Datenschutz

Marcel Meckel

Bodenstedter Weg 35, 38268 Lengede
Tel.: 05344 262920-10, Fax: -11
E-Mail: datenschutz@igs-lengede.de

Folgende Schülerdaten sind in der Benutzerverwaltung hinterlegt und werden in unseren Cloud-Lösungen genutzt:

• Nachname
• Vorname
• Geschlecht (benötigen manche Systeme für personalisierte Informationen)
• Geburtsdatum (benötigen manche Systeme zur Feststellung der Volljährigkeit)
• Interne Schülernummer (eindeutiges Identifikationskennzeichen; wichtig bei der Aktualisierung von Daten)
• Jahrgang
• Klasse
• dauerhafte Klassenbezeichnung (zur Identifizierung einer Klasse oder eines Oberstufenjahrgangs unabhängig von der Klassenbezeichnung des jeweiligen Schuljahres)
• Benutzername (wird automatisiert aus dem Vor- und dem Nachnamen generiert)
• E-Mail-Adresse (wird automatisiert aus dem Vor- und dem Nachnamen generiert)

Folgende Elterndaten sind in der Benutzerverwaltung hinterlegt und werden in den zuvor genannten CloudLösungen genutzt:

• Nachname
• Vorname
• Interne Elternnummer (eindeutiges Identifikationskennzeichen; wichtig bei der Aktualisierung von Daten)
• Interne Schülernummer des Kindes/der Kinder (für die Zuordnung Eltern-Kind erforderlich)
• Jahrgang des Kindes/der Kinder
• Klasse des Kindes/der Kinder
• Benutzername (wird automatisiert aus dem/den Vor- und dem Nachnamen generiert)
• E-Mail-Adresse (wird automatisiert aus dem/den Vor- und dem Nachnamen generiert)

Besonders sensible Daten stellen Lernentwicklungsberichte und Zeugnisse sowie die in unserer Schulverwaltungssoftware gespeicherten personenbezogenen Daten dar. Diese Daten liegen auf einem schuleigenen Server. Zugriff haben ausschließlich Lