete technische und organisatorische Maßnahmen gemäß Art. 7 BayDSG vorzubeugen (z. B. Anwesenheit eines sachkundigen Beauftragten der Schulleitung während der Wartungsarbeiten, Unterbinden der Mitnahme von Datenträgern nach außerhalb der Schule). Soweit eine Kenntnisnahme personenbezogener Daten durch das Wartungspersonal nicht ausgeschlossen werden kann, ist eine Verpflichtung nach dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen (Verpflichtungsgesetz) vom 2. März 1974 vorzunehmen. Siehe zu den notwendigen technischen und organisatorischen Maßnahmen bei Wartung oder Fernwartung Abschnitt 17.1.9 des 20. Tätigkeitsberichts des Landesbeauftragten für den Datenschutz und weitere Hinweise auf der Homepage des Landesbeauftragten für den Datenschutz unter der Rubrik Auftragsdatenverarbeitung (a. a. O.). d) Fernwartung von Datenverarbeitungsanlagen: Auch im Falle einer Fernwartung gelten die Vorschriften über die Auftragsdatenverarbeitung in Art. 6 Abs. 1 bis 3 BayDSG entsprechend. Insbeson- KWMBl Nr. 3/2013 35 dere ist gemäß Art. 6 Abs. 4 Satz 1 in Verbindung mit Art. 6 Abs. 2 Satz 2 BayDSG eine schriftliche Auftragdatenverarbeitungsvereinbarung abzuschließen . Einem etwaigen Datenmissbrauch ist durch geeignete technische und organisatorische Maßnahmen gemäß Art. 7 BayDSG vorzubeugen. Da eine Fernwartung mit größeren Gefahren für die Datensicherheit als eine Wartung vor Ort verbunden ist, sollte davon nur ausnahmsweise Gebrauch gemacht werden. Bei der Fernwartung von Datenverarbeitungsanlagen muss durch technische Maßnahmen sichergestellt werden, dass ein Zugriff von außen auf das System nur dann möglich ist, wenn er zuvor von einem speziell dafür berechtigten Mitarbeiter der Schule freigeschaltet wurde. Nach Abschluss der Arbeiten ist dieser Zugang wieder zu sperren. Zudem ist sicherzustellen, dass nur eine berechtigte Person Zugriff zur Fernwartung erhält. Eine Verpflichtung der beauftragten Person nach dem Verpflichtungsgesetz (siehe Buchst. c) ist unabdingbar . Manche Dienste zur Fernwartung von Systemen setzen die Umleitung von Daten über den Server einer Drittfirma voraus. In diesem Fall sind die in Art. 6 und 7 BayDSG genannten Voraussetzungen auch von der Drittfirma zu erfüllen. Die Beauftragung der Drittfirma ist in der Auftragsdatenverarbeitungsvereinbarung darzustellen. e) Unterstützung der Nutzer bei der Bedienung von Programmsystemen durch Fernzugriff (Re mote Management/Control/Support-Programme): Auch in diesem Fall gelten die Vorschriften über die Auftragsdatenverarbeitung in Art. 6 Abs. 1 bis 3 BayDSG entsprechend. Insbesondere ist gemäß Art. 6 Abs. 4 Satz 1 in Verbindung mit Art. 6 Abs. 2 Satz 2 BayDSG eine schriftliche Auftragdatenverarbeitungsvereinbarung abzuschließen. Remote Management Programme – auch als Remote Control Programme oder Remote Support Programme bezeichnet – ermöglichen einem Systemadministrator , von seinem Arbeitsplatz aus Zugriff auf andere im Netzwerk angeschlossene Computer zu nehmen. Von dieser Möglichkeit sollte wegen der Gefahr des Missbrauchs des Fernzugriffs nur ausnahmsweise Gebrauch gemacht werden. Das System zum Fernzugriff muss insbesondere so beschaffen sein, dass – der Zugriff auf personenbezogene Daten auf das unbedingt Notwendige beschränkt ist; – bei einem Fernzugriff von oder nach außerhalb des Netzwerkes personenbezogene Daten nur verschlüsselt übertragen werden; – der Zugriff nur nach expliziter Freischaltung durch den Nutzer möglich ist; – der Zugriff auf die Dauer der Unterstützungsleistung begrenzt ist; – jede Aktion des Helfenden für den Nutzer sichtbar ist; – – sollte der Verdacht bestehen, dass der Zugriff auf Daten erfolgt, die offenkundig nicht für den Wartungsfall erforderlich sind – der PC-Nutzer die Möglichkeit haben muss, die Verbindung abzubrechen. Eine Aufzeichnung der Hilfssitzung ist nur mit Einverständnis aller Beteiligten zulässig. Neben den datenschutzrechtlichen Vorgaben sind ggf. personalvertretungsrechtliche Vorschriften zu beachten. 4.6 An Schulen häufig auftretende Datenschutzfragen a) Videoüberwachung: Es gibt zwei Formen der Videoüberwachung: die Videobeobachtung, bei der keine Speicherung erfolgt, und die Videoaufzeichnung , bei der eine Speicherung der Aufnahme in digitaler oder analoger Form erfolgt. Allgemeine Voraussetzungen der Videoüber wachung Vor der Installation einer Videoüberwachungsanlage sind sowohl bei der Videobeobachtung als auch bei der Videoaufzeichnung folgende Voraussetzungen zu beachten: – Verhältnismäßigkeit Die Videoüberwachung muss im konkreten Fall zum Schutz von Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich der Schule oder in deren unmittelbarer Nähe aufhalten , oder zum Schutz der schulischen Einrichtung oder der unmittelbar in ihrer Nähe befindlichen Sachen erforderlich sein (vgl. Art. 21a Abs. 1 Satz 1 BayDSG). Davon ist in der Regel nur auszugehen , wenn bereits in der Vergangenheit Vorfälle (z. B. Vandalismus, Einbrüche) aufgetreten sind, die eine Videoüberwachung rechtfertigen können; insoweit ist im Vorfeld der Entscheidung über die Einrichtung einer Videoüberwachungsanlage eine Vorfalldokumentation anzufertigen. Es dürfen zudem keine Anhaltspunkte dafür bestehen , dass überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt werden. – Transparenz Die Videoüberwachung und die erhebende Stelle sind zudem durch geeignete Maßnahmen erkennbar zu machen (Art. 21a Abs. 2 BayDSG). In der Regel müssen Hinweisschilder angebracht werden. Freigabeerfordernis Videoaufzeichnungen sind vor dem erstmaligen Einsatz freizugeben (Art. 21a Abs. 6 Satz 1 in Verbindung mit Art. 26 bis 28 BayDSG). Bloße Videobeobachtungen sowie die Installation von Kameraattrappen unterliegen nicht dem Freigabeerfordernis gemäß Art. 26 BayDSG (vgl. Art. 21a Abs. 1 in Verbindung mit Abs. 6 Satz 1 BayDSG). Videoaufzeichnungen an Schulen sind in dem in Anlage 8 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG genannten Umfang allgemein für alle staatlichen Schulen freigegeben, sofern die o. g. allgemeinen Voraussetzungen der Videoüberwachung vorliegen. Soll eine über den Rahmen der Anlage 8 der genannten Durchführungsverordnung hinausgehende Videoaufzeichnung realisiert werden, muss ein datenschutzrechtliches Freigabeverfahren durch den örtlich zuständigen Datenschutzbeauftragten durchgeführt werden. Dabei sollte mit Blick auf den erheblichen KWMBl Nr. 3/201336 Eingriff in das Recht auf informationelle Selbstbestimmung die datenschutzrechtliche Freigabe einer über die Regelung in Anlage 8 der genannten Durchführungsverordnung hinausgehenden Videoaufzeichnung restriktiv gehandhabt werden. b) Erhebungen an Schulen: Häufig werden die Schulen direkt oder die Schulverwaltung gebeten, Befragungen von Schülerinnen und Schülern oder auch Eltern und Lehrkräften zu genehmigen. Die meisten Schulordnungen enthalten Regelungen betreffend Erhebungen an Schulen (vgl. z. B. § 25 VSO, § 4 Abs. 3 RSO, § 4 Abs. 3 GSO, § 4 Abs. 3 FOBOSO). In diesem Zusammenhang sind aus datenschutzrechtlicher Sicht folgende Fragen zu klären: – Handelt es sich um eine anonyme Erhebung (vgl. Art. 4 Abs. 8 BayDSG) oder kann anhand der abgefragten Daten ein Personenbezug hergestellt werden? In den meisten Fällen ist ein Personenbezug herstellbar . – Ist das Einverständnis der Betroffenen erforderlich und wenn ja, liegen wirksame Einwilligungserklärungen vor? Soweit es sich nicht um eine Erhebung handelt, an der eine Teilnahmepflicht besteht (Leistungsvergleich gemäß Art. 111 Abs. 4 BayEUG), ist vor der Befragung grundsätzlich eine schriftliche Einwilligungserklärung der Betroffenen einzuholen . Werden minderjährige Schülerinnen und Schüler befragt, ist die schriftliche Einwilligung der Erziehungsberechtigten erforderlich, ab der Vollendung des 14. Lebensjahres daneben auch die schriftliche Einwilligung der Schülerinnen und Schüler. Werden Daten über die Erziehungsberechtigten erhoben, ist deren Einwilligung auch insoweit einzuholen. Die Einwilligung ist nur wirksam, wenn die Betroffenen vorher in angemessener Weise über die Erhebung, deren Freiwilligkeit, das Fehlen von Nachteilen bei Nichtteilnahme und ihr Widerrufsrecht informiert wurden (vgl. Art. 15 Abs. 1 bis 4 und 7 BayDSG). Grundsätzlich ist davon auszugehen, dass im Rahmen des schulrechtlichen Genehmigungsverfahrens auch die Einhaltung der o. g. datenschutzrechtlichen Vorgaben geprüft wurde. In Zweifelsfällen sollte sich die Schulleitung an die die Erhebung durchführende Stelle wenden und sich das Genehmigungsschreiben vorlegen lassen. c) Evaluation an Schulen gemäß Art. 113c BayEUG: Zur Bewertung der Schul- und Unterrichtsqualität evaluieren sich die Schulen regelmäßig selbst (interne Evaluation) und evaluieren die Schulaufsichtsbehörden in angemessenen zeitlichen Abständen die staatlichen Schulen (externe Evaluation). Im Rahmen der Evaluation werden personenbezogene Daten erhoben, verarbeitet und genutzt (Art. 113c Abs. 3 Satz 1 BayEUG). Zu Einzelheiten siehe den Wortlaut des Art. 113c BayEUG. Aus datenschutzrechtlicher Sicht ist seitens der Schulen und Schulaufsichtsbehörden insbesondere Folgendes zu beachten: – Einschaltung privater Dritter Die Schulaufsichtsbehörde kann unter bestimmten Maßgaben private Dritte (z. B. Vertreter der Wirtschaft, Eltern) an der externen Evaluation beteiligen (Art. 113c Abs. 2 Satz 3 BayEUG). Eine Beteiligung privater Dritter an der internen Evaluation ist nicht möglich. – Verhältnismäßigkeit (Art. 113c Abs. 3 Satz 2 BayDSG) – Zweckbindung Die erhobenen Daten dürfen nur für den Zweck der Evaluation verarbeitet werden. Eine Verwertung für andere Zwecke ist unzulässig (Art. 113c Abs. 3 Satz 3 BayEUG). Insbesondere darf die Evaluation daher von Gesetzes wegen keine Auswirkungen auf die dienstliche Beurteilung von Lehrkräften haben. – Transparenz/Informationspflicht Die Betroffenen (das sind insbesondere die Schulleitung, die Lehrkräfte, die Schülerinnen und Schüler sowie die Erziehungsberechtigten) sind vor der Durchführung einer Evaluation über das Ziel des Vorhabens, die Art ihrer Beteiligung an der Untersuchung, die Verarbeitung und Nutzung ihrer Daten sowie über die zur Einsichtnahme in die personenbezogenen Daten Berechtigten schriftlich zu informieren (Art. 113c Abs. 3 Satz 4 BayEUG). – Anonymisierungspflicht (Art. 113c Abs. 3 Satz 5 BayEUG) – Veröffentlichung der Ergebnisse Entsprechend dem Zweck der Evaluation, nur Schulen, nicht aber konkrete Personen bewerten zu wollen, dürfen die Ergebnisse der Evaluation nur in einer Form veröffentlicht werden, die den Schluss auf bestimmte oder bestimmbare Perso nen nicht ermöglicht (Art. 113c Abs. 3 Satz 8 BayEUG). Soweit Ergebnisse nur Teile der Schule betreffen (z. B. einen bestimmten Fachbereich oder die Schulleitung) veröffentlicht werden sollen, ist darauf zu achten, dass die betroffene Personengruppe groß genug ist, damit ein Rückschluss auf eine bestimmte oder bestimmbare Person sicher ausgeschlossen ist. Davon ist in der Regel erst auszugehen, wenn die betroffene Gruppe mehr als drei Personen umfasst – im Einzelfall kann allerdings die Bildung einer größeren Gruppe geboten sein. – Löschungsfrist (Art. 113c Abs. 3 Satz 9 BayEUG). d) Einsatz eines digitalen Whiteboards im Unterricht : Der Einsatz digitaler Whiteboards im Unterricht (teils auch interaktives Whiteboard oder Smart Board bzw. Smartboard genannt), also einer elektronischen Tafel, die an einen Computer angeschlossen wird, ermöglicht es z. B., ein entwickeltes Tafelbild zu speichern und in einer späteren Unterrichtsstunde weiter zu verwenden oder den Schülerinnen und Schülern als Lernunterlagen zur Verfügung zu stellen . Die obigen Hinweise zur zulässigen Datener- KWMBl Nr. 3/2013 37 hebung, -verarbeitung und -nutzung gelten hierbei entsprechend. D. h. insbesondere: – Es sollten nur Dienstrechner zum Einsatz kommen (vgl. oben Nr. 4.3). – Auch wenn lediglich nicht personenbezogene Unterrichtsinhalte gespeichert werden, dürfte (über den Lerninhalt oder die Dateibezeichnung) meist ein Personenbezug zur jeweiligen Lehrkraft herstellbar sein. Damit liegen personenbezogene Daten vor. Ein direkter elektronischer Zugriff anderer Lehrkräfte, der Schulleitung, der Schülerinnen und Schüler oder deren Erziehungsberechtigten auf eine entsprechende Datei ist weder in der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG noch in der landesweiten Freigabe des Amtlichen Schulverwaltungsprogramms ASV vorgesehen und sollte auch vor Ort im Rahmen der datenschutzrechtlichen Freigabe durch den zuständigen Datenschutzbeauftragten mangels Erforderlichkeit nicht datenschutzrechtlich freigegeben werden. Ggf. kann die Datei mit dem Unterrichtsinhalt auf Anfrage der Vorgenannten von der Lehrkraft in elektronischer Form oder als Papierausdruck an diese weitergeleitet werden. – Bei einer Kombination eines Whiteboards mit einer passwortgeschützten Lernplattform sind die Maßgaben von Anlage 10 der genannten Durchführungsverordnung zu beachten. – Personalvertretungsrechtliche Vorschriften sind ggf. zu beachten. 5. Berichtigung, Löschung, Sperrung, Speicherungsdauer 5.1 Berichtigung (insbesondere zu Art. 11 BayDSG) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird bei personenbezogenen Daten in Akten festgestellt, dass sie unrichtig sind, oder wird ihre Richtigkeit vom Betroffenen bestritten, so ist dies in den Akten zu vermerken oder auf sonstige Weise festzuhal ten. Von der Berichtigung sind die Stellen zu verständigen, denen im Rahmen einer regelmäßigen Datenübermittlung die unrichtigen Daten übermittelt wurden, sofern dies zur Wahrnehmung schutzwürdiger Interessen des Betroffenen erforderlich ist. Bei einer nicht regelmäßigen Datenübermittlung liegt die Verständigung im pflichtgemäßen Ermessen der Schule. Kann der Betroffene nachweisen, dass über ihn gespeicherte Daten unrichtig sind und kann die Schule richtige Daten nicht ermitteln, so sind in automatisierten Verfahren die unrichtigen Daten zu löschen (vgl. Nr. 5.2). Bestreitet der Betroffene die Richtigkeit gespeicherter Daten und lässt sich weder die Richtigkeit noch die Unrichtigkeit feststellen, so sind die fraglichen Daten zu sperren (vgl. Nr. 5.2). Wird ein Antrag auf Berichtigung von der Schule ganz oder teilweise abgelehnt, so ist dem Betroffenen mit dem Ablehnungsbescheid eine Rechtsbehelfsbelehrung zu geben. Die Muster hierfür sind der Bekannt- machung des Bayerischen Staatsministeriums für Unterricht und Kultus zu Rechtsbehelfsbelehrungen bei Verwaltungsakten vom 31. Mai 2010 (KWMBl S. 175) zu entnehmen. 5.2 Löschung und Sperrung (insbesondere zu Art. 12 BayDSG) Personenbezogene Daten in Dateien sind zu löschen, wenn 1. ihre Speicherung unzulässig ist oder 2. ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist (Art. 12 Abs. 1 BayDSG). Personenbezogene Daten in Dateien sind zu sperren, wenn 1. ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit fest stellen lässt (Art. 12 Abs. 2 Nr. 1 BayDSG) Personenbezogene Daten in Akten sind zu sperren, wenn die speichernde Stelle im Einzelfall feststellt, dass ihre Speicherung unzulässig ist … oder ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zu ständigkeit liegenden Aufgaben nicht mehr erforderlich ist und ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden (Art. 12 Abs. 3 bis 5 BayDSG). Die Sperrung erfolgt durch einen entsprechenden Vermerk bei den betroffenen Daten. Sofern bei automatisierten Verfahren an Schulen ein solcher Vermerk aus technischen Gründen nicht möglich ist, sind die zu sperrenden Daten mit einem entsprechenden Vermerk in den Schülerakt bzw. Personalakt zu übertragen und anschließend im automatisierten Verfahren zu löschen. Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur mehr in den Ausnahmefällen übermittelt oder genützt werden, die in Art. 12 Abs. 6 BayDSG aufgeführt sind. 5.3 Speicherungsdauer (insbesondere zu Art. 12 Abs. 1 Nr. 2, Abs. 4 Satz 2 BayDSG) Die Dauer der Speicherung personenbezogener Daten ist im BayDSG mit Bestimmungen über das Sperren und Löschen personenbezogener Daten geregelt (vgl. Nr. 5.2). Personenbezogene Daten in Dateien sind demnach zu löschen, – wenn ihre Kenntnis für die speichernde Stelle zur Erfüllung der ihr in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. Im schulischen Bereich sind die o. g. Bestimmungen wie folgt konkretisiert: – in den Vorschriften der Schulordnungen betreffend die Schülerbögen bzw. die Schülerarbeiten, – in § 3 Abs. 6 der Lehrerdienstordnung (LDO) betreffend die Aufschreibungen der Lehrkräfte, – in Abschnitt 6 („Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung“) der Verfahrensbeschreibung des automatisierten Verfahrens Amtliches Schulverwaltungsprogramm ASV vom 13. Oktober 2011; die Verfahrensbeschreibung ist als Anlage 2 der Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV beigefügt, KWMBl Nr. 3/201338 – betreffend weiterer automatisierter Verfahren zur Verarbeitung personenbezogener Daten in den Anlagen der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG (dort jeweils unter Nr. 5 „Regelfristen für die Löschung oder die Prüfung der Löschung“). – Nicht in der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG oder in der landesweiten ASV-Freigabe erwähnte Daten, die jeweils für die Dauer eines Schuljahres benötigt werden, sind spätestens nach Ablauf des folgenden Schuljahres zu löschen. Im Übrigen ist die Aussonderungsbekanntmachung der Bayerischen Staatsregierung vom 19. November 1991 (KWMBl I 1992 S. 30) zu beachten. Demnach sind die Unterlagen in regelmäßigen Zeitabständen, spätestens alle zehn Jahre, auszusondern und in der Regel spätestens 30 Jahre nach ihrer Entstehung dem zuständigen Archiv anzubieten, soweit durch Rechtsvorschriften oder durch Verwaltungsvorschriften der obersten Staatsbehörden nichts anderes bestimmt ist. Soweit also beispielsweise die Schulordnungen Regelungen zur Aufbewahrung der Schülerbögen enthalten , sind diese Regelungen vorrangig zu beachten. Beispiele: Bei EDV-technisch unterstützter Stundenplan-/Vertretungsplanerstellung sind die gespeicherten Daten (Vorgaben zum Stundenplan/Vertretungsplan etc.) spätestens nach Ablauf des aktuellen Schuljahres zu löschen. Protokolldateien von Internetzugriffen (vgl. Nrn. 4.1 und 6.1) sind nach jeweils spätestens acht Unterrichtswochen zu löschen. Bei EDV-technisch unterstützter Bibliotheksverwaltung sind die Buchausleihdaten zu löschen, sobald das ausgeliehene Buch zurückgegeben wird, spätestens jedoch am Ende des nachfolgenden Schuljahres, in dem die bzw. der Ausleihende von der Schule abgegangen ist. Zur Speicherdauer von Daten, welche Lehrkräfte zur Erledigung schulischer Aufgaben auf einem privaten Rechner nutzen, siehe oben Nr. 4.3. In nicht automatisierten Verfahren geführte Dateien , deren Inhalt zur Weitergabe an Dritte bestimmt ist (z. B. Schülerkarteien zur Berechnung von Gastschülerzuschüssen oder zum Vollzug der Schulwegkostenfreiheit ), dürfen nur so lange aufbewahrt werden, wie dies zur Erfüllung der zugrunde liegenden Aufgabe erforderlich ist (Die für automatisierte Dateien geltenden Fristen gelten hier also nicht.). 5.4 Entsorgung von Unterlagen und Datenträgern Die Entsorgung von Papierunterlagen mit personenbezogenen Daten soll mit Hilfe eines Reißwolfs nach der Empfehlung der DIN 32757 erfolgen. Eine Zerkleinerung auf eine Streifenbreite von ca. 4 mm entsprechend der Sicherheitsstufe 2 bis 3 (internes Schriftgut bzw. vertrauliches Schriftgut) dürfte dabei angemessen sein. Zur Vermeidung eines unnötigen Arbeitsaufwandes soll der Reißwolf in der Lage sein, mehrere Blätter gleichzeitig erfassen zu können. In der Regel dürfte es genügen, auf ein beim Schulaufwandsträger vorhandenes Vernichtungsverfahren zurückzugreifen. Ausgemusterte Datenträger wie Festplatten, USBSticks oder optische Datenträger, auf denen vormals personenbezogene Daten gespeichert/gesichert wur- den, sind vollständig neu zu formatieren und gegebenenfalls zu überschreiben oder physikalisch zu zerstören. 6. Datensicherung, Datengeheimnis, Verpflichtung der Bediensteten 6.1 Datensicherung (insbesondere zu Art. 7 BayDSG) a) Die Schulen haben technische und organisatorische Maßnahmen dafür zu treffen, dass die bei ihnen gespeicherten personenbezogenen Daten (Schülerdatei, Kollegstufendatei, Lehrerdatei, aber auch Schulkorrespondenz mit personenbezogenen Daten) vor Verlust und vor Missbrauch geschützt werden, d. h. dass – nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit), – personenbezogene Daten vor unerkannter Verfälschung geschützt sind (Integrität), – personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor zufälligem Verlust geschützt sind (Verfügbarkeit), – die Urheberschaft übermittelter personenbezogener Daten vor deren Weiterverarbeitung festgestellt werden kann (Authentizität), – nachträglich festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit) und – die Verfahrensweisen bei der Verarbeitung personenbezogener Daten mit zumutbarem Aufwand nachvollzogen werden können (Transparenz). Auf die sorgfältige Beachtung der nach Art. 7 Abs. 2 BayDSG bei automatisierten Verfahren im Einzelnen zu treffenden Sicherungsmaßnahmen werden die Schulen besonders hingewiesen. Insbesondere – sind von personenbezogenen Daten regelmäßig Sicherungskopien anzufertigen, – dürfen Datenträger (USB-Stick, Festplatte etc.) mit personenbezogenen Daten ausschließlich für Zwecke der Schulverwaltung verwendet werden (grundsätzlich sind Programme und Daten für den Unterricht auf gesonderten Datenträgern zu führen), – hat die Speicherung personenbezogener Daten auf mobilen Datenträgern immer verschlüsselt zu erfolgen (Ausnahmen hiervon sind nur dann zulässig, wenn sichergestellt werden kann, dass ein unberechtigter Zugriff auf den mobilen Datenträger vollständig ausgeschlossen ist, solange dieser unverschlüsselte personenbezogene Daten enthält.), – sind mobile Datenträger mit personenbezogenen Daten nach ihrer Verwendung jeweils wegzusperren und – muss bei der Speicherung von personenbezogenen Daten auf Rechnern der Zugriff durch Passwörter geschützt sein, wobei ggf. abgestufte Zugriffsrechte vergeben werden sollten. Ausführlich werden Maßnahmen der Datensicherung in der mit dem Hauptpersonalrat getroffenen Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungspro- KWMBl Nr. 3/2013 39 gramms ASV in Anlage 3 „Datenschutz und Datensicherheit “ beschrieben (hierzu oben Nr. 4.2). b) Sollen die in der Schulverwaltung eingesetzten Rechner und die Rechner für Unterrichtszwecke an ein und dasselbe Intranet der Schule angeschlossen werden, so muss in besonderer Weise sichergestellt sein, dass unautorisierten Personen ein Zugriff auf personenbezogene Daten und die zugehörenden Programme nicht möglich ist. Die Verantwortung hierfür liegt bei der Schule. Hinsichtlich des Schutzbedarfes ist es sinnvoll, die Bereiche Verwaltung, Lehrerbereich und Schüler-/Unterrichtsbereich entweder physikalisch oder in verschiedene Teilnetze mit gesicherten Übergängen zu trennen: Durch geeignete technische Maßnahmen ist sicherzustellen, dass ein Zugriff vom Schüler-/Unterrichtsbereich aus auf Rechner in den beiden anderen Bereichen nicht möglich ist. Ein Zugriff vom Lehrerbereich auf Rechner des Verwaltungsbereiches ist auf diejenigen Dienste der Schulverwaltung einzuschränken, die zur Verwendung durch das Lehrpersonal vorgesehen sind. Die Verantwortung hierfür liegt bei der Schule. c) Besondere Schutzmaßnahmen vor unerwünschten Zugriffen sind auch bei einem Internetzugang eines Rechners mit Zugriffsmöglichkeit auf personenbezogene Daten zu treffen. Die Verantwortung hierfür liegt bei der Schule. Geeignete Schutzmaßnahmen können beispielsweise darin bestehen, dass – der HTTP-Datenverkehr durch einen Webfilter eingeschränkt wird, – die nutzbaren Internetdienste dadurch eingeschränkt werden, dass vom schulseitigen Gateway (Proxy) nur unbedingt benötigte Dienste (z. B. HTTP und HTTPS für Webzugriffe ) zugelassen werden, – eine automatisierte Portfreischaltung („Plug and Play“) auf dem Router deaktiviert wird, – ein Virenscanner den Zugriff auf Dateien und E-Mails überwacht, – E-Mails von nicht als sicher bekannten bzw. nicht zuverlässig identifizierbaren Absendern nicht geöffnet, sondern gelöscht werden, insbesondere dann, wenn sie Anhänge enthalten, – Verwaltungsrechner durch geeignete Authentifizierung (mindestens: Benutzername, Passwort) vor unbefugter Nutzung geschützt werden, – die Nutzung von ActiveX-Steuerelementen, ActiveX-Plugins und „Net“-Funktionalität im Browser (Internet Explorer) grundsätzlich deaktiviert wird und – Java und JavaScript im Browser nur dann aktiviert wird, wenn sie zur Nutzung dringend benötigter Webseiten unerlässlich ist. Die Versendung von Schulkorrespondenz mit personenbezogenem oder sonstigem vertraulichen Inhalt mittels E-Mail ist wegen der offenen Struktur des Internets nur unter Anwendung einer Verschlüsselung zulässig, die den Schutz der Vertraulichkeit, Integrität und Authentizität ausreichend sicherstellt . 6.2 Datengeheimnis (insbesondere zu Art. 5 BayDSG) Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheim nis). Das Datengeheimnis besteht auch nach Beendi gung ihrer Tätigkeit fort. Neben dem allgemeinen Datengeheimnis im BayDSG bestehen noch weitere Bestimmungen der Geheimhaltungs - und Verschwiegenheitspflichten: – das Gebot der Amtverschwiegenheit (§ 37 BeamtStG und § 14 Abs. 1 LDO), – das Verbot der Auskunftserteilung über Schülerinnen und Schüler an Dritte (§ 14 Abs. 4 LDO). 6.3 Verpflichtung der Bediensteten Zusätzlich zum Amtseid ist eine gesonderte Verpflichtung auf den Datenschutz von Personen, die mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut werden, nicht erforderlich. Dessen ungeachtet empfiehlt es sich, vor Einführung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten die damit betrauten Personen an die Wahrung des Datengeheimnisses und die Amtspflicht zur Verschwiegenheit zu erinnern. Zu diesen Personen gehören alle Beschäftigten einer Schule, die auf gespeicherte Daten zugreifen können, z. B. Lehr- und Sekretariatskräfte, die Daten erfassen, ändern, löschen oder auswerten können, speziell also auch Lehrkräfte, die im Rahmen der Zeugniserstellung Noten an einem Computer eingeben bzw. Lehrkräfte, die Daten auf privaten Rechnern nach Nr. 4.3 verarbeiten . 7. Anspruch auf Auskunft (insbesondere zu Art. 10 BayDSG) 7.1 Allgemeines zum Auskunftsanspruch Die speichernde Stelle hat den Betroffenen auf Antrag Auskunft zu erteilen über – die zur Person gespeicherten Daten, – den Zweck und die Rechtsgrundlage der Erhebung, Verarbeitung oder Nutzung – die Herkunft der Daten und die Empfänger über mittelter Daten, soweit diese Angaben gespeichert sind, – die Empfänger regelmäßiger Datenübermittlungen, … Einzelheiten zum Antrag, Umfang und Verfahren der Auskunftserteilung sind Art. 10 BayDSG zu entnehmen . Sofern spezielle Regelungen den Bestimmungen des BayDSG vorgehen, ist dies in den nachfolgenden Nrn. 7.2 bis 7.4 erläutert. Kosten für Auskünfte nach Art. 10 BayDSG sind an Schulen im Allgemeinen nicht zu erheben. 7.2 Auskunftsanspruch der Schülerinnen und Schüler und ihrer Erziehungsberechtigten Der Auskunftsanspruch über personenbezogene Schülerdaten wird bei minderjährigen Schülerinnen und Schülern grundsätzlich durch die Erziehungsberechtigten geltend gemacht; ab Vollendung des 14. Lebens- KWMBl Nr. 3/201340 jahres können auch die Minderjährigen selbst den Auskunftsanspruch geltend machen. Über die Bestimmungen des BayDSG hinausgehend – besteht ein Anspruch auf Mitteilung von Noten auf Anfrage (Art. 52 Abs. 2 Satz 4, Art. 56 Abs. 2 Nr. 4 BayEUG), der auch von Schülerinnen und Schülern geltend gemacht werden kann und sich nicht nur auf Noten bezieht, die in Dateien geführt werden, – besteht ein Anspruch auf Einsichtnahme in den Schülerbogen (siehe die jeweiligen Schulordnungen , z. B. § 49 Abs. 1 Satz 5 VSO), – besteht eine Informationspflicht der Schule gemäß Art. 75 BayEUG (Absinken des Leistungsstandes, Beratung bei Nichtvorrücken). Hingegen dürfen bis zur endgültigen Festlegung der Zeugnisnoten nach den an den einzelnen Schularten geltenden Bestimmungen den Schülerinnen und Schülern und ihren Erziehungsberechtigten keine Auskünfte über das Vorrücken oder über die Zeugnisnoten (auch nicht die vorgeschlagenen) erteilt werden (vgl. § 14 Abs. 3 LDO). 7.3 Auskunftsanspruch des Schulpersonals Beim Schulpersonal besteht über das BayDSG hinausgehend ein Anspruch auf Einsicht in die Personalunterlagen (vgl. z. B. Art. 107 BayBG). Unbeschadet des Art. 111 Abs. 5 BayBG erhalten die Beschäftigten bei EDV-mäßiger Verarbeitung von Lehrerdaten auf Antrag gemäß § 4 Abs. 1 der mit dem Hauptpersonalrat geschlossenen Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV bei der Schulleitung einen Ausdruck aller über sie gespeicherten Daten und der Stellen, an die diese Daten regelmäßig übermittelt werden. Darüber hinausgehende spezielle Rechte der Personalvertretung sind § 7 der Dienstvereinbarung zu entnehmen . 8. Institutionen des Datenschutzes 8.1 Sicherstellung des Datenschutzes (insbesondere zu Art. 25 Abs. 1 BayDSG) Die Staatskanzlei, die Staatsministerien und die sonsti gen obersten Dienststellen des Staates, die Gemeinden und Gemeindeverbände ... haben für ihren Bereich die Ausführung dieses Gesetzes (BayDSG) sowie anderer Rechtsvorschriften über den Datenschutz sicherzu stellen. 8.2 Datenschutzbeauftragte an den Schulen (insbesondere zu Art. 25 Abs. 2 bis 4 und Art. 28 Abs. 2 BayDSG) Ab dem Schuljahr 2011/2012 erfolgt die sukzessive Einführung von Datenschutzbeauftragten an staatlichen Schulen und an den Staatlichen Schulämtern (daraus erklärt sich in Nr. 8.4 die Einschränkung „soweit vorhanden“). Die Datenschutzbeauftragten wirken auf die Einhaltung des BayDSG und anderer Vorschriften über den Datenschutz an der Schule hin. Sie führen auch datenschutzrechtliche Freigabeverfahren gemäß Art. 26 BayDSG durch und führen das Verfahrensverzeichnis gemäß Art. 27 BayDSG. Zudem sind die Datenschutzbeauftragten gemäß Art. 25 Abs. 3 Satz 6 BayDSG Ansprechpartner in Angelegenhei- ten des Datenschutzes an den Schulen vor Ort. Die Datenschutzbeauftragten werden bei komplexen datenschutzrechtlichen Fragen, die sich nicht vor Ort lösen lassen, unterstützt durch Multiplikatoren für den Datenschutz an den Regierungen bzw. bei den Dienststellen der Ministerialbeauftragten (die Multiplikatorenstruktur wird ab dem Schuljahr 2011/2012 sukzessive eingeführt). Die Verantwortung der Schulleitung und jedes Bediensteten, die Vorschriften des Datenschutzes an der Schule gewissenhaft zu beachten, bleibt davon unberührt. 8.3 Landesbeauftragter für den Datenschutz (insbesondere zu Art. 9, Art. 30 und Art. 32 BayDSG) Der Landesbeauftragte für den Datenschutz kontrol liert bei den öffentlichen Stellen die Einhaltung dieses Gesetzes (BayDSG) und anderer Vorschriften über den Datenschutz. Jeder (also auch Schülerinnen und Schüler, Erziehungsberechtigte , Lehrkräfte) kann sich an den Landesbeauftragten für den Datenschutz mit dem Vorbringen wenden, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen in seinen Rechten verletzt worden zu sein. Lehrkräfte sind dabei nicht an den Dienstweg gebunden. Der Landesbeauftragte für den Datenschutz ist von allen öffentlichen Stellen in der Erfüllung seiner Aufgaben zu unterstützen. Ihm sind alle zur Erfüllung seiner Aufga ben notwendigen Auskünfte zu geben und auf Anforde rung alle Unterlagen über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Einsicht vorzulegen. Er hat ungehinderten Zutritt zu allen Dienst räumen, in denen öffentliche Stellen Daten erheben, ver arbeiten oder nutzen. Die Anschrift des Landesbeauftragten für den Datenschutz lautet: Der Bayerische Landesbeauftragte für den Datenschutz Wagmüllerstraße 18 80538 München Telefon: 089 212672-0 Fax: 089 212672-50 E-Mail: poststelle@datenschutz-bayern.de Infos: www.datenschutz-bayern.de 8.4 Beratungsstellen in Datenschutzfragen (siehe dazu auch oben Nr. 8.2) Bei Fragen zum Datenschutz an Schulen sollen sich Schulen in der nachstehenden Reihenfolge an folgende Stellen wenden: – in erster Linie – soweit bereits vorhanden – an den Datenschutzbeauftragten der Schule bzw. bei den Grund-/Mittel-/Förderschulen an den Datenschutzbeauftragten am zuständigen Staatlichen Schulamt; falls nach angemessener eigener Auslegung und Bewertung der Datenschutzvorschriften durch den örtlichen Datenschutzbeauftragten noch Fragen offen bleiben, sollte die Schule den jeweils zuständigen Multiplikator für den Datenschutz an der Regierung oder bei der Dienststelle des bzw. der Ministerialbeauftragten einbinden; – an die Regierung, soweit dieser die Schulaufsicht obliegt, KWMBl Nr. 3/2013 41 – an das Referat für Medienbildung am Staatsinstitut für Schulqualität und Bildungsforschung (ISB), Schellingstraße 155, 80797 München, – an das Bayerische Staatsministerium für Unterricht und Kultus. Erziehungsberechtigte, Schülerinnen und Schüler und Lehrkräfte können sich in Datenschutzfragen an die Schulleitung oder – soweit bereits vorhanden – an den Datenschutzbeauftragten der Schule bzw. bei den Grund-/Mittel-/Förderschulen an den Datenschutzbeauftragten am zuständigen Staatlichen Schulamt wenden. 9. Freigabe eines automatisierten Verfahrens (insbesondere zu Art. 26 und 28 BayDSG und § 2 DSchV) Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, bedarf der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle (Art. 26 Abs. 1 Satz 1 BayDSG). Eine datenschutzrechtliche Frei gabe nach Satz 1 ist nicht erforderlich für Verfahren, welche durch den Vorstand der Anstalt für Kommunale Datenverarbeitung in Bayern bereits datenschutzrecht lich freigegeben worden sind, soweit diese Verfahren unverändert übernommen werden; das Gleiche gilt bei öffentlichen Stellen des Freistaates Bayern für Verfah ren, welche durch das fachlich zuständige Staatsminis terium oder die von ihm ermächtigte öffentliche Stelle für den landesweiten Einsatz datenschutzrechtlich frei gegeben worden sind (Art. 26 Abs. 1 Satz 2 BayDSG). Für wesentliche Änderungen von Verfahren gelten die Sätze 1 und 2 entsprechend (Art. 26 Abs. 1 Satz 3 BayDSG). Eine datenschutzrechtliche Freigabe gemäß Art. 26 BayDSG ist dann entbehrlich, wenn das automatisierte Verfahren, das an der Schule zum Einsatz kommen soll, der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG entspricht. Eine Freigabe ist nach § 2 der Datenschutzverordnung auch nicht erforderlich – für automatisierte Verfahren, die dem internen Verwaltungsablauf dienen, wie Registraturverfahren, ausschließlich der Erstellung von Texten dienende Verfahren, Termin- und Fristenkalender, Kommunikationsverzeichnisse und Anschriftenverzeichnisse für die Versendung an die Betroffenen, Zimmer-, Inventar- und Softwareverzeichnisse und – für automatisierte Verfahren, die ausschließlich Zwecken der Datensicherung und Datenschutzkontrolle dienen. Damit ist es beispielsweise möglich, für die Organisation eines Schuljubiläums eine Adressendatei der einzuladenden Gäste zu führen. An den Schulen, an denen Datenschutzbeauftragte bestellt sind, können diese weitere automatisierte Verfahren freigeben (dies gilt entsprechend für die Datenschutzbeauftragten an den Schulämtern) – dabei sind die Vorgaben des Bayerischen Staatsministeriums für Unterricht und Kultus – z. B. in einschlägigen Schreiben – zu beachten. Das Vorgehen bei einer datenschutzrechtlichen Freigabe ist in Art. 26 Abs. 3 BayDSG beschrieben. Sie ist insbesondere rechtzeitig vor dem Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens in die Wege zu leiten (d. h. im Planungsstadium bzw. vor Beginn der Programmierungs- bzw. Anpassungsarbeiten). Zur Freigabe erforderliche Änderungen des Verfahrens können auf diese Weise noch mit geringem Aufwand berücksichtigt werden. Die zu einer datenschutzrechtlichen Freigabe erforderlichen Angaben können Art. 26 Abs. 2 BayDSG entnommen werden. Bei Verfahren zur Verarbeitung von Personaldaten ist § 1 Abs. 2 der Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV zu beachten. Zudem empfiehlt es sich generell, bereits im Planungsstadium entsprechend den einschlägigen Bestimmungen des Bayerischen Personalvertretungsgesetzes den örtlichen Personalrat zu beteiligen. Vor erfolgter Freigabe dürfen automatisierte Verfahren nicht mit Echtdaten – auch nicht versuchsweise – betrieben werden. Bei wesentlichen Änderungen des Verfahrens (z. B. Datensatzerweiterungen, weitere regelmäßige Datenübermittlungen ) ist erneut eine Freigabe erforderlich . 10. Verfahrensverzeichnis (insbesondere zu Art. 27 BayDSG und Art. 28 Abs. 2 BayDSG) Die vom Bayerischen Staatsministerium für Unterricht und Kultus für die staatlichen Schulen erteilte landesweite datenschutzrechtliche Freigabe des Amtlichen Schulverwaltungsprogramms ASV ist in das an der Schule bzw. – im Grund- und Mittelschulbereich – am örtlich zuständigen Schulamt nach Art. 27 BayDSG zu führende Verfahrensverzeichnis aufzunehmen, soweit ASV an der Schule zum Einsatz kommt. Dies gilt auch für die vom schulischen Datenschutzbeauftragten erteilten Freigaben. Im Verfahrensverzeichnis sind für jedes automatisierte Verfahren die in Art. 26 Abs. 2 BayDSG genannten Angaben festzuhalten. Ein Anlagenverzeichnis muss nicht geführt werden. Das übliche Inventarverzeichnis der Schule genügt. 11. Wichtige Datenschutzbestimmungen für Schulen – Art. 31 Abs. 1 Satz 2, 75, 85, 85a, 88a, 111, 113a, 113b und 113c des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG) – Bestimmungen der jeweiligen Schulordnungen über personenbezogene Daten an Schulen (beispielsweise zum Anmeldeverfahren, zu den Aufnahmevoraussetzungen , zum Schülerbogen, zu Erhebungen) – Bayerisches Datenschutzgesetz (BayDSG) – Datenschutzverordnung (DSchV) – Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG (DVBayDSG-KM vom 23. März 2011, zuletzt geändert durch Verordnung vom 4. Januar 2013 (GVBl S. 6) – Bekanntmachung zum Vollzug des Bayerischen Datenschutzgesetzes (VollzBekBayDSG) – Bundesdatenschutzgesetz (BDSG) KWMBl Nr. 3/201342 – Datenschutzrechtliche Freigabe des bayerischen Schulverwaltungsprogramms ASV vom 13. Oktober 2011 in der jeweils aktuellen Fassung – Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV vom 14. Juli 2011, veröffentlicht mit Bekanntmachung vom 2. August 2011 (KWMBl S. 248, ber. S. 364) – Rechtliche Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schulen (Bekanntmachung des Staatsministeriums für Unterricht und Kultus vom 12. September 2012 (KWMBl S. 317)). Die vorgenannten Bestimmungen sind abrufbar auf der Homepage des Staatsministeriums für Unterricht und Kultus unter dem Pfad http://www.km.bayern.de/ ministerium/recht.html. 12. Inkrafttreten, Außerkrafttreten Diese Bekanntmachung tritt am 18. Februar 2013 in Kraft. Mit Ablauf des 17. Februar 2013 tritt die Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus über Erläuternde Hinweise für die Schulen zum Vollzug des Bayerischen Datenschutzgesetzes vom 19. April 2001 (KWMBl I S. 112), geändert durch Bekanntmachung vom 10. Oktober 2002 (KWMBl I S. 354), außer Kraft. Dr. Peter Mü l l e r Ministerialdirektor Anlagenverzeichnis Musterformulare zur Einholung der Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos): Anlage 1 Musterformular „Minderjährige Schülerinnen und Schüler“ Anlage 2 Musterformular „Volljährige Schülerinnen und Schüler“ Anlage 3 Musterformular „Mitglieder des Elternbeirats“ Anlage 4 Musterformular „Lehrkräfte, Verwaltungspersonal , externes Personal in Ganztagesangeboten “ KWMBl Nr. 3/2013 43 Anlage 1 Musterformular „Minderjährige Schülerinnen und Schüler“ (Name der Schule) Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) Sehr geehrte Erziehungsberechtigte, liebe Schülerinnen und Schüler, in geeigneten Fällen wollen wir Informationen über Ereignisse aus unserem Schulleben – auch personenbezogen – einer größeren Öffentlichkeit zugänglich machen. Wir beabsichtigen daher, insbesondere im Rahmen der pädagogischen Arbeit oder von Schulveranstaltungen entstehende Texte und Fotos zu veröffentlichen. Neben Klassenfotos kommen hier etwa personenbezogene Informationen über Schulausflüge, Schülerfahrten, Schüleraustausche, (Sport-)Wettbewerbe, Unterrichtsprojekte oder den „Tag der Offenen Tür“ in Betracht. Hierzu möchten wir im Folgenden Ihre / Eure Einwilligung einholen. (Schulleiterin / Schulleiter) _____________________________________________________________________________ Name, Vorname, Geburtsdatum und Klasse der Schülerin / des Schülers Hiermit willige ich / willigen wir in die Veröffentlichung von personenbezogenen Daten einschließlich Fotos der oben bezeichneten Person in folgenden Medien ein: Bitte ankreuzen! † Jahresbericht der Schule (soweit Veröffentlichung nicht bereits nach Art. 85 Abs. 3 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen zulässig) † örtliche Tagespresse † World Wide Web (Internet) unter der Homepage der Schule www. .de Siehe hierzu den Hinweis unten! Die Rechteeinräumung an den Fotos erfolgt ohne Vergütung und umfasst auch das Recht zur Bearbeitung , soweit die Bearbeitung nicht entstellend ist. Klassenfotos werden im Jahresbericht lediglich mit alphabetischen Namenslisten versehen; ansonsten werden den Fotos keine Namensangaben beigefügt . Ton-, Video- und Filmaufnahmen sind von dieser Einwilligung nicht umfasst. Die Einwilligung ist jederzeit schriftlich bei der Schulleiterin / dem Schulleiter widerruflich. Bei Druckwerken ist die Einwilligung nicht mehr widerruflich, sobald der Druckauftrag erteilt ist. Wird die Einwilligung nicht widerrufen, gilt sie zeitlich unbeschränkt, d.h. über das Schuljahr und auch über die Schulzugehörigkeit hinaus. Die Einwilligung ist freiwillig. Aus der Nichterteilung oder dem Widerruf der Einwilligung entstehen keine Nachteile. ___________________________________ [Ort, Datum] ___________________________________ und _________________________________________ [Unterschrift der / des Erziehungsberechtigten] [ab dem 14. Geburtstag: Unterschrift der Schülerin / des Schülers] Veröffentlichungen im Internet / Datenschutzrechtlicher Hinweis: Bei einer Veröffentlichung im Internet können die personenbezogenen Daten (einschließlich Fotos) weltweit abgerufen und gespeichert werden. Die Daten können damit etwa auch über so genannte „Suchmaschinen“ aufgefunden werden. Dabei kann nicht ausgeschlossen werden, dass andere Personen oder Unternehmen die Daten mit weiteren im Internet verfügbaren personenbezogenen Daten verknüpfen und damit ein Persönlichkeitsprofil erstellen, die Daten verändern oder zu anderen Zwecken verwenden. KWMBl Nr. 3/201344 Anlage 2 Musterformular „Volljährige Schülerinnen und Schüler“ (Name der Schule) Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) Sehr geehrte Schülerinnen und Schüler, in geeigneten Fällen wollen wir Informationen über Ereignisse aus unserem Schulleben – auch personenbezogen – einer größeren Öffentlichkeit zugänglich machen. Wir beabsichtigen daher, insbesondere im Rahmen der pädagogischen Arbeit oder von Schulveranstaltungen entstehende Texte und Fotos zu veröffentlichen. Neben Klassenfotos kommen hier etwa personenbezogene Informationen über Schulausflüge, Schülerfahrten, Schüleraustausche, (Sport-)Wettbewerbe, Unterrichtsprojekte oder den „Tag der Offenen Tür“ in Betracht. Hierzu möchten wir im Folgenden Ihre Einwilligung einholen. (Schulleiterin / Schulleiter) _____________________________________________________________________________ Name, Vorname, Geburtsdatum und Klasse der Schülerin / des Schülers Hiermit willige ich in die Veröffentlichung meiner personenbezogenen Daten einschließlich Fotos in folgenden Medien ein: Bitte ankreuzen! † Jahresbericht der Schule (soweit Veröffentlichung nicht bereits nach Art. 85 Abs. 3 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen zulässig) † örtliche Tagespresse † World Wide Web (Internet) unter der Homepage der Schule www. .de Siehe hierzu den Hinweis unten! Die Rechteeinräumung an den Fotos erfolgt ohne Vergütung und umfasst auch das Recht zur Bearbeitung , soweit die Bearbeitung nicht entstellend ist. Klassenfotos werden im Jahresbericht lediglich mit alphabetischen Namenslisten versehen; ansonsten werden den Fotos keine Namensangaben beigefügt . Ton-, Video- und Filmaufnahmen sind von dieser Einwilligung nicht umfasst. Die Einwilligung ist jederzeit schriftlich bei der Schulleiterin / dem Schulleiter widerruflich. Bei Druckwerken ist die Einwilligung nicht mehr widerruflich, sobald der Druckauftrag erteilt ist. Wird die Einwilligung nicht widerrufen, gilt sie zeitlich unbeschränkt, d.h. über das Schuljahr und auch über die Schulzugehörigkeit hinaus. Die Einwilligung ist freiwillig. Aus der Nichterteilung oder dem Widerruf der Einwilligung entstehen keine Nachteile. ___________________________________ _________________________________________ [Ort, Datum] [Unterschrift der Schülerin / des Schülers] Veröffentlichungen im Internet / Datenschutzrechtlicher Hinweis: Bei einer Veröffentlichung im Internet können die personenbezogenen Daten (einschließlich Fotos) weltweit abgerufen und gespeichert werden. Die Daten können damit etwa auch über so genannte „Suchmaschinen“ aufgefunden werden. Dabei kann nicht ausgeschlossen werden, dass andere Personen oder Unternehmen die Daten mit weiteren im Internet verfügbaren personenbezogenen Daten verknüpfen und damit ein Persönlichkeitsprofil erstellen, die Daten verändern oder zu anderen Zwecken verwenden. KWMBl Nr. 3/2013 45 Anlage 3 Musterformular „Mitglieder des Elternbeirats“ (Name der Schule) Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) Sehr geehrte Elternbeiratsmitglieder, in geeigneten Fällen wollen wir Informationen über Ereignisse aus unserem Schulleben – auch personenbezogen – einer größeren Öffentlichkeit zugänglich machen. Wir beabsichtigen daher, insbesondere im Rahmen der pädagogischen Arbeit oder von Schulveranstaltungen – dazu zählen auch Veranstaltungen des Elternbeirats – entstehende Texte und Fotos zu veröffentlichen. Auf unsere Schulhomepage wollen wir ferner für die Dauer Ihrer Zugehörigkeit zum Elternbeirat Ihren Namen, Ihre Telefonnummer und Ihre E-Mail-Adresse einstellen. Hierzu möchten wir im Folgenden Ihre Einwilligung einholen. (Schulleiterin / Schulleiter) _____________________________________________________________________________ Name und Vorname Hiermit willige ich in die Veröffentlichung meiner personenbezogenen Daten einschließlich Fotos in folgenden Medien ein: Bitte ankreuzen! † Jahresbericht der Schule (soweit Veröffentlichung nicht bereits nach Art. 85 Abs. 3 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen zulässig) † örtliche Tagespresse † World Wide Web (Internet) unter der Homepage der Schule www. .de Siehe hierzu den Hinweis unten! † Texte, Fotos u. a. † Name, Telefonnummer, E-Mail-Adresse (für die Dauer der Zugehörigkeit zum Elternbeirat) Die Rechteeinräumung an den Fotos erfolgt ohne Vergütung und umfasst auch das Recht zur Bearbeitung , soweit die Bearbeitung nicht entstellend ist. Ton-, Video- und Filmaufnahmen sind von dieser Einwilligung nicht umfasst. Die Einwilligung ist jederzeit schriftlich bei der Schulleiterin / dem Schulleiter widerruflich. Bei Druckwerken ist die Einwilligung nicht mehr widerruflich, sobald der Druckauftrag erteilt ist. Wird die Einwilligung nicht widerrufen, gilt sie zeitlich unbeschränkt, d.h. über das Schuljahr und grundsätzlich – soweit oben nicht anders angegeben – auch über die Zugehörigkeit zum Elternbeirat hinaus. Die Einwilligung ist freiwillig. Aus der Nichterteilung oder dem Widerruf der Einwilligung entstehen keine Nachteile. ___________________________________ _________________________________________ [Ort, Datum] [Unterschrift] Veröffentlichungen im Internet / Datenschutzrechtlicher Hinweis: Bei einer Veröffentlichung im Internet können die personenbezogenen Daten (einschließlich Fotos) weltweit abgerufen und gespeichert werden. Die Daten können damit etwa auch über so genannte „Suchmaschinen“ aufgefunden werden. Dabei kann nicht ausgeschlossen werden, dass andere Personen oder Unternehmen die Daten mit weiteren im Internet verfügbaren personenbezogenen Daten verknüpfen und damit ein Persönlichkeitsprofil erstellen, die Daten verändern oder zu anderen Zwecken verwenden. KWMBl Nr. 3/201346 Anlage 4 Musterformular „Lehrkräfte, Verwaltungspersonal, externes Personal in Ganztagesangeboten“ (Name der Schule) Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) Sehr geehrte Kolleginnen und Kollegen, in geeigneten Fällen wollen wir Informationen über Ereignisse aus unserem Schulleben – auch personenbezogen – einer größeren Öffentlichkeit zugänglich machen. Wir beabsichtigen daher, insbesondere im Rahmen der pädagogischen Arbeit oder von Schulveranstaltungen entstehende Texte und Fotos zu veröffentlichen. Neben Klassenfotos kommen hier etwa personenbezogene Informationen über Schulausflüge, Schülerfahrten, Schüleraustausche, (Sport-)Wettbewerbe, Unterrichtsprojekte oder den „Tag der Offenen Tür“ in Betracht. Auf unsere Schulhomepage wollen wir ferner für die Dauer Ihrer Schulzugehörigkeit Ihre dienstlichen Kommunikationsdaten (Name, Namensbestandteile, Vorname(n), Funktion, ggf. Amtsbezeichnung, ggf. Lehrbefähigung, dienstliche Telefonnummer, dienstliche E-Mail-Adresse) einstellen. Hierzu möchten wir im Folgenden Ihre Einwilligung einholen. (Schulleiterin / Schulleiter) _____________________________________________________________________________ Name, Vorname und ggf. Amtsbezeichnung Hiermit willige ich in die Veröffentlichung meiner personenbezogenen Daten einschließlich Fotos in folgenden Medien ein: Bitte ankreuzen! † Jahresbericht der Schule (soweit Veröffentlichung nicht bereits nach Art. 85 Abs. 3 Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen zulässig) † örtliche Tagespresse † World Wide Web (Internet) unter der Homepage der Schule www. .de Siehe hierzu den Hinweis unten! † Texte, Fotos u.a. † Dienstliche Kommunikationsdaten (für die Dauer der Schulzugehörigkeit) Die Rechteeinräumung an den Fotos erfolgt ohne Vergütung und umfasst auch das Recht zur Bearbeitung , soweit die Bearbeitung nicht entstellend ist. Ton-, Video- und Filmaufnahmen sind von dieser Einwilligung nicht umfasst. Die Einwilligung ist jederzeit schriftlich bei der Schulleiterin / dem Schulleiter widerruflich. Bei Druckwerken ist die Einwilligung nicht mehr widerruflich, sobald der Druckauftrag erteilt ist. Wird die Einwilligung nicht widerrufen, gilt sie zeitlich unbeschränkt, d.h. über das Schuljahr und grundsätzlich – soweit oben nicht anders angegeben – auch über die Schulzugehörigkeit hinaus. Die Einwilligung ist freiwillig. Aus der Nichterteilung oder dem Widerruf der Einwilligung entstehen keine Nachteile. ___________________________________ _________________________________________ [Ort, Datum] [Unterschrift] Veröffentlichungen im Internet / Datenschutzrechtlicher Hinweis: Bei einer Veröffentlichung im Internet können die personenbezogenen Daten (einschließlich Fotos) weltweit abgerufen und gespeichert werden. Die Daten können damit etwa auch über so genannte „Suchmaschinen“ aufgefunden werden. Dabei kann nicht ausgeschlossen werden, dass andere Personen oder Unternehmen die Daten mit weiteren im Internet verfügbaren personenbezogenen Daten verknüpfen und damit ein Persönlichkeitsprofil erstellen, die Daten verändern oder zu anderen Zwecken verwenden. KWMBl Nr. 3/2013 47 KWMBl Nr. 3/201348 Herausgeber/Redaktion: Bayerisches Staatsministerium für Unterricht und Kultus, Salvatorstraße 2, 80327 München, Telefon (0 89) 21 86-0, E-Mail: poststelle @ stmuk.bayern.de Technische Umsetzung: Bayerische Staatsbibliothek, Ludwigstraße 16, 80539 München Druck: Justizvollzugsanstalt Landsberg am Lech, Hindenburgring 12, 86899 Landsberg am Lech, Telefon (0 81 91) 1 26-7 25, Telefax (0 81 91) 1 26-8 55, E-Mail: druckerei.betrieb @ jva-ll.bayern.de Erscheinungshinweis / Bezugsbedingungen: Das Amtsblatt der Bayerischen Staatsministerien für Unterricht und Kultus und Wissenschaft, Forschung und Kunst (KWMBl) erscheint nach Bedarf mit bis zu vierund- zwanzig Heften jährlich. Es wird im Internet auf der „Ver kündungsplattform Bayern“ www.verkuendung.bayern.de veröffentlicht. Das dort eingestellte elektronische PDF/A-Dokument ist die amtlich verkündete Fassung. Die „Verkündungsplattform Bayern“ ist für jedermann kostenfrei verfügbar. Ein Ausdruck der verkündeten Amtsblätter kann bei der Justizvollzugsanstalt Landsberg am Lech gegen Entgelt bestellt werden. Das Jahresabonnement des Amtsblatts der Bayerischen Staatsministerien für Unterricht und Kultus und Wissenschaft, Forschung und Kunst (ohne Beiblatt) kostet 40 Euro zuzüglich Portokosten. Nähere Angaben zu den Bezugsbedingungen können der „Verkündungsplattform Bayern“ entnommen werden. ISSN 1867-9129 HANDREICHUNG FÜR DATENSCHUTZBEAUFTRAGTE AN BAYERISCHEN STAATLICHEN SCHULEN Version 3 Stand 09.04.2013 Bayerisches Staatsministerium für Unterricht und Kultus - 2 - Stand 09.04.2013 Inhaltsverzeichnis I. Der behördliche Datenschutzbeauftragte .......................................... 4 1. Bestellung......................................................................................... 4 2. Aufgaben .......................................................................................... 5 2.1 Durchführung datenschutzrechtlicher Freigabeverfahren gemäß Art. 26 BayDSG .......................................................... 6 2.2 Führen des Verfahrensverzeichnisses gemäß Art. 27 BayDSG ............................................................................................... 11 2.3 Beratung der Beschäftigten der öffentlichen Stelle gemäß Art. 25 Abs. 3 Satz 6 BayDSG...................................................... 13 2.4 Einhaltung des Datenschutzes gemäß Art. 25 Abs. 4 Satz 1 BayDSG................................................................................. 13 3. Rechte des Datenschutzbeauftragten............................................. 13 3.1 Direkte Unterstellung unter die Behördenleitung ................... 13 3.2 Weisungsfreiheit in der Tätigkeit als Datenschutzbeauftragter ............................................................................................... 13 3.3 Recht der unmittelbaren Kontaktaufnahme zum Landesbeauftragten für den Datenschutz.............................. 14 3.4 Benachteiligungsverbot ......................................................... 14 3.5 Freistellung ............................................................................ 15 3.6 Unterstützung durch andere Stellen und Einsicht in Unterlagen ............................................................................................... 15 II. Wichtige Datenschutzbestimmungen für die Schulen.................... 15 1. Bayerisches Datenschutzgesetz (BayDSG) ................................... 15 2. Bekanntmachung zum Vollzug des Bayerischen Datenschutzgesetzes (VollzBekBayDSG) ...................................... 16 3. Datenschutzverordnung (DSchV) ................................................... 17 4. Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) ....................................................................................... 17 5. Schulordnungen.............................................................................. 17 6. Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG (DVBayDSG-KM)............................................................................ 17 7. Erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen (im Folgenden: Erläuternde Hinweise) ........................................................................................ 18 8. Rechtliche Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schulen....................................................................... 18 9. Nr. 4.3 der Bekanntmachung zu Medienbildung, Medienerziehung und informationstechnischer Bildung in der Schule ........................ 18 III. Erläuterung wichtiger Begriffe im Zusammenhang mit dem Datenschutz, Auftragsdatenverarbeitung und Datenverarbeitung im außereuropäischen Ausland............................................................. 18 IV. An Schulen häufig auftretende Datenschutzfragen in alphabetischer Reihenfolge .............................................................. 20 1. Bekanntgabe von Noten im Unterricht ............................................ 20 - 3 - 2. Bild-/Tonaufnahmen durch außerschulische Stellen....................... 20 3. Datenverarbeitung auf privaten Rechnern der Lehrkräfte............... 22 4. Einsatz des staatlichen Schulverwaltungsprogramms ASV an der Schule, Einsatz von EDV-Programmen privater Anbieter............... 22 4.1 Staatliches Schulverwaltungsprogramm ASV........................ 22 4.2 EDV-Programme privater Anbieter ........................................ 23 5. Erhebungen an Schulen ................................................................. 26 5.1 Allgemeines ........................................................................... 26 5.2 Erhebungen von Kommunen z. B. für Zwecke der Jugendhilfeplanung................................................................ 26 5.3 Leistungsvergleiche gemäß Art. 111 Abs. 4 BayEUG ........... 27 5.4 Wettbewerbe.......................................................................... 27 6. Evaluation an Schulen gemäß Art. 113c BayEUG.......................... 29 7. Nutzung des Internets an der Schule durch Schülerinnen und Schüler ........................................................................................... 29 8. Ordnungsmaßnahmen.................................................................... 30 9. Passwortgeschützte Lernplattformen.............................................. 31 10. Schülerfotos.................................................................................... 33 11. Schulkorrespondenz, insbesondere Elektronische Post ................. 35 11.1 Allgemeines ........................................................................... 35 11.2 Korrespondenz der Schule mit Außenstehenden (in der Regel mit Erziehungsberechtigten) .................................................. 35 11.3 Mitteilungen an die Schule..................................................... 36 12. Videoüberwachung ......................................................................... 36 13. Weitergabe personenbezogener Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten und von Lehrkräften ....... 38 13.1 Jahresbericht ......................................................................... 39 13.2 Schülerlisten .......................................................................... 40 13.3 Schulhomepage, schulinterner passwortgeschützter Bereich 40 13.4 Presse.................................................................................... 43 13.5 Werbung ................................................................................ 43 V. Quellen, Literaturhinweise ................................................................ 44 VI. Anlagen............................................................................................... 44 1. Muster Verfahrensbeschreibung gemäß Art. 26 BayDSG .............. 44 2. Muster Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 7 und 8 BayDSG ..................................... 44 3. Muster Verfahrensbeschreibung Videoaufzeichnung ..................... 44 4. Auszug aus dem Merkblatt zur Vorbereitung von Erhebungen an staatlichen Schulen in Bayern ........................................................ 44 5. zwei Muster Einwilligung passwortgeschützte Lernplattformen ...... 44 6. zwei Prüfschemata betreffend zulässige Datenerhebung, - verarbeitung und -nutzung.............................................................. 44 VII. Abkürzungsverzeichnis ............................................................... 45 - 4 - I. Der behördliche Datenschutzbeauftragte1 1. Bestellung Öffentliche Stellen, die personenbezogene Daten mit Hilfe von automati- sierten Verfahren verarbeiten oder nutzen, haben einen ihrer Beschäftigten zum behördlichen Datenschutzbeauftragten zu bestellen (Art. 25 Abs. 2 Satz 1 BayDSG). Die Bestellung hat aus Gründen der Rechtsklarheit schriftlich zu erfolgen. An staatlichen Schulen dürfen nur dauerhaft be- schäftigte Lehrkräfte zu behördlichen Datenschutzbeauftragten bestellt werden. Das Bestellungsschreiben ist zum Personalakt der Lehrkraft zu nehmen (vgl. § 50 BeamtStG i.V.m. Art. 102 ff. BayBG). Ausgenommen die Grund-, Mittel- und Förderschulen erfolgt die Bestellung des Datenschutzbeauftragten der Schule durch die jeweilige Schulleitung. Im Grund-, Mittel- und Förderschulbereich wird gemäß Art. 25 Abs. 2 Satz 2 BayDSG je Schulamtsbezirk eine Lehrkraft aus dem Schulamtsbezirk durch die fachliche Leitung des Schulamtes zum Datenschutzbeauftragten für die Grund-, Mittel- und Förderschulen im Schulamtsbezirk bestellt und zu die- sem Zweck mit Einvernehmen der Lehrkraft an das Schulamt (teil-)ab- geordnet – die Bestellung eines Datenschutzbeauftragten je Grund-, Mittel- und Förderschule im Schulamtsbezirk erübrigt sich dadurch. Die Bestellung einer Vertretung des Datenschutzbeauftragten sowie die Abberufung des Datenschutzbeauftragten bzw. seiner Vertretung erfolgt nach denselben Maßgaben. Um Interessenkonflikte mit der Tätigkeit des Datenschutzbeauftragten zu vermeiden, sollten insbesondere EDV-Verantwortliche nach Möglichkeit nicht zum Datenschutzbeauftragten bestellt werden. Auch gegen die Be- stellung der ständigen Stellvertreterin oder des ständigen Stellvertreters der 1 Aus Gründen der besseren Lesbarkeit wird auf die Nennung der weiblichen Funktionsbezeichnung „Datenschutzbeauftragte“ verzichtet. Soweit in der Folge von „Datenschutzbeauftragten “ die Rede ist, handelt es sich um den/die behördliche(n) Datenschutzbeauftragte (n). - 5 - Schulleiterin oder des Schulleiters zum Datenschutzbeauftragten sprechen rechtliche Gründe. Die Bestellung von Mitgliedern des engeren Schulleitungsteams zum Da- tenschutzbeauftragten wäre hingegen rechtlich zwar möglich, da nach § 25 Abs. 3 Satz 1 LDO jeweils die dienstälteste Lehrkraft die Vertretungsaufga- ben übernimmt, soweit auch die Stellvertreter an der Wahrnehmung ihrer Aufgaben verhindert sind und keine anderweitige Regelung getroffen ist. Um Interessenkonflikte zu vermeiden und da diese Mitarbeiterinnen und Mitarbeiter in der Schulleitung ihr Amt als Datenschutzbeauftragter ruhen lassen müssten, wenn sie doch einmal die Schulleitung vertreten, sollten diese Mitarbeiterinnen und Mitarbeiter ebenfalls nicht zum Datenschutzbe- auftragten bestellt werden. Nicht zulässig ist die Bestellung mehrerer Datenschutzbeauftragter für eine Schule bzw. für einen Schulamtsbezirk. Bei der Bestellung und Abberufung des Datenschutzbeauftragten und sei- ner Vertretung ist der örtlich zuständige Personalrat nur zu beteiligen, wenn mit der Bestellung bzw. Abberufung ein sonstiger mitbestimmungspflichti- ger Vorgang verbunden ist (z. B. Einstellung, Versetzung oder Entlassung). Es wird den Schulleitungen bzw. den fachlichen Leitungen der Schulämter jedoch anheim gestellt, vor Bestellung des Datenschutzbeauftragten im Wege der vertrauensvollen Zusammenarbeit (Art. 2 Abs. 1 BayPVG) die beabsichtigte Auswahlentscheidung mit dem örtlich zuständigen Personal- rat zu erörtern. Die kraft Gesetzes geltende Verantwortung der Schulleitung und jedes Be- diensteten, die Vorschriften des Datenschutzes an der Schule gewissenhaft zu beachten (Art. 5 BayDSG), bleibt selbstverständlich auch bei Bestellung eines behördlichen Datenschutzbeauftragten bestehen. 2. Aufgaben Im BayDSG sind ausdrücklich folgende Aufgaben geregelt: - 6 - 2.1 Durchführung datenschutzrechtlicher Freigabeverfahren gemäß Art. 26 BayDSG Vor dem erstmaligen Einsatz oder der wesentlichen Änderung automatisier- ter Verfahren, mit denen personenbezogene Daten an der Schule verarbei- tet werden, muss eine Freigabe durch den Datenschutzbeauftragten der Schule erfolgen (vgl. Art. 26 Abs. 1 Satz 1 und Satz 3 BayDSG). Unter dem Begriff „automatisierte Verfahren“ sind insbesondere Computerprogramme bzw. Softwareprodukte zu verstehen. 2.1.1 Ausnahmen vom Freigabeerfordernis Eine datenschutzrechtliche Freigabe gemäß Art. 26 BayDSG ist dann ent- behrlich, wenn das automatisierte Verfahren, das an der Schule zum Ein- satz kommen soll, ¾ entweder der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG entspricht ¾ oder das automatisierte Verfahren zwar Funktionalitäten enthält, die den Rahmen der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG überschreiten, jedoch vor Ort sichergestellt wird, dass das Verfahren nicht über den Rahmen der genannten Durchführungsverordnung hin- aus eingesetzt wird ¾ oder es sich um ein Verfahren handelt, welches durch den Vorstand der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) bereits freigegeben wurde (Art. 26 Abs. 1 Satz 2 Halbsatz 1 BayDSG); von der AKDB freigegebene Verfahren sind einsehbar auf der Web-Seite der AKDB unter dem Pfad http://www.akdb.de/std/loesungen/index.html ¾ oder wenn das Verfahren gemäß Art. 26 Abs. 1 Satz 2 Halbsatz 2 BayDSG durch das Staatsministerium für Unterricht und Kultus landes- weit freigegeben worden ist (siehe insoweit den Auszug aus dem Ver- fahrensverzeichnis des Staatsministeriums für Unterricht und Kultus mit den für die Schulen relevanten landesweiten Freigaben – einsehbar auf der Web-Seite des Staatsministeriums für Unterricht und Kultus unter dem Pfad http://www.km.bayern.de/ministerium/recht/datenschutz.html) - 7 - ¾ oder wenn das Verfahren nach § 2 DSchV von der Freigabepflicht ausgenommen ist; dies gilt für folgende, dem internen Verwaltungsablauf dienende Verfahren: o Verfahren, die ausschließlich der Erstellung von Texten dienen und bei denen die personenbezogenen Daten gelöscht werden, sobald sie für diesen Zweck nicht mehr benötigt werden, o Verfahren zur Überwachung von Terminen und Fristen (Terminund Fristenkalender), o Telefon-, Telefax- und sonstige Kommunikations- und Teilnehmerverzeichnisse , o Zimmer-, Inventar- und Softwareverzeichnisse, o Anschriftenverzeichnisse für die Versendung von Informationen an Betroffene. Beispiele: (1) Das staatliche Schulverwaltungsprogramm ASV wurde vom Staatsmi- nisterium für Unterricht und Kultus bereits landesweit freigegeben und muss daher von den Datenschutzbeauftragten der staatlichen Schulen nicht mehr freigegeben werden. Falls das Programm nicht an der Schu- le, sondern auf einem externen Server des Schulaufwandsträgers ge- hostet wird, muss diese Auftragsdatenverarbeitung jedoch noch durch den Datenschutzbeauftragten der Schule freigegeben werden; dies ge- schieht durch eine entsprechende Ergänzung in Abschnitt 8 („Bei Auf- tragsdatenverarbeitung: Auftragnehmer“) der landesweiten Freigabe ASV. Zuvor muss die Schulleitung eine Auftragsdatenverarbeitungsver- einbarung gemäß Art. 6 BayDSG mit dem Schulaufwandsträger ab- schließen. (2) Falls der Internetauftritt der Schule sich im Rahmen der Anlage 9 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG hält, muss keine Freigabe durch den Datenschutzbeauftragten der Schule erfolgen. Dies gilt auch hinsichtlich eines schulinternen passwortgeschützten Be- reichs auf der Schulhomepage, sofern sich dieser Bereich im Rahmen - 8 - der Anlage 11 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG hält. (3) Der fächerübergreifende Zugriff auf die in einem Notenverwaltungspro- gramm gespeicherten Leistungsdaten der Schülerinnen und Schüler ist für die Schulleitung im konkreten Einzelfall, soweit dies zur Erfüllung ih- rer pädagogischen, organisatorischen und rechtlichen Aufgaben erfor- derlich ist, in Anlage 6 Nr. 6 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG vorgesehen. Insoweit muss also keine Freigabe durch den Datenschutzbeauftragten der Schule erfolgen. Dies gilt auch für Beratungslehrkräfte und Schulpsychologen, soweit der Zugriff im konkreten Einzelfall zur Erfüllung ihrer pädagogisch-psychologischen und rechtlichen Aufgaben im Rahmen der Schulberatung erforderlich ist. (4) Soll ein anderer Bereich des Schulgeländes als der Eingangsbereich zwischen 6.30 Uhr und 22.00 Uhr per Videoaufzeichnung überwacht werden (z. B. ein Fahrradabstellplatz auf dem Schulgelände), muss vor- her ein datenschutzrechtliches Freigabeverfahren stattfinden (vgl. Art. 21a Abs. 6 Satz 1 BayDSG in Verbindung mit Art. 26 BayDSG), da insoweit die Regelung in Anlage 8 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG nicht greift. Im Hinblick auf den erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung sollte allerdings eine Videoaufzeichnung über den in Anlage 8 der genannten Durchführungsverordnung dargestellten Um- fang hinaus sehr restriktiv gehandhabt werden (siehe zur Videoauf- zeichnung auch unten unter Abschnitt IV Nr. 12) 2.1.2 Ablauf des Freigabeverfahrens Rechtzeitig (siehe dazu Nr. 4.1 VollzBekBayDSG) vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens hat die Schullei- tung gemäß Art. 26 Abs. 3 in Verbindung mit Art. 26 Abs. 2 BayDSG dem Datenschutzbeauftragten zusammen mit einem Freigabeantrag folgende Unterlagen zur Verfügung zu stellen: - 9 - (1) Eine Verfahrensbeschreibung entsprechend dem anliegenden Muster (siehe Anlage Nr. 1), die folgende Angaben enthält: ¾ Bezeichnung des Verfahrens, ¾ Zweck und Rechtsgrundlage der Erhebung, Verarbeitung oder Nut- zung, ¾ Art der gespeicherten Daten, ¾ Kreis der Betroffenen, ¾ Art der regelmäßig zu übermittelnden Daten und deren Empfänger, ¾ Regelfristen für die Löschung der Daten oder für die Prüfung der Lö- schung, ¾ verarbeitungs- und nutzungsberechtigte Personengruppen, ¾ im Fall einer Auftragsdatenvereinbarung die Auftragnehmer, ¾ Empfänger vorgesehener Datenübermittlungen in Drittländer. (2) Eine allgemeine Beschreibung der eingesetzten Datenverarbeitungsan- lagen und der getroffenen Datensicherungsmaßnahmen gemäß Art. 7 und 8 BayDSG entsprechend dem anliegenden Muster (siehe Anlage Nr. 2). Die Beschreibung soll dem Datenschutzbeauftragten einen all- gemeinen Überblick über die Datensicherungsmaßnahmen ermögli- chen. Es liegt in seiner Entscheidung, ob er im Einzelfall weitergehende Informationen zu technischen und organisatorischen Datensicherungs- maßnahmen anfordert (z. B. weil es sich um ein besonders komplizier- tes technisches Verfahren handelt oder weil besonders sensible Daten verarbeitet werden sollen). (3) Bei einem Antrag auf Freigabe einer Videoaufzeichnung sind dem Da- tenschutzbeauftragten darüber hinaus mittels des anliegenden Musters (siehe Anlage Nr. 3) auch Angaben betreffend die räumliche Ausdeh- nung und Dauer der Videoaufzeichnung, die Maßnahmen, mit denen die Videoüberwachung und die erhebende Stelle erkennbar gemacht wer- den und die vorgesehenen Auswertungen der Aufzeichnungen vorzule- gen (vgl. Art. 21a Abs. 6 Satz 2 BayDSG). Siehe auch das Prüfschema zur Videobeobachtung und zur Videoaufzeichnung auf der Web-Seite des Landesbeauftragten für den Datenschutz (www.datenschutz- - 10 - bayern.de in der Rubrik „Veröffentlichungen – Broschüren – Mustervor- drucke“). Anhand der o. g. Angaben prüft der Datenschutzbeauftragte gemäß Art. 26 Abs. 3 BayDSG, ob die beabsichtigte Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach den Bestimmungen des BayDSG und an- derer Vorschriften des Datenschutzes datenschutzrechtlich zulässig ist. Ob ein Verfahren technisch zweckmäßig ist, ist nicht Gegenstand der Freigabe. Erfahrungsgemäß fehlen häufig Angaben zu den Löschungsfristen oder zur Rechtsgrundlage für die Datenerhebung, -verarbeitung, -nutzung bzw. der Kreis der Betroffenen ist unvollständig. Es ist insbesondere zu prüfen, ob die angegebenen Löschungsfristen mit Art. 12 Abs. 1 Nr. 2 BayDSG ver- einbar sind, der eine umgehende Löschung der Daten verlangt, sobald die- se für die Aufgabenerfüllung nicht mehr erforderlich sind. Anhaltspunkte für die Erforderlichkeit der Speicherung von personenbezogenen Daten im Schulkontext können die in der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG festgesetzten Löschungsfristen darstellen. Besonderes Augenmerk sollte auch der Frage gewidmet werden, ob alle Daten, die er- hoben und gespeichert werden sollen, zur Erfüllung des in der Verfahrens- beschreibung genannten Zwecks tatsächlich erforderlich sind (vgl. Art. 16 Abs. 1 und Art. 17 Abs. 1 Nr. 1 BayDSG sowie vor allem Art. 85 Abs. 1 Satz 1 BayEUG). Hierbei ist zu beachten, dass die für Schulen allgemein zwingend notwendigen automatisierten Verfahren bereits im Rahmen der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG geregelt sind und damit an die Begründung der Erforderlichkeit über diese Durchfüh- rungsverordnung hinaus erhöhte Anforderungen zu stellen sind. Kommt der Datenschutzbeauftragte zu dem Ergebnis, dass das Verfahren mit den Vor- schriften des Datenschutzes konform ist, erteilt er in schriftlicher Form die Freigabe gemäß Art. 26 Abs. 3 Satz 2 BayDSG. Ist er der Auffassung, dass das Verfahren datenschutzrechtlichen Vorschrif- ten widerspricht und wird seinen Bedenken nicht Rechung getragen, legt er gemäß Art. 26 Abs. 3 Satz 3 Halbsatz 1 BayDSG die Entscheidung über die Freigabe der Person vor, der er nach Art. 25 Abs. 3 Satz 1 BayDSG - 11 - unterstellt ist (sog. „datenschutzrechtlicher Vorgesetzter“ – im Bereich der Grund-, Mittel- und Förderschulen ist das die jeweilige Schulamtsdirektorin bzw. der jeweilige Schulamtsdirektor, an den sonstigen Schulen der Schul- leiter bzw. die Schulleiterin). Sollen mittels des freizugebenden Verfahrens besonders sensible Daten nach Art. 15 Abs. 7 BayDSG verarbeitet werden (d. h. Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung oder die Gewerk- schaftszugehörigkeit hervorgehen sowie Daten über Gesundheit oder Se- xualleben), hat der Datenschutzbeauftragte bei datenschutzrechtlichen Einwendungen vor der Vorlage an den „datenschutzrechtlichen Vorgesetz- ten“ (s. o.) eine Stellungnahme des Landesbeauftragten für den Daten- schutz einzuholen (Art. 26 Abs. 3 Satz 3 Halbsatz 2 BayDSG). Der „daten- schutzrechtliche Vorgesetzte“ entscheidet im Anschluss, ob er selbst die Freigabe erteilt oder ob er sie verweigert (mit der Folge, dass das automa- tisierte Verfahren in der jeweiligen Schule bzw. im jeweiligen Schulamtsbe- zirk nicht eingesetzt wird). Vor der Erteilung der Freigabe dürfen freigabepflichtige Verfahren nicht eingesetzt werden. Das Fehlen der Freigabe kann von der zuständigen Rechtsaufsichtsbehörde und dem Landesbeauftragten für den Datenschutz beanstandet werden. Fehlende Freigaben sind daher umgehend nachzuho- len. Eine übersichtliche und leicht nachvollziehbare grafische Darstellung der einzelnen Schritte auf dem Weg zur datenschutzrechtlichen Freigabe ent- hält der „Musterablaufplan für das datenschutzrechtliche Freigabeverfah- ren“, den der Landesbeauftragte für den Datenschutz auf seiner Web-Seite www.datenschutz-bayern.de in der Rubrik „Themen – Allgemeines“ zum Abruf bereithält. 2.2 Führen des Verfahrensverzeichnisses gemäß Art. 27 BayDSG Der Datenschutzbeauftragte führt gemäß Art. 27 Abs. 1 BayDSG ein Ver- fahrensverzeichnis der bei der öffentlichen Stelle eingesetzten und daten- - 12 - schutzrechtlich freigegebenen automatisierten Verfahren, mit denen perso- nenbezogene Daten verarbeitet werden. Auch Anlagen zur Videoaufzeich- nung sind gemäß Art. 21a Abs. 6 Satz 1 in Verbindung mit Art. 27 BayDSG in das Verfahrensverzeichnis aufzunehmen, falls die Videoaufzeichnung über den Rahmen der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG hinausgeht (siehe dazu auch den folgenden Abschnitt I Nr. 2.2.1). Das Verfahrensverzeichnis kann grundsätzlich von jedem kostenfrei ohne Nachweis eines berechtigten Interesses eingesehen werden (Art. 27 Abs. 3 BayDSG). Das Verfahrensverzeichnis dient insbesondere dazu, dass sich z. B. Schülerinnen und Schüler oder deren Erziehungsberechtigte über die elektronische Verarbeitung ihrer personenbezogenen Daten an der Schule informieren können. 2.2.1 Ausnahmen von der Pflicht zur Führung eines Verfahrensverzeichnis- ses Automatisierte Verfahren, die der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG entsprechen, sowie Verfahren im Sinne von § 2 DSchV (s. o. unter Abschnitt I Nr. 2.1.1) müssen nicht in das Verfahrensverzeichnis aufgenommen werden. 2.2.2 Hinweise zur Führung des Verfahrensverzeichnisses In der Praxis besteht das Verfahrensverzeichnis aus ¾ den vom Staatsministerium für Unterricht und Kultus gemäß Art. 26 Abs. 1 Satz 2 Halbsatz 2 BayDSG landesweit freigegebenen automati- sierten Verfahren (wie z. B. der landesweiten Freigabe des staatlichen Schulverwaltungsprogramms ASV), ¾ den automatisierten Verfahren, die nach Art. 26 Abs. 1 Satz 2 Halbsatz 1 BayDSG vom Vorstand der AKDB freigegeben wurden, ¾ den vom Datenschutzbeauftragten der Schule bzw. des Schulamtsbezirks gemäß Art. 26 Abs. 1 Satz 1 BayDSG freigegebenen automatisier- ten Verfahren, sobald und solange sie an der Schule bzw. im Schulamtsbezirk zum Ein- satz kommen (siehe auch Nr. 5 VollzBekBayDSG). - 13 - 2.3 Beratung der Beschäftigten der öffentlichen Stelle gemäß Art. 25 Abs. 3 Satz 6 BayDSG Beschäftigte der Schule können sich unmittelbar (d. h. ohne Beteiligung ihrer Vorgesetzten) an den zuständigen Datenschutzbeauftragten wenden. Zur Beratung gehört es auch, Hinweisen der Beschäftigten zu datenschutz- rechtlichen Problemen nachzugehen. Der Datenschutzbeauftragte ist zur Verschwiegenheit über Personen ver- pflichtet, die ihm in seiner Eigenschaft als Datenschutzbeauftragter Tatsa- chen anvertraut haben, sowie über diese Tatsachen selbst, soweit sie nicht durch diese Person davon befreit werden (Art. 25 Abs. 4 Satz 3 BayDSG). 2.4 Einhaltung des Datenschutzes gemäß Art. 25 Abs. 4 Satz 1 BayDSG Insgesamt hat der behördliche Datenschutzbeauftragte gemäß Art. 25 Abs. 4 Satz 1 BayDSG die Aufgabe, auf die Einhaltung des Bayerischen Datenschutzgesetzes und anderer Vorschriften über den Datenschutz in der öffentlichen Stelle hinzuwirken. 3. Rechte des Datenschutzbeauftragten 3.1 Direkte Unterstellung unter die Behördenleitung Die Datenschutzbeauftragten der Schulen sind in dieser Eigenschaft unmit- telbar der Schulleitung unterstellt, die Datenschutzbeauftragten in den Schulamtsbezirken den fachlichen Leitungen des Schulamts (vgl. Art. 25 Abs. 3 Satz 1 BayDSG). 3.2 Weisungsfreiheit in der Tätigkeit als Datenschutzbeauftragter Die Datenschutzbeauftragten sind in ihrer Eigenschaft als Datenschutzbe- auftragte weisungsfrei (Art. 25 Abs. 3 Satz 2 BayDSG). Die Weisungsfrei- heit bezieht sich auf fachliche Weisungen betreffend den Datenschutz. Vom „datenschutzrechtlichen Vorgesetzten“ können weiterhin organisatorische und dienstrechtliche Anweisungen (z. B. zur Arbeitszeit) erteilt werden. - 14 - Die Weisungsfreiheit bezieht sich dagegen nicht auf sonstige Funktionen, die vom Datenschutzbeauftragten noch ausgeübt werden (also z. B. nicht auf die Tätigkeit als Lehrkraft im Unterrichtsbetrieb). 3.3 Recht der unmittelbaren Kontaktaufnahme zum Landesbeauftragten für den Datenschutz Die Datenschutzbeauftragten können sich in Zweifelsfällen unmittelbar (d. h. ohne Einhaltung des Dienstweges) an den Landesbeauftragten für den Datenschutz wenden (Art. 25 Abs. 3 Satz 3 BayDSG). Die behördli- chen Datenschutzbeauftragten sollten allerdings zunächst versuchen, die Rechtslage selbst zu klären und den Landesbeauftragten nur dann um Stel- lungnahme bitten, wenn trotz entsprechender innerbehördlicher Bemühun- gen Zweifel an der Auslegung datenschutzrechtlicher Vorschriften beste- hen. Der „datenschutzrechtliche Vorgesetzte“ kann verlangen, dass ihm schriftliche Anfragen an den Landesbeauftragten zur Kenntnis zugeleitet werden (siehe zum Ganzen Wilde/Ehmann/Niese/Knoblauch, Kommentar zum BayDSG, Art. 25, Rdz. 24, a.a.O.). Auf der Web-Seite des Bayerischen Landesbeauftragten für den Daten- schutz (www.datenschutz-bayern.de) finden sich neben den Kontaktdaten u. a. auch ausgewählte Rechtsvorschriften betreffend den Datenschutz so- wie die Tätigkeitsberichte, die sich u. a. mit Datenschutzfragen aus dem schulischen Bereich befassen. 3.4 Benachteiligungsverbot Die Datenschutzbeauftragten dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden (Art. 25 Abs. 3 Satz 4 BayDSG). Umsetzungen, Versetzungen, Kündigungen oder disziplinarische Maßnahmen, die aus der Wahrnehmung der Funktion als behördlicher Datenschutzbeauftragter her- rühren, sind daher unzulässig. - 15 - 3.5 Freistellung Die behördlichen Datenschutzbeauftragten sind im erforderlichen Umfang von der Erfüllung sonstiger dienstlicher Aufgaben freizustellen (Art. 25 Abs. 3 Satz 5 BayDSG). Das Staatsministerium für Unterricht und Kultus stellt hierzu ein Anrechnungsstundenkontingent zur Verfügung. 3.6 Unterstützung durch andere Stellen und Einsicht in Unterlagen Die Schule und die übrige Schulverwaltung haben den Datenschutzbeauf- tragten bei der Erfüllung seiner Aufgaben zu unterstützen. Zur Überwa- chung der Einhaltung des BayDSG und anderer Vorschriften über den Da- tenschutz kann er Einsicht in Akten und Dateien der Schule(n) nehmen, für die er zuständig ist, soweit gesetzliche Regelungen nicht entgegenstehen; Akten mit personenbezogenen Daten, die dem Arztgeheimnis unterliegen und Personalakten dürfen allerdings nur mit Einwilligung der Betroffenen eingesehen werden. Jede Einsichtnahme unterliegt dem Erforderlichkeitsgrundsatz und hat sich auf den zur Aufgabenerfüllung erforderlichen Umfang zu beschränken (Wil- de/Ehmann/Niese/Knoblauch, a.a.O., Handbuch für Datenschutzverant- wortliche, Abschnitt II Nr. 4 f). Zur Verschwiegenheitspflicht siehe oben un- ter Abschnitt I Nr. 2.3. II. Wichtige Datenschutzbestimmungen für die Schulen 1. Bayerisches Datenschutzgesetz (BayDSG) Abrufbar über die Web-Seite des Landesbeauftragten für den Datenschutz unter dem Pfad www.datenschutz-bayern.de in der Rubrik „Recht & Normen – Allgemeines Datenschutz- recht“. Siehe insbesondere: Art. 4 Begriffsbestimmungen Art. 5 Datengeheimnis Art. 6 Auftragsdatenverarbeitung Art. 7 Technische und organisatorische Maßnahmen zum Datenschutz Art. 10 Auskunftsanspruch der Betroffenen - 16 - Art. 12 Löschung, Sperrung Art. 15 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Art. 16 Datenerhebung Art. 17 Verarbeitung und Nutzung Art. 18 Datenübermittlung an öffentliche Stellen Art. 19 Datenübermittlung an nicht-öffentliche Stellen Art. 21 Datenübermittlung an Stellen im Ausland Art. 21a Videobeobachtung und Videoaufzeichnung (Videoüberwachung) Art. 25 Behördliche Datenschutzbeauftragte Art. 26 Datenschutzrechtliche Freigabe automatisierter Verfahren Art. 27 Verfahrensverzeichnis Art. 28 Rechtsverordnungsermächtigungen. Das BayDSG ist ein sog. Auffanggesetz. Es tritt zurück, wenn spezielle Datenschutzvorschriften den gleichen Sachverhalt regeln (Art. 2 Abs. 7 BayDSG). Dabei wird das BayDSG nur im Rahmen des tatsächlichen Um- fangs der Spezialnorm verdrängt. Bereichsspezifische Regelungen für den schulischen Bereich enthalten z. B. Art. 31, 85, 85a, 88a, 111, 113a Abs. 3, 113b Abs. 8, 113c BayEUG, § 50 BeamtStG, Art 102ff. BayBG sowie die Schulordnungen. Beispiel: Was unter personenbezogenen Daten zu verstehen ist, ist in Art. 4 Abs. 1 BayDSG geregelt. Die Datenerhebung, -verarbeitung und -nutzung perso- nenbezogener Daten ist für die Schulen speziell in Art. 85 Abs. 1 BayEUG geregelt. 2. Bekanntmachung zum Vollzug des Bayerischen Datenschutzgesetzes (VollzBekBayDSG) Abrufbar über die Web-Seite des Landesbeauftragten für den Datenschutz unter dem Pfad www.datenschutz-bayern.de in der Rubrik „Recht & Normen – Allgemeines Datenschutz- recht“. Die VollzBekBayDSG enthält u. a. Hinweise zum datenschutzrechtlichen Freigabeverfahren und zum Verfahrensverzeichnis. - 17 - 3. Datenschutzverordnung (DSchV) Abrufbar über die Web-Seite des Landesbeauftragten für den Datenschutz unter dem Pfad www.datenschutz-bayern.de in der Rubrik „Recht & Normen – Allgemeines Datenschutz- recht“. Die DSchV regelt u. a. Ausnahmen vom Freigabeerfordernis. 4. Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) Abrufbar über die Web-Seite des Staatsministeriums für Unterricht und Kultus unter dem Pfad http://www.km.bayern.de/ministerium/recht.html in der Rubrik „Gesetze“. Siehe insbesondere Art. 31, 85, 85a, 88a, 111, 113a, 113b, 113c BayEUG. 5. Schulordnungen Abrufbar über die Web-Seite des Staatsministeriums für Unterricht und Kultus unter dem Pfad http://www.km.bayern.de/ministerium/recht.html in der Rubrik „Schulordnungen“. Die Schulordnungen enthalten zahlreiche Bestimmungen über personen- bezogene Daten (z. B. zum Anmeldeverfahren, zu den Aufnahmevoraus- setzungen, zum Schülerbogen, zu Erhebungen). 6. Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG (DVBayDSGKM ) Abrufbar über die Web-Seite des Staatsministeriums für Unterricht und Kultus unter dem Pfad http://www.km.bayern.de/ministerium/recht/datenschutz.html in der Rubrik „Sonstige Verordnungen“. Automatisierte Datenverarbeitungsverfahren, die sich im Rahmen dieser Durchführungsverordnung halten, bedürfen keiner datenschutzrechtlichen Freigabe und müssen nicht in das Verfahrensverzeichnis aufgenommen werden (siehe insbesondere die Regelungen betreffend die Videoaufzeich- nung an Schulen [Anlage 8 der Verordnung], betreffend den Internetauftritt von Schulen [Anlage 9 der Verordnung], betreffend passwortgeschützte Lernplattformen [Anlage 10 der Verordnung] und betreffend den schulinter- nen passwortgeschützten Bereich [Anlage 11 der Verordnung]). - 18 - 7. Erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen (im Folgenden: Erläuternde Hinweise) Abrufbar über die Web-Seite des Staatsministeriums für Unterricht und Kultus unter dem Pfad http://www.km.bayern.de/ministerium/recht/datenschutz.html. Die Hinweise (KMBek vom 11.01.2013, KWMBl S. 27, ber. S. 72) erläutern neben wichtigen Begriffen im Zusammenhang mit dem Datenschutz auch die für personenbezogene Daten an Schulen einschlägigen Datenschutz- vorschriften. Neben dem BayDSG werden dabei auch die speziell für den Schulbereich erlassenen Vorschriften berücksichtigt. 8. Rechtliche Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schulen Abrufbar über die Web-Seite des Staatsministeriums für Unterricht und Kultus unter dem Pfad http://www.km.bayern.de/ministerium/recht.html in der Rubrik „Bekanntmachungen“. Die Hinweise (KMBek vom 12.09.2012, KWMBl S. 317) gehen auf die we- sentlichen Rechtsfragen ein, die bei der Anwendung des Internets im schu- lischen Bereich von Bedeutung sind. Neben Fragen der Verantwortlichkeit, der erforderlichen organisatorischen Maßnahmen sowie urheberrechtlichen Fragestellungen werden auch datenschutzrechtliche Aspekte behandelt. 9. Nr. 4.3 der Bekanntmachung zu Medienbildung, Medienerziehung und informationstechnischer Bildung in der Schule Abrufbar über die Web-Seite des Staatsministeriums für Unterricht und Kultus unter dem Pfad http://www.km.bayern.de/lehrer/erziehung-und-bildung/medien.html in der Rubrik „Wo bekomme ich Informationen …?“. In Nr. 4.3 der Bekanntmachung werden Hinweise zum Einsatz einer pass- wortgeschützten Lernplattform gegeben (vgl. unten Abschnitt IV Nr. 9). III. Erläuterung wichtiger Begriffe im Zusammenhang mit dem Datenschutz, Auftragsdatenverarbeitung und Datenverarbeitung im außereuropäischen Ausland Siehe zu den wichtigen Begriffen im Zusammenhang mit dem Datenschutz Nr. 2 der Erläuternden Hinweise, zur Auftragsdatenverarbeitung Nr. 4.5 der Erläuternden Hinweise und zur Datenverarbeitung im außereuropäischen - 19 - Ausland Nr. 4.2 Buchst. g der Erläuternden Hinweise. Die folgenden Bei- spiele und die Prüfschemata betreffend zulässige Datenerhebung, -verarbeitung und -nutzung (Anlage 6) sollen die dortigen Ausführungen ergänzen: Beispiel zur Nutzung von Daten: Verlangt eine Lehrkraft Auskunft gemäß Art. 10 BayDSG über die über sie bei der Schule gespeicherten Daten und wird diese Auskunft erteilt, liegt eine Nutzung in Form der Datenweitergabe (jedoch keine Datenübermitt- lung) vor. Beispiel zur speichernden Stelle: Betreffend personenbezogene Daten der Schülerinnen und Schüler und deren Erziehungsberechtigten, der Lehrkräfte und des nicht unterrichten- den Personals gemäß Art. 85 Abs. 1 BayEUG sind die Schulen speichern- de Stellen – und zwar auch dann, wenn bei Anwendung eines Schulsoft- wareprogramms eines privaten Anbieters personenbezogene Daten z. B. der Schülerinnen und Schüler und deren Erziehungsberechtigten im Rah- men einer Auftragsdatenverarbeitungsvereinbarung mit dem privaten An- bieter auf dessen Server verarbeitet werden. Datenschutzrechtlich wird der Auftragnehmer so behandelt, als sei er der „verlängerte Arm“ des Auftrag- gebers. Bei der Auftragsdatenverarbeitung wird lediglich eine „Hilfsfunktion“ der eigentlichen Aufgabe ausgelagert, nicht jedoch die Aufgabe selbst. Es findet somit keine Datenübermittlung im Sinne der Art. 18 und 19 BayDSG statt. Beispiel zu Dritten im Sinne des Art. 4 Abs. 10 BayDSG: Dritte sind z. B. nicht die privaten Anbieter eines Schulsoftwareprogramms, auf deren Server im Rahmen einer Auftragsdatenverarbeitung Daten von Schülerinnen und Schülern der jeweiligen Schule verarbeitet werden, oder die Kommune, auf deren Server im Rahmen einer Auftragsdatenverarbei- tung personenbezogene Daten staatlicher Schulen, die in der Kommune ansässig sind, verarbeitet werden. - 20 - IV. An Schulen häufig auftretende Datenschutzfragen in alphabetischer Reihenfolge 1. Bekanntgabe von Noten im Unterricht Schulnoten sind personenbezogene Daten im Sinne des Art. 4 Abs. 1 BayDSG. Das Verlesen der Noten aller Schülerinnen und Schüler durch die Lehrkraft vor versammelter Klasse stellt eine Datenverarbeitung in Form der Datenübermittlung an die Schülerinnen und Schüler gemäß Art. 85 Abs. 1 Satz 1 BayEUG dar. Nach Art. 85 Abs. 1 Satz 1 BayEUG darf eine Datenübermittlung nur erfolgen, soweit sie zur Erfüllung der den Schulen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlich ist. Zur Um- setzung des Bildungs- und Erziehungsauftrags (Art. 131 Bayerische Ver- fassung, Art. 1 und 2 BayEUG) ist eine solche Maßnahme pädagogisch in der Regel weder sinnvoll noch erforderlich. Noten können ggf. unter vier Augen mitgeteilt und besprochen werden. Soll der Klasse aus pädagogi- schen Gründen ein Gesamtbild der Ergebnisse einer Schulaufgabe o. ä. vermittelt werden, kann dies auch mittels eines Notenspiegels (zahlenmä- ßiger Überblick ohne Namensnennung) einschließlich Notendurchschnitt erfolgen. Es sind zwar Einzelfälle denkbar, in denen die Frage der pädago- gischen Erforderlichkeit einmal anders zu beurteilen sein kann (z. B. wenn sich einzelne Schülerinnen und Schüler besonders verbessert haben im Sinne einer Vorbildwirkung). Aus pädagogischer Sicht sollte eine Verlesung aller Noten aber in den meisten Fällen unterbleiben. Siehe auch den 22. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (a.a.O.), Nr. 11.1, S. 84. 2. Bild-/Tonaufnahmen durch außerschulische Stellen Insbesondere bei größeren Veranstaltungen stellt sich die Frage, wie mit Bild- und Tonaufnahmen außerschulischer Stellen z. B. für die Berichter- stattung in Presse, Rundfunk- und Fernsehen oder für die eigene Bericht- erstattung des Ausrichters (etwa von Sportwettbewerben) umzugehen ist. - 21 - Generell gilt, dass für die Rechtmäßigkeit von Bild- und Tonaufnahmen der- jenige verantwortlich ist, der sie anfertigt. Bei erkennbar rechtswidrigem Verhalten kann aber die Aufsichts- und Fürsorgepflicht ein Einschreiten – etwa auf der Grundlage des Hausrechts – gebieten. a) Foto- und Filmaufnahmen Die fotografische und filmische Abbildung insbesondere zu Zwecken der Veröffentlichung bedarf grundsätzlich der Einwilligung des Betroffenen (§ 22 Kunsturheberrechtsgesetz); unter bestimmten Voraussetzungen, z. B. wenn die abgebildete Person nur als Beiwerk neben dem eigentlichen Mo- tiv erscheint oder wenn Gegenstand der Abbildung nicht einzelne Personen sind, sondern die Veranstaltung als Ganzes oder ein repräsentativer Aus- schnitt, ist keine Einwilligung erforderlich. Um Konflikte zu vermeiden empfiehlt es sich, die Anwesenheit der Presse bei Veranstaltungen vorab anzukündigen und den einzelnen Personen Ge- legenheit zum Verlassen der Szene zu geben. b) Interviews Interviews und Befragungen einzelner minderjähriger Schülerinnen und Schülern in der Schule sind nur mit Einwilligung der Erziehungsberechtig- ten zulässig. Von Bild- und Tonaufzeichnungen Außenstehender zu unterscheiden ist eine Weitergabe von Aufnahmen durch die Schule, etwa die Übermittlung von Klassenfotos durch die Schule an die örtliche Presse oder die Veröf- fentlichung auf der Schulhomepage. In diesem Fall muss die vorherige schriftliche Einwilligung aller Betroffenen vorliegen (siehe hierzu Abschnitt IV Nrn. 14.3 und 14.4). Soweit eine Einwilligung erforderlich ist, genügt die Einholung einer pau- schalen Einwilligungserklärung (z. B. am Schuljahresbeginn) nicht, da es sich um spezifische Einzelfälle handelt, die einer pauschalen Einwilligung im Vorfeld nicht zugänglich sind. Ebenso wenig genügt die Einräumung eines bloßen Widerspruchsrechts („wer nicht widerspricht, willigt ein“). Im Fall der Genehmigung sind vielmehr auf den konkreten Fall bezogene Ein- - 22 - willigungserklärungen aller Betroffenen einzuholen (soweit minderjährige Schülerinnen und Schüler betroffen sind, die Einwilligung deren Erzie- hungsberechtigter und der minderjährigen Schülerinnen und Schüler über 14-jährigen Jahre selbst). Wegen des nicht unerheblichen Eingriffs in das Recht auf informationelle Selbstbestimmung sollten Bild- und Tonaufzeichnungen an der Schule nur in begründeten Ausnahmefällen genehmigt werden. Von den Film- und Tonaufnahmen betroffenen Lehrkräfte sollten durch die Schulleitung auf die Einhaltung ihrer Verschwiegenheitspflicht (vgl. § 37 BeamtStG, § 14 LDO) hingewiesen werden, wenn dies nach der Sachlage geboten erscheint. 3. Datenverarbeitung auf privaten Rechnern der Lehrkräfte Siehe hierzu Nr. 4.3 der Erläuternden Hinweise. Es ist zu beachten, dass die dortigen Ausführungen nicht für die Verarbeitung von Daten der Schüle- rinnen und Schüler sowie der Lehrkräfte und des nicht unterrichtenden Per- sonals durch die Schulleitung im Rahmen ihrer Schulleitungstätigkeit gel- ten. 4. Einsatz des staatlichen Schulverwaltungsprogramms ASV an der Schule, Einsatz von EDV-Programmen privater Anbieter 4.1 Staatliches Schulverwaltungsprogramm ASV Das Schulverwaltungsprogramm ASV wurde vom Staatsministerium für Unterricht und Kultus im Einvernehmen mit den betroffenen Ressorts lan- desweit freigegeben. Eine datenschutzrechtliche Freigabe durch die staatli- chen Schulen ist daher nicht erforderlich. Den schulischen Datenschutzbe- auftragten obliegt es, das Verfahren in das Verfahrensverzeichnis der Schule aufzunehmen (Art. 27 BayDSG). Im Übrigen ist zu beachten, dass die landesweite Freigabe so gestaltet ist, dass sie alle Schularten umfasst. Schulartspezifische Datenbestände sind selbstredend von den anderen Schularten nicht auszufüllen. Teilweise sind die Datenangaben auch freiwil- lig: So ist beispielsweise bei den Adressangaben/Kontaktdaten die Angabe einer Telefaxnummer, einer E-Mail-Adresse oder der URL freiwillig. Beglei- - 23 - tend zur Einführung von ASV wird vom Staatsministerium für Unterricht und Kultus ein Benutzerhandbuch zur Verfügung gestellt, das weitere Hinweise enthält. Der Einsatz des staatlichen Schulverwaltungsprogramms ASV ist für die staatlichen Schulen im in Art. 85 Abs. 1 Satz 5 BayEUG geregelten Umfang verpflichtend (siehe S. 11 f. der Landtagsdrucksache 16/3827, einsehbar auf der Web-Seite des Landtags www.bayern.landtag.de unter „Dokumen- te“ bei Eingabe der genannten Drucksachennummer in das Feld „Doku- mentennummer“). Kurz gesagt geht es dabei um die Verarbeitung und Plausibilisierung bestimmter Daten und deren Weitergabe bzw. Übermitt- lung an das zentrale ASD-Verfahren zur Unterstützung der Schulen (Art. 85a BayEUG), der Schulverwaltung (Art. 113a BayEUG) und zur Erstellung der Amtlichen Schulstatistik (Art. 113b BayEUG). ASV bietet darüber hinaus kostenfrei weitere Funktionalitäten (zur Noten- verwaltung, Zeugniserstellung, Raum-/Inventarverwaltung, Verwaltung der Gastschüler und zur Stundenplanerstellung [Stecktafel in elektronischer Form]), deren Einsatz nicht verpflichtend ist, den staatlichen Schulen aber vom Staatsministerium für Unterricht und Kultus ausdrücklich empfohlen wird. 4.2 EDV-Programme privater Anbieter Soweit die staatlichen Schulen anstelle der optionalen Funktionalitäten von ASV bzw. über die verpflichtenden und optionalen Funktionalitäten von ASV hinaus personenbezogene Daten mit EDV-Programmen privater An- bieter erheben und verarbeiten, sind die bestehenden rechtlichen Grenzen und die insoweit seitens des Staatsministeriums für Unterricht und Kultus ergangenen bzw. die noch ergehenden Hinweise zu beachten. Folgendes ist insbesondere zu berücksichtigen: Wenn die Datenverarbeitung nicht von der Freigabeverpflichtung ausge- nommen ist (siehe dazu oben Abschnitt I Nr. 2.1.1), insbesondere, wenn die Datenverarbeitung den in der Durchführungsverordnung StMUK Art. 28 - 24 - Abs. 2 BayDSG geregelten Rahmen überschreitet und auch über den Rahmen der genannten Durchführungsverordnung hinaus eingesetzt wird, hat vor dem erstmaligen Einsatz an der Schule eine datenschutzrechtliche Freigabe gemäß Art. 26 BayDSG durch den Datenschutzbeauftragten der Schule bzw. durch den Datenschutzbeauftragten am Schulamt zu erfolgen und das Verfahren ist in das Verfahrensverzeichnis der Schule bzw. des Schulamtbezirks gemäß Art. 27 BayDSG aufzunehmen. Zur Gewährleistung einer einheitlichen Rechtspraxis betreffend die Kernbe- reiche der Datenverarbeitung und um den Schulen Rechtssicherheit zu ge- ben (insbesondere bei der nicht immer einfachen Abwägung, ob eine Da- tenverarbeitung in der beabsichtigten Form erforderlich ist), ist bei der Frei- gabe Folgendes zu berücksichtigen: • Soweit mit dem Verfahren Daten verarbeitet werden, die in der o. g. landesweiten Freigabe von ASV aufgelistet sind, gelten für die Lö- schung der Daten, die Zugriffsberechtigungen auf die Daten und die Datenübermittlung die Vorgaben der landesweiten Freigabe von ASV. Siehe betreffend die Daten des Schulpersonals auch § 1 Abs. 2 der Dienstvereinbarung über die Einführung und Anwendung des bayerischen Schulverwaltungsprogramms ASV (KMBek vom 2.8.2011, KWMBl S. 248, ber. S. 364 – einsehbar unter dem Pfad http://www.km.bayern.de/ministerium/recht.html in der Rubrik „Amts- blatt“). • Betreffend die Einrichtung eines passwortgeschützten Bereichs siehe Abschnitt IV Nr. 13.3. • Sind andere Daten als die in der landesweiten Freigabe von ASV genannten betroffen, ist zu beachten, dass aus grundsätzlichen da- tenschutzrechtlichen Erwägungen eine Freigabe für folgende Daten- gruppen nicht in Betracht kommt: ¾ Ordnungsmaßnahmen ¾ Daten zum sozialen Hintergrund ¾ nicht in der landesweiten Freigabe von ASV genannte sensible Daten gemäß Art. 15 Abs. 7 BayDSG. - 25 - Beispiele: Gemäß Nr. 6 der landesweiten Freigabe von ASV sind die Leis- tungsdaten der Schülerinnen und Schüler spätestens am Ende des nachfolgenden Schuljahres zu löschen – eine datenschutzrechtliche Freigabe vor Ort dürfte keine längeren Löschungsfristen vorsehen. Sensible Daten gemäß Art. 15 Abs. 7 BayDSG sind Daten, aus de- nen die rassische und ethnische Herkunft, politische Meinungen, re- ligiöse oder philosophische Überzeugungen oder die Gewerk- schaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben. Da in der landesweiten Freigabe von ASV z. B. in Nr. 3.12 jedoch bestimmte Gesundheitsdaten bei Schülerinnen und Schülern mit sonderpädagogischen Förderbedarf genannt sind, kommt für diese Datengruppe eine Freigabe in den Grenzen der ASV-Freigabe in Betracht. Entsprechendes gilt betreffend die in Nr. 3.1 der ASV-Freigabe genannte Religionszugehörigkeit, den Ge- burtsort, das Geburtsland und die Muttersprache. Auch bei Datenhaltung auf einem schulexternen Server ist die Schu- le speichernde Stelle gemäß Art. 4 Abs. 9 BayDSG (vgl. hierzu Nr. 2.6 der Erläuternden Hinweise) und für die Daten der Schülerin- nen und Schüler und deren Erziehungsberechtigten, der Lehrkräfte und des nicht unterrichtenden Personals verantwortlich. Vor Inbe- triebnahme des Programms ist eine Auftragsdatenverarbeitungsver- einbarung mit dem Anbieter abzuschließen (siehe dazu Nr. 4.5 Buchst. a der Erläuternden Hinweise). Sofern Personalaktendaten bei verbeamteten Lehrkräften automatisiert verarbeitet oder genutzt werden, sind die Vorgaben des Art. 111 BayBG zu beachten. - 26 - 5. Erhebungen an Schulen 5.1 Allgemeines Häufig werden die Schulen direkt oder die Schulverwaltung gebeten, Be- fragungen von Schülerinnen und Schülern oder auch Eltern und Lehrkräf- ten zu genehmigen. Zum Umgang mit derartigen Erhebungen wird auf den Abschnitt 4.6 Buchst. b der Erläuternden Hinweise verwiesen. Zur Frage, ob es sich um eine anonyme Erhebung handelt (vgl. Art. 4 Abs. 8 BayDSG) oder ob anhand der abgefragten Daten ein Personenbezug hergestellt wer- den kann, wird zudem auf den 23. Tätigkeitsbericht des Landesbeauftrag- ten für den Datenschutz, Nr. 12.3, S. 92 f.) verwiesen. Siehe dazu auch den anliegenden Auszug aus dem Merkblatt zur Vorberei- tung von Erhebungen an staatlichen Schulen in Bayern (Anlage Nr. 4), das Antragstellern vom Staatsministerium für Unterricht und Kultus zur Verfü- gung gestellt wird. 5.2 Erhebungen von Kommunen z. B. für Zwecke der Jugendhilfeplanung Auch Erhebungen öffentlicher Stellen, z. B. für Zwecke der kommunalen Jugendhilfeplanung, unterliegen dem Genehmigungsvorbehalt der jeweils geltenden Schulordnung, wenn sie an Schulen stattfinden sollen. Ohne Genehmigung zulässig ist hingegen die bloße Unterstützung solcher Erhebungen, wenn sie nicht an der Schule stattfinden. Maßstab für die Abgrenzung zwischen genehmigungsbedürftigen Erhebun- gen und genehmigungsfreien Unterstützungshandlungen sind Qualität und Quantität der Beteiligung bzw. Einbindung der Schulen in die Erhebung. In jedem Fall unzulässig ist die Mitwirkung der Schule, wenn die Erhebung offenkundige datenschutzrechtliche Mängel aufweist. Beispiele: • Eine Erhebung an Schulen liegt in jedem Fall vor, wenn die Erhebung während der Unterrichtszeit erfolgt. • Bloße Unterstützungshandlungen sind z. B. das Auslegen von Fragebögen oder Hinweisen auf eine Online-Erhebung oder das Auf- - 27 - stellen eines Briefkastens für die Abgabe ausgefüllter Erhebungsbö- gen; damit liegt keine „Erhebung an Schulen“ vor. 5.3 Leistungsvergleiche gemäß Art. 111 Abs. 4 BayEUG Das Staatsministerium für Unterricht und Kultus kann Schülerinnen und Schüler sowie Lehrkräfte verpflichten, an Leistungsvergleichen teilzuneh- men, die Zwecken der Qualitätssicherung und -steigerung dienen. Eine Einwilligung der Betroffenen (auch der Erziehungsberechtigten minderjähri- ger Schülerinnen und Schüler) ist insoweit nicht erforderlich. Allerdings bezieht sich die Teilnahmeverpflichtung nur auf den Leistungs- vergleich selbst. Werden zusammen mit dem Leistungsvergleich noch wei- tere Befragungen der Schülerinnen und Schüler durchgeführt, ist insoweit die Beantwortung freiwillig (zur Frage des Einwilligungserfordernisses vgl. auch Abschnitt IV Nr. 5.4). 5.4 Wettbewerbe An die Schulen werden von den unterschiedlichsten Trägern Anfragen betreffend die Durchführung von Wettbewerben herangetragen und z. T. auch durchgeführt. Das Spektrum der Träger umfasst z. B. Banken, Sparkassen und Versiche- rungen, Krankenkassen, Stiftungen, wissenschaftliche und öffentliche Ein- richtungen; die Inhalte reichen vom Lesen, Schreiben, Rechnen, Malen über Umwelt und politische Bildung bis hin zu Gesundheitsprojekten wie etwa Impfaufrufen oder Sehtests. Auch die Intensität der Einbindung der Schulen variiert stark: Manche Wettbewerbe sind Gegenstand des Unter- richts, einige erfordern zusätzlich Stellungnahmen von Lehrkräften, andere finden im Rahmen von schulischen Veranstaltungen (z. B. Schulfesten) statt, teils geben die Schulen lediglich Hinweise auf einen Wettbewerb. Maßgeblich für eine Entscheidung über die Teilnahme an einem Schulwett- bewerb sind in erster Linie der pädagogische Nutzen und der organisatori- - 28 - sche Aufwand. Zudem sind auch einige rechtliche Vorgaben zu beachten, insbesondere das Verbot kommerzieller Werbung an Schulen gemäß Art. 84 Abs. 1 BayEUG (vgl. unten Abschnitt IV Nr. 13.5). In datenschutzrechtlicher Hinsicht gilt Folgendes: Ausrichter von Schulwettbewerben sind in aller Regel außerschulische (öf- fentliche oder private) Stellen. Sie legen die Teilnahmebedingungen fest und bestimmen dabei z. B., wie mit den Wettbewerbsbeiträgen verfahren wird. Entsprechend liegt auch die Verantwortung für die Einhaltung des Da- tenschutzrechts (und ggf. anderer Rechte wie des Allgemeinen Persönlich- keitsrechts und des Urheberrechts) grundsätzlich bei ihnen. Die Schulen sind grundsätzlich nicht verpflichtet, die Teilnahmebedingun- gen von Wettbewerben, an denen einzelne Schülerinnen und Schüler oder Schülergruppen teilnehmen, einer umfassenden rechtlichen Prüfung zu unterziehen. Je stärker die Schule die Beteiligung an einem Wettbewerb empfiehlt und den Wettbewerb zu „ihrer“ Sache macht, desto eher wird al- lerdings von ihr erwartet, dass sie sich mit den Rahmenbedingungen aus- einandergesetzt hat. Insbesondere wenn die Teilnahme am Wettbewerb während der Unterrichtszeit erfolgt und hierbei personenbezogene Daten der Schülerinnen und Schüler erhoben werden, liegt letztlich eine Daten- übermittlung durch die Schulen an den Ausrichter des Wettbewerbs vor, die einer datenschutzgerechten Einwilligung der Betroffenen bedarf (siehe Art. 15 Abs. 1 bis 4 und 7 BayDSG). Bei Rechtsverstößen oder eklatant nachteiligen Wettbewerbsbedingungen, die offenkundig oder der Schule bekannt sind, gebietet es die Aufsichts- und Fürsorgepflicht, von einer Teilnahme abzuraten bzw. – sofern die Schule als solche teilnimmt – auf eine Teilnahme zu verzichten. Dies kann beispielsweise der Fall sein, wenn es dem Ausrichter offenkundig in erster Linie darum geht, die Wettbewerbsbeiträge für kommerzielle Zwecke zu nutzen (Beispiel: Fotowettbewerbe, bei denen sich der Ausrichter die aus- schließliche Nutzung an allen eingereichten Beiträgen übertragen lässt, - 29 - oder Wissenswettbewerbe, die auf die Erhebung von Adressdaten der Schülerinnen und Schüler abzielen). Soweit Schulen in die Durchführung des Wettbewerbs einbezogen sind (z. B. durch das Betreuen, Sammeln und Übermitteln der Wettbewerbsbei- träge), haben sie in eigener Verantwortung Folgendes zu beachten: • Die Teilnahme der einzelnen Schülerinnen und Schüler ist freiwillig . • Bei minderjährigen Schülerinnen und Schülern ist die – in der Regel schriftliche – Einwilligung der Erziehungsberechtigten er- forderlich, ab Vollendung des 14. Lebensjahrs zusätzlich auch die schriftliche Einwilligung der Schülerinnen und Schüler selbst. • Der Einwilligung muss eine angemessene Information über die Teilnahmebedingungen vorausgehen. In der Regel genügt es dazu, den Schülerinnen und Schülern und ihren Erziehungsbe- rechtigten die Teilnahmebedingungen des Ausrichters zur Verfü- gung zu stellen. Siehe dazu ausführlich den 24. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, Nr. 10.4, S. 167 f. 6. Evaluation an Schulen gemäß Art. 113c BayEUG Zum Umgang mit der Evaluation an Schulen wird auf Nr. 4.6 Buchst. c der Erläuternden Hinweise und auf Art. 113c BayEUG verwiesen. 7. Nutzung des Internets an der Schule durch Schülerinnen und Schüler Das Internet kann an der Schule als Lehr- und Lernmittel genutzt werden. Dadurch ergeben sich für die Schülerinnen und Schüler einerseits vielfälti- ge Möglichkeiten, pädagogisch wertvolle Informationen abzurufen. Zum anderen besteht jedoch die Gefahr, dass die Schülerinnen und Schüler Zu- griff auf bedenkliche Inhalte erlangen, die ihnen nicht zur Verfügung stehen sollten. Weiterhin ermöglicht das Internet den Schülerinnen und Schülern, eigene Inhalte weltweit zu verbreiten. Mit den insoweit (nicht nur den Da- - 30 - tenschutz betreffenden) auftretenden Rechtsfragen befassen sich die Rechtlichen Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schulen. Aus datenschutzrechtlicher Sicht ist bei der Nutzung des Internets durch Schülerinnen und Schüler an der Schule insbesondere Folgendes zu be- achten: Gemäß Art. 7 BayDSG sind durch die Schule als speichernde Stelle techni- sche und organisatorische Maßnahmen zu treffen, die die Sicherheit der Daten gewährleisten. ¾ Technische Vorkehrungen zur Datensicherung sind z. B. der Einsatz von Filtersystemen oder die Protokollierung des Datenverkehrs (Einzel- heiten siehe Nr. 3 der Rechtlichen Hinweise zur Nutzung der EDV- Einrichtung und des Internets an Schulen und Nr. 6.1 der Erläuternden Hinweise). ¾ Organisatorische Maßnahmen zur Datensicherung sind z. B. die Gewährleistung der Beaufsichtigung der Schülerinnen und Schüler bei der an der Schule erfolgenden Internetnutzung (siehe dazu Nrn. 2.3 und 2.4 der Rechtlichen Hinweise zur Nutzung der EDV-Einrichtung und des In- ternets an Schulen) sowie die Erstellung einer Nutzungsordnung (Hin- weise zum Inhalt der Nutzungsordnung sind in Nr. 2.6 der Rechtlichen Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schu- len zu finden). 8. Ordnungsmaßnahmen Im Schulalltag stellt sich leider von Zeit zu Zeit auch die Frage, wie Ord- nungsmaßahmen datenschutzrechtlich zu behandeln sind, z. B., ob und ggf. in welchem Umfang aus pädagogischen Gründen über verhängte Ord- nungsmaßnahmen berichtet werden kann. Auch Ordnungsmaßnahmen unterliegen dem Datenschutz. Geschützt sind dabei sowohl der Adressat der Ordnungsmaßnahme als auch eventuelle - 31 - Dritte (z. B. Betroffene der Situation, auf welche sich die Ordnungsmaß- nahme bezieht). Damit ist z. B. die Bekanntgabe einer verhängten Ordnungsmaßnahme vor der Klasse datenschutzrechtlich unzulässig. Von der eigentlichen Ordnungsmaßnahme im Rechtssinn zu unterscheiden sind Warnungen oder Ankündigungen von Ordnungsmaßnahmen. Entspre- chende Äußerungen sind keine Ordnungsmaßnahmen im Rechtssinn; sie können im Rahmen des schulischen Bildungs- und Erziehungsauftrags (Art. 131 Bayerische Verfassung, Art. 1 und 2 BayEUG) datenschutzrecht- lich zulässig sein. Beispiel: Eine Lehrkraft darf einem Schüler, der ein Fehlverhalten an den Tag legt, aus pädagogischen _Gründen auch vor der Klasse sagen: „Dafür be- kommst Du einen Verweis!“. Unzulässig wäre es dagegen z. B., der Klasse darüber zu berichten, ob der betreffende Schüler tatsächlich einen Verweis bekommen hat; erst recht wäre es unzulässig, den schriftlichen Verweis vor der Klasse zu verlesen. 9. Passwortgeschützte Lernplattformen Die Nutzung von internetbasierten Lernplattformen ist mittlerweile eine ver- breitete Form modernen Unterrichtsgeschehens. In virtuellen Kursräumen können z. B. von der Lehrkraft Arbeitsmaterialien und Aufgaben für die Schülerinnen und Schüler bereit gestellt werden, die dann in der Schule und zu Hause selbstständig bearbeitet werden können. Darüber hinaus bieten Lernplattformen die Möglichkeit, schulinterne organisatorische Ver- fahren (Abstimmungen, Umfragen, etc.) zu beschleunigen und zu vereinfa- chen. Eine Kooperation mit anderen Schulen ist in diesem Rahmen eben- falls möglich. Damit unterscheidet sich die Funktionalität einer Lernplattform erheblich von der unter Abschnitt IV Nr. 7 beschriebenen Nutzung des In- ternets. - 32 - In der Regel werden beim Einsatz von passwortgeschützten Lernplattfor- men personenbezogene Daten erhoben, verarbeitet und genutzt. Dabei liegt die Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Vorgaben bei der Schule als speichernde Stelle im datenschutzrechtlichen Sinn. Werden im Rahmen der Nutzung einer passwortgeschützten Lern- plattform Daten auf einem schulexternen Server gespeichert, sind Rege- lungen zur Datenverarbeitung im Auftrag zu treffen (siehe zur Auftragsda- tenverarbeitung Nr. 4.5 Buchst. a der Erläuternden Hinweise). In Anlage 10 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG hat das Staatsministerium für Unterricht und Kultus eine ausführliche Rege- lung betreffend passwortgeschützte Lernplattformen getroffen. Entspre- chend diesen Vorgaben ist insbesondere Folgendes zu beachten: Solange und soweit der Einsatz von Lernplattformen nicht aufgrund von Regelungen des Staatsministeriums für Unterricht und Kultus (z. B. Lehrpläne oder KMBek) zum verpflichtenden Bestandteil des Unterrichts erklärt wird, ist die Angabe personenbezogener Daten für die Schülerinnen und Schüler und die Lehrkräfte in diesem Rahmen freiwillig. Auch eine bereits erteilte Einwil- ligung kann jederzeit ohne nachteilige Folgen widerrufen werden. Aus der Nichtteilnahme an diesem Angebot darf kein Nachteil entstehen. Für die Einwilligung der Schülerinnen und Schüler sowie der Lehrkräfte hat das Staatsministerium für Unterricht und Kultus den Schulen zwei Muster zur Verfügung gestellt, deren Einsatz verpflichtend ist (siehe Anlage Nr. 5). In Nr. 4.3 der KMBek Medienbildung vom 24.10.2012 (KWMBl S. 357) sind die Voraussetzungen geregelt, unter denen eine Verbindlichstellung erfol- gen kann: „Der Einsatz einer passwortgeschützten Lernplattform kann allerdings auch zum verpflichtenden Bestandteil des Unterrichts an einer Schule oder in einzelnen Klassen oder Kursen der Schule erklärt werden, wenn - ein entsprechender Beschluss der Lehrerkonferenz in Abstimmung mit den maßgeblichen Schulgremien (insbesondere dem Schulforum) sowie dem Schulaufwandsträger vorliegt, - sichergestellt ist, dass betroffenen Schülerinnen und Schülern ohne häuslichen Internetanschluss kein Nachteil erwächst. Dies kann bei- - 33 - spielsweise dadurch erreicht werden, dass alternative Zugangsmöglich- keiten in der Schule auch außerhalb des Unterrichts zur Verfügung ge- stellt werden und - der von Anlage 10 „Passwortgeschützte Lernplattform“ der Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzge- setzes gesteckte Rahmen nicht überschritten wird.“ 10. Schülerfotos Die Fertigung eines Fotos stellt eine Datenerhebung gemäß Art. 4 Abs. 5 BayDSG dar. Staatliche Schulen stellen für Schülerinnen und Schüler ab der Jahrgangs- stufe 5 Schülerausweise aus. Der Schülerausweis wird von der Schule, welcher die Schülerin bzw. der Schüler angehört, auf Antrag ausgestellt (siehe die KMBek zur Ausstellung von Schülerausweisen vom 27.08.1996 [KWMBl I S. 339]). Die Schule kann sich dabei eines privaten Dritten (z. B. einer Fotofirma) bedienen. In diesem Fall liegt eine Auftragsdatenverarbei- tung vor, bei der die Vorgaben des Art. 6 BayDSG zu beachten sind (siehe dazu die o. g. KMBek). Soweit ein entsprechender Antrag gestellt wird, sind die Datenerhebung (Fertigung der Fotografie) und die Datennutzung durch den Auftragnehmer zur Erstellung des Schülerausweises (und nur zu diesem Zweck) zulässig (siehe auch Nr. 4.5 Buchst. b der Erläuternden Hinweise). Abgesehen von der in der o. g. KMBek geregelten Erstellung von Schü- lerausweisen ab Jahrgangsstufe 5 sind alle sonstigen Fotoaktionen an der Schule (insbesondere Klassenfotos) oder im Rahmen von schulischen Ver- anstaltungen in Anbetracht des verfassungsrechtlich in Art. 1 und 2 Grund- gesetz garantierten „Rechts am eigenen Bild“ nur mit datenschutzgerech- ter, insbesondere freiwilliger, informierter und schriftlicher Einwilligung der Betroffenen im Sinne des Art. 15 Abs. 1 bis 4 und 7 BayDSG möglich (bei minderjährigen Schülerinnen und Schülern müssen die Erziehungsberech- tigten schriftlich einwilligen, bei über 14-jährigen Schülerinnen und Schülern zusätzlich auch diese – allerdings genügt hier aus Praktikabilitätsgründen - 34 - betreffend die Schülerinnen und Schüler ausnahmsweise deren sog. kon- kludente Einwilligung durch Teilnahme an der Fotoaktion, wenn die Freiwil- ligkeit sichergestellt ist). Bei der Erstellung von sog. „Fotositzplänen“ handelt es sich um eine Erhebung (Erstellen der Fotos), Verarbeitung (Zusammenführen von Fotos mit den Namen im Rahmen des Sitzplans) und Nutzung (eigene Verwen- dung und ggf. Weitergabe des Fotositzplans an andere Lehrkräfte des Kol- legiums) personenbezogener Daten. Nach Art. 85 Abs. 1 Satz 1 BayEUG können die Schulen die zur Erfüllung der ihnen durch Rechtsvorschriften zugewiesenen Aufgaben erforderlichen Daten erheben, verarbeiten und nutzen. Das Anfertigen von Fotos und daran anschließend die Erstellung von „Fotositzplänen“ sowie das Einstellen von „Fotositzplänen“ in einen passwortgeschützten Bereich der Schulhomepage ist jedoch zur Erleichte- rung des Kennenlernens zum Schuljahresbeginn nicht erforderlich, weil der Zweck auch mit einem „milderen“, d. h. weniger „datenintensiven“ Verfah- ren erreicht werden kann – z. B. indem die Schülerinnen und Schüler in der Anfangsphase des Schuljahres Namensschilder vor sich aufstellen. Daher sollte an den allgemeinbildenden Schulen insoweit auch von einer freiwilligen Umsetzung der Maßnahme nach Einwilligung der Betroffenen gemäß Art. 15 Abs. 1 BayDSG abgesehen werden. Die Einholung der Ein- willigung der Betroffenen (bei minderjährigen Schülerinnen und Schülern ist hierzu die schriftliche Einwilligung der Erziehungsberechtigten erforderlich, ab Vollendung des 14. Lebensjahres zusätzlich auch die schriftliche Einwil- ligung der Schülerinnen und Schüler selbst) erscheint im Übrigen ohnehin zu verwaltungsaufwändig im Verhältnis zum Nutzen der Maßnahme. Im Bereich der beruflichen Schulen, insbesondere der Berufsschulen mit dem dortigen Teilzeit- und Blockunterricht (die Lehrkraft sieht ihre Schüle- rinnen und Schüler teilweise nur in sehr großen Zeitabständen; gleichzeitig sind die Klassenstärken meist hoch), erscheint demgegenüber die Erstel- lung von „Fotositzplänen“ auf der Basis datenschutzgerechter, insbesonde- re freiwilliger, informierter und schriftlicher Einwilligungen der betroffenen Schülerinnen und Schüler denkbar. - 35 - 11. Schulkorrespondenz, insbesondere Elektronische Post 11.1 Allgemeines Die Kommunikation mittels Elektronischer Post (E-Mail) verdrängt zuneh- mend die Kommunikation auf dem konventionellen Postweg. Dabei ist zu beachten, dass Informationen, die unverschlüsselt per E-Mail gesendet werden, möglicherweise auf dem Übertragungsweg von Dritten gelesen werden können. Auch kann der Empfänger in der Regel die Identität des Absenders nicht überprüfen und weiß nicht verlässlich, wer sich hinter einer E-Mail-Adresse verbirgt. Viele E-Mail-Anbieter setzen zudem Filter gegen unerwünschte Werbung ein (sog. „SPAM-Filter“), die in seltenen Fällen auch "normale" E-Mails fälschlicherweise automatisch als unerwünschte Werbung einordnen und löschen. Eine rechtssichere Kommunikation durch einfache E-Mail ist daher nicht gewährleistet; die Schulen sollten deshalb genau abwägen, in welchen Fällen E-Mail eingesetzt werden kann. 11.2 Korrespondenz der Schule mit Außenstehenden (in der Regel mit Erziehungsberechtigten) Wenn die Schule Schulkorrespondenz mit personenbezogenem oder sons- tigem vertraulichen Inhalt an Außenstehende versenden möchte, hat dies aus den o. g. Gründen mittels verschlüsselter E-Mail zu erfolgen, um eine unbefugte Kenntnisnahme und Verfälschung auf dem Übertragungsweg zu verhindern. Alternativ kann die Nachricht auch auf dem konventionellen Postweg mittels Brief versandt werden. Sofern es um den Versand von In- formationen geht, die nicht schutzbedürftig sind, kann der Versand von E-Mails dagegen ausnahmsweise auch ohne Anwendung einer Verschlüs- selung erfolgen. Beispiele: Erziehungsberechtigte erkundigen sich per E-Mail nach dem Datum des Schulfestes oder fragen aufgrund der im Wetterbericht angekündigten Ta- geshöchsttemperatur an, ob an einem bestimmten Tag der Unterricht we- gen „hitzefrei“ früher endet. Hier kann auch mittels unverschlüsselter E-Mail das Datum des Schulfestes mitgeteilt werden bzw. geantwortet werden, - 36 - dass an dem besagten Tag der Unterricht nicht früher endet. Ist dagegen eine Schülerin bzw. ein Schüler schon seit mehreren Tagen krank gemeldet und die Schule möchte die Erziehungsberechtigten an die Vorlage der Krankmeldung erinnern, kommen nur eine verschlüsselte E- Mail oder ein Brief an die bzw. ein Anruf bei den Erziehungsberechtigten in Betracht. 11.3 Mitteilungen an die Schule Hinsichtlich der Mitteilungen von Außenstehenden an die Schule sollte die Schule empfehlen, keine unverschlüsselten E-Mails mit schutzbedürftigem Inhalt zu versenden. Letztlich muss die Schule aber auch entsprechende unverschlüsselte E-Mails von Erziehungsberechtigten zur Kenntnis neh- men. Beispiel: Während der Fahrt zur Arbeit teilt eine Erziehungsberechtigte der Schule per unverschlüsselter E-Mail von ihrem Smartphone aus mit, dass ihr Kind erkrankt sei. Sofern sich keine Zweifel daran aufdrängen, dass es sich bei der Absenderin um die Erziehungsberechtigte des Kindes handelt, hat die Schule diese Mitteilung zur Kenntnis zu nehmen. Ein Anruf bei der Erzie- hungsberechtigten zur Überprüfung der Authentizität der E-Mail bleibt der Schule selbstverständlich vorbehalten. 12. Videoüberwachung Hinsichtlich der Videoüberwachung wird auf Nr. 4.6 Buchst. a der Erläu- ternden Hinweise verwiesen. Die Installation von Kameraattrappen fällt zwar eigentlich nicht unter Art. 21a BayDSG. Allerdings wird auch durch eine vorgetäuschte Überwachung ein verhaltenslenkender (präventiver) Zweck verfolgt, so dass betreffend die Anforderungen für die Installation der Attrappe die in Art. 21a Abs. 1 BayDSG genannten tatbestandlichen Voraussetzungen analog heranzuziehen sind (siehe auch den 25. Tätig- - 37 - keitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (a.a.O.), Nr. 10.5). Während bloße Videobeobachtungen sowie die Installation von Kameraatt- rappen nicht dem Freigabeerfordernis gemäß Art. 26 BayDSG (vgl. Art. 21a Abs. 1 i. V. m. Abs. 6 Satz 1 BayDSG) unterliegen, sind Videoaufzeichnun- gen vor dem erstmaligen Einsatz freizugeben (Art. 21a Abs. 6 Satz 1 i.V.m. Art. 26 bis 28 BayDSG). Videoaufzeichnungen an Schulen sind in dem in Anlage 8 der Durchfüh- rungsverordnung StMUK Art. 28 Abs. 2 BayDSG genannten Umfang allge- mein für alle staatlichen Schulen freigegeben, sofern die o. g. Vorausset- zungen vorliegen. Gemäß Anlage 8 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG darf eine Videoaufzeichnung an Schulen nur zum Schutz von Le- ben, Gesundheit, Freiheit und Eigentum der Personen, die sich im Bereich der Schule oder in deren unmittelbarer Nähe aufhalten, und zum Schutz der schulischen Einrichtung vor Sachbeschädigung und Diebstahl einge- setzt werden. Von der Videoaufzeichnung dürfen dabei nur Personen be- troffen sein, die sich im Eingangsbereich der Schule aufhalten oder die sich außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen zwischen 22:00 Uhr und 6:30 Uhr auf dem Schulgelände befinden; über diese zeitliche Begrenzung hinaus ist eine Aufzeichnung nur an Feiertagen, Wochenenden oder in den Ferien außerhalb von schuli- schen oder sonstigen von der Schule zugelassenen Veranstaltungen auf dem Schulgelände zulässig. Die gespeicherten Daten sind jeweils spätes- tens drei Wochen nach der Aufzeichnung zu löschen, soweit sie nicht zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt wer- den. Nur die Schulleitung und die von ihr beauftragten Angehörigen des Lehr- oder Verwaltungspersonals dürfen an der Schule die Videoaufzeich- nungen einsehen. - 38 - Soweit die Videoaufzeichnung den in Anlage 8 der Durchführungsverord- nung StMUK Art. 28 Abs. 2 BayDSG geregelten Rahmen nicht überschrei- tet, ist eine datenschutzrechtliche Freigabe durch den örtlich zuständigen Datenschutzbeauftragten nicht erforderlich. Wichtig: Eine Verpflichtung der Schulen zur Durchführung von Videoaufzeichnungen wird dagegen durch die Regelung in der genannten Durchführungsverordnung nicht begründet. Der in Anlage 8 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG betreffend die Möglichkeit von Videoaufzeichnungen vorgegebene Rahmen muss auch nicht ausgeschöpft werden. Bei einem Antrag auf Freigabe einer Videoaufzeichnung sind dem Daten- schutzbeauftragten zusätzlich zu den sonst üblichen Unterlagen auch An- gaben betreffend die räumliche Ausdehnung und Dauer der Videoaufzeich- nung, die Maßnahmen, mit denen die Videoüberwachung und die erheben- de Stelle erkennbar gemacht werden, und die vorgesehenen Auswertungen der Aufzeichnungen vorzulegen (vgl. Art. 21a Abs. 6 Satz 2 BayDSG) – siehe dazu auch Abschnitt I Nr. 2.1.2 (3). 13. Weitergabe personenbezogener Daten von Schülerinnen und Schülern, deren Erziehungsberechtigten und von Lehrkräften Die nicht zur Erfüllung schulischer Aufgaben gemäß Art. 85 Abs. 1 und 3 BayEUG erfolgende Weitergabe von Daten und Unterlagen über Schülerin- nen und Schüler und Erziehungsberechtigte an außerschulische Stellen ist untersagt, falls nicht ein rechtlicher Anspruch auf die Herausgabe der Da- ten nachgewiesen wird (Art. 85 Abs. 2 Satz 1 BayEUG) oder eine daten- schutzgerechte Einwilligung der Schülerinnen und Schüler und Erzie- hungsberechtigten im Sinne des Art. 15 Abs. 1 bis 4 und 7 BayDSG vor- liegt. Die nicht zur Erfüllung schulischer Aufgaben gemäß Art. 85 Abs. 1 und 3 BayEUG erfolgende Weitergabe personenbezogener Daten von Lehrkräf- ten an außerschulische Stellen darf ebenfalls nur mit Einwilligung der be- troffenen Lehrkraft im Sinne des Art. 15 Abs. 1 bis 4 und 7 BayDSG erfol- gen. Bei verbeamteten Lehrkräften darf eine Weitergabe von Personalak- - 39 - tendaten – mit Ausnahme der in Art. 108 Abs. 1 und Abs. 3 BayBG genann- ten Stellen – nur mit Einwilligung der betroffenen Lehrkraft erfolgen, es sei denn, dass die Abwehr einer erheblichen Beeinträchtigung des Gemein- wohls oder der Schutz berechtigter, höherrangiger Interessen des Dritten die Auskunftserteilung zwingend erfordert. Inhalt und Empfänger der Aus- kunft sind der betroffenen Lehrkraft schriftlich mitzuteilen, vgl. Art. 108 Abs. 2 BayBG, 111 Abs. 1 Satz 2, § 50 Satz 4 BeamtStG. Hinsichtlich der Personalaktendaten von angestellten Lehrkräften gelten die Regelungen über das Personalaktenrecht der bayerischen Beamtinnen und Beamten als allgemein gültige Schutzvorschriften für alle öffentlichen Bediensteten grundsätzlich entsprechend. Unter „Weitergabe“ ist dabei die Übermittlung in jeglicher Form zu verste- hen, schriftlich ebenso wie mündlich, durch Gewährung der Einsichtnahme ebenso wie durch Aushändigung, durch Bekanntgabe gegenüber Einzelnen ebenso wie durch Veröffentlichungen (Lindner/Stahl, Das Schulrecht in Bayern, Kommentierung zu Art. 85 BayEUG Rdnr. 9, a.a.O.). 13.1 Jahresbericht Art. 85 Abs. 3 BayEUG regelt die Datenweitergabe in Form des Jahresbe- richts. Die dortige Aufzählung der Daten, die (ohne Einwilligung der Betrof- fenen) in den Jahresbericht aufgenommen werden dürfen, ist abschließend (Lindner/Stahl, Das Schulrecht in Bayern, Kommentierung zu Art. 85 Bay- EUG Rdnr.10, a.a.O.). Weitere personenbezogene Daten wie z. B. die Bekenntniszugehörigkeit der Schülerinnen und Schüler oder der Lehrkräfte, Angaben über Anschrift oder Geburtsort der Schülerinnen und Schüler sowie die Aufnahme des Berufs der Erziehungsberechtigten, Klassenfotos oder Einzelfotografien von Schülerinnen und Schülern oder von Lehrkräften sind im Jahresbericht allenfalls mit Einwilligung der Betroffenen zulässig. Das Staatsministerium für Unterricht und Kultus hat den staatlichen Schulen insoweit vier Einwilli- gungsmuster verbindlich vorgegeben (siehe Anlagen zu den Erläuternden Hinweisen). Insbesondere die Aufnahme von Wohnadressen in den Jah- - 40 - resbericht sollte allerdings aus grundsätzlichen datenschutzrechtlichen Er- wägungen in keinem Fall erfolgen (auch nicht bei Vorliegen einer entspre- chenden Einwilligung). 13.2 Schülerlisten Häufig bitten ehemalige Schülerinnen und Schüler ihre ehemals besuchte Schule (oft viele Jahre nach Verlassen der Schule) um Herausgabe von Schülerlisten einer ihrer ehemalig besuchten Klasse oder Jahrgangsstufe, um ein Klassen- oder Jahrgangstreffen zu arrangieren. Die Herausgabe von Listen mit den Namen bestimmter Schülerinnen und Schüler einer Klasse oder Jahrgangsstufe an Privatpersonen ist unter folgenden Voraus- setzung möglich: Die Schule muss einen entsprechenden Jahresbericht herausgegeben haben. Die Person, die eine Herausgabe verlangt, muss nachweisen, dass sie ehemals Mitglied der entsprechenden Klasse oder Jahrgangsstufe gewesen ist. Die Herausgabe beschränkt sich auf Anga- ben, welche gemäß Art. 85 Abs. 3 BayEUG im Jahresbericht enthalten sein dürfen. 13.3 Schulhomepage, schulinterner passwortgeschützter Bereich Die Anlage 9 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG regelt den Internetauftritt von Schulen. Danach dürfen auf der Internetseite der Schule von der Schulleitung und von Lehrkräften, die an der Schule eine Funktion mit Außenwirkung wahrnehmen, auch ohne deren Einwilli- gung lediglich Name, Namensbestandteile, Vorname(n), Funktion, Amtsbe- zeichnung, Lehrbefähigung, dienstliche Anschrift, dienstliche Telefonnum- mer und dienstliche E-Mail-Adresse angegeben werden. Eine Funktion mit Außenwirkung liegt dann vor, wenn die konkrete Funktion eine Veröffentli- chung der genannten Daten für einen unbestimmten Personenkreis erfor- derlich macht. Von einer Funktion mit Außenwirkung ist vor allem bei der Schulleitung und der stellvertretenden Schulleitung auszugehen. - 41 - Andere Daten dieser Personen (z. B. Fotos, Sprechzeiten) dürfen nur veröf- fentlicht werden, wenn die Betroffenen in die Veröffentlichung auf den In- ternetseiten der Schule wirksam eingewilligt haben (Nr. 3.1 der Anlage 9). Daten von Lehrkräften (z. B. Name, dienstliche Kommunikationsdaten, Sprechzeiten), die an der Schule keine Funktion mit Außenwirkung wahr- nehmen, sowie von Schülerinnen und Schülern, Erziehungsberechtigten und sonstigen Personen dürfen auf den Internetseiten der Schule nur veröf- fentlicht werden, wenn die Betroffenen wirksam eingewilligt haben. Bei minderjährigen Schülerinnen und Schülern bis zur Vollendung des 14. Le- bensjahres ist dabei die Einwilligung der Erziehungsberechtigten, bei min- derjährigen Schülerinnen und Schülern ab der Vollendung des 14. Lebens- jahres deren Einwilligung und die Einwilligung der Erziehungsberechtigten erforderlich (Nr. 3.2 der Anlage 9). Die Einwilligung kann widerrufen wer- den. In diesem Fall sind die Daten zu löschen. Für den Widerruf der Einwil- ligung muss kein Grund angegeben werden. Das Staatsministerium für Unterricht und Kultus hat den staatlichen Schu- len zur Einholung der Einwilligung vier Einwilligungsmuster verbindlich vor- gegeben (siehe Anlagen zu den Erläuternden Hinweisen und auch den 25. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (a.a.O.), Nrn. 10.3.1 und 10.3.2). Die Muster dürfen von den Schulen – ins- besondere in den Anschreiben – für den individuellen Einsatz angepasst werden; die rechtlichen Aussagen dürfen dadurch aber nicht verändert werden. Beispiele: (1) Eine Schule veranstaltet jedes Jahr einen „Bildungsgipfel“ mit externen Partnern. Im Anschreiben kann diese Veranstaltung neben den Schul- ausflügen, Schulfahrten usw. ebenfalls noch erwähnt werden. (2) Möchte dagegen eine Schule den Satz „Die Einwilligung ist jederzeit schriftlich bei der Schulleiterin / dem Schulleiter widerruflich“ streichen, wäre dies eine unzulässige Veränderung der rechtlichen Aussagen. (3) Die Einwilligungsmuster können z. B. auch um das Medium "Schülerzei- tung XY" ergänzt werden. - 42 - Wegen der besonderen Öffentlichkeitswirksamkeit des Internets sind die Betroffenen in jedem Fall – nicht nur bei einer Einwilligung – vor der Veröffentlichung in geeigneter Weise zu informieren. Zu den Löschungsfristen siehe im Einzelnen Nr. 5 der Anlage 9 der Durch- führungsverordnung StMUK Art. 28 Abs. 2 BayDSG. ¾ Vertretungsplan auf der Schulhomepage Vertretungspläne dürfen nach dem o. g. ohne schriftliche Zustimmung aller betroffenen Lehrkräfte nicht auf den Internetseiten der Schule ver- öffentlicht werden. Da die Zustimmung in jedem Einzelfall eingeholt wer- den müsste und dies in der Praxis kaum realisierbar ist, sollte auf eine personenbezogene Veröffentlichung der Vertretungspläne auf der Inter- netseite der Schule verzichtet werden. Indem lediglich der geänderte Zeitpunkt des Unterrichtsbeginns bzw. des Unterrichtsendes bzw. die Änderung des Unterrichtsfachs oder die Tatsache des Unterrichtsaus- falls im Internet mitgeteilt wird, kann eine ausreichende Information auch in nicht-personenbezogener Weise erfolgen. In diesem Fall ist kei- ne Zustimmung der betroffenen Lehrkräfte notwendig. Zur Möglichkeit der Einstellung eines Vertretungsplans in einen schulinternen passwort- geschützten Bereich sind die nachfolgenden Ausführungen zum schulin- ternen passwortgeschützten Bereich zu beachten. ¾ Schulinterner passwortgeschützter Bereich Dabei handelt es sich um einen Bereich der Schulhomepage, der über ein Passwort nur einem begrenzten Benutzerkreis (Lehrkräfte, Erzie- hungsberechtigte, Schülerinnen und Schüler der jeweiligen Schule) of- fen steht. Hinsichtlich des passwortgeschützten Bereiches wird auf An- lage 11 der Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG und Nr. 4.2 Buchst. f der Erläuternden Hinweise verwiesen. Ergänzend zu den dortigen Ausführungen wird auf Folgendes hingewiesen: - 43 - Soweit Elternbriefe o. ä. personenbezogene Daten enthalten, deren Be- kanntgabe an die Schulgemeinschaft nur mit Einwilligung der Betroffe- nen möglich ist (z. B. längere Erkrankung einer Lehrkraft), ist eine ent- sprechende schriftliche Einwilligung vor Einstellung des Elternbriefs in den passwortgeschützten Bereich einzuholen. 13.4 Presse Die Weitergabe personenbezogener Informationen an die Presse ist nur zulässig, wenn die Betroffenen der Weitergabe freiwillig, informiert und schriftlich zustimmen (Art. 15 Abs. 1 bis 4 und 7 BayDSG). Wurden mit Einwilligung der Betroffenen Personalaktendaten an die Presse weiterge- geben, sind den verbeamteten Lehrkräften zusätzlich Inhalt und Empfänger der Auskunft schriftlich mitzuteilen, vgl. Art. 108 Abs. 2 Satz 2 BayBG. Die Auskunft darf nur durch die Schulleitung oder eine von ihr beauftragte Lehrkraft erfolgen, vgl. Art. 80 BayBG i.V.m. § 14 Abs. 2 LDO sowie Art. 4 Abs. 2 Bayerisches Pressegesetz. Das Staatsministerium für Unterricht und Kultus hat den staatlichen Schu- len zur Einholung der Einwilligung in Veröffentlichungen in der örtlichen Tagespresse vier Einwilligungsmuster verbindlich vorgegeben (siehe Anla- gen zu den Erläuternden Hinweisen). Bei Veröffentlichungen in überörtlichen Presseerzeugnissen sind schriftli- che Einwilligungserklärungen im Einzelfall einzuholen. 13.5 Werbung Die Weitergabe von Daten und Unterlagen über Schülerinnen und Schüler an außerschulische Stellen ist grundsätzlich untersagt, falls nicht ein recht- licher Anspruch auf die Herausgabe der Daten nachgewiesen wird (Art. 85 Abs. 2 Satz 1 BayEUG); siehe im Einzelnen oben Abschnitt IV Nr. 13. Dies betrifft insbesondere auch die Weitergabe zu Werbezwecken (vgl. Nr. 4.2 Buchst. b der Erläuternden Hinweise). - 44 - Für Werbeaktivitäten, die auf eine Weitergabe personenbezogener Daten durch die Schülerinnen und Schüler selbst gerichtet sind (z. B. Gutschein- aktionen), gilt Art. 85 Abs. 2 BayEUG zwar nicht unmittelbar (vgl. insoweit Abschnitt IV Nr. 5.4). Sie sind aber regelmäßig auf die Gewinnung von Ad- ressdaten gerichtet und fallen damit im Zweifel unter das Verbot kommer- zieller Werbung an Schulen (Art. 84 Abs. 1 BayEUG). V. Quellen, Literaturhinweise Lindner/Stahl, Das Schulrecht in Bayern – Bayerisches Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) mit Kommentaren und weite- ren Vorschriften – Band 1 Tätigkeitsberichte des Bayerischen Landesbeauftragten für den Daten- schutz gemäß Artikel 30 Absatz 5 des Bayerischen Datenschutzgesetzes (abrufbar unter dem Pfad www.datenschutz-bayern.de in der Rubrik „Tätig- keitsberichte“) Wilde/Ehmann/Niese/Knoblauch, Bayerisches Datenschutzgesetz – Kom- mentar und Handbuch für Datenschutzverantwortliche, Loseblattsammlung mit etwa einjähriger Aktualisierung VI. Anlagen 1. Muster Verfahrensbeschreibung gemäß Art. 26 BayDSG 2. Muster Beschreibung der technischen und organisatorischen Maßnah- men gemäß Art. 7 und 8 BayDSG 3. Muster Verfahrensbeschreibung Videoaufzeichnung 4. Auszug aus dem Merkblatt zur Vorbereitung von Erhebungen an staatli- chen Schulen in Bayern 5. zwei Muster Einwilligung passwortgeschützte Lernplattformen 6. zwei Prüfschemata betreffend zulässige Datenerhebung, -verarbeitung und -nutzung - 45 - VII. Abkürzungsverzeichnis AKDB Anstalt für Kommunale Datenverarbeitung in Bayern ASV Amtliche Schulverwaltung (Staatliches Schulverwal- tungsprogramm) BayBG Bayerisches Beamtengesetz BayDSG Bayerisches Datenschutzgesetz BayEUG Bayerisches Gesetz über das Erziehungs- und Unter- richtswesen BDSG Bundesdatenschutzgesetz BeamtStG Gesetz zur Regelung des Statusrechts der Beamtinnen und Beamten in den Ländern (Beamtenstatusgesetz) BSO Schulordnung für die Berufsschulen in Bayern (Berufs- schulordnung) DSchV Datenschutzverordnung DVBayDSG-KM Durchführungsverordnung StMUK Art. 28 Abs. 2 BayDSG FOBOSO Schulordnung für die Fachoberschulen und Berufsober- schulen in Bayern (Fachober- und Berufsoberschulord- nung) - 46 - GSO Schulordnung für die Gymnasien in Bayern (Gymnasial- schulordnung) KMBek Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus KWMBl Amtsblatt der Bayerischen Staatsministerien für Unter- richt und Kultus und Wissenschaft, Forschung und Kunst LDO Dienstordnung für Lehrkräfte an staatlichen Schulen in Bayern (Lehrerdienstordnung) LfD Landesbeauftragter für den Datenschutz RSO Schulordnung für die Realschulen in Bayern (Real- schulordnung) VollzBekBayDSG Vollzug des Bayerischen Datenschutzgesetzes – Ge- meinsame Bekanntmachung der Bayerischen Staats- kanzlei und der Bayerischen Staatsministerien VSO Schulordnung für die Grundschulen und Hauptschulen (Volksschulen) in Bayern (Volksschulordnung) A Ritter_5174_ANL_Erlaeuternde Hinweise 2013.pdf Inhaltsübersicht I. Rechtsvorschriften Verordnung zur Änderung der Verordnung zur Durchführung des Art. 28 Abs. 2 des Bayerischen Datenschutzgesetzes Anlage zu § 1 Nr. 10: Anlage 11: Schulinterner passwortgeschützter Bereich II. Bekanntmachungen der Bayerischen Staatsministerien für Unterricht und Kultus und Wissenschaft, Forschung und Kunst 204-UK Bekanntmachung über erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen Anlage 1: Musterformular „Minderjährige Schülerinnen und Schüler” Anlage 2: Musterformular „Volljährige Schülerinnen und Schüler” Anlage 3: Musterformular „Mitglieder des Elternbeirats” Anlage 4: Musterformular „Lehrkräfte, Verwaltungspersonal, externes Personal in Ganztagesangeboten” Impressum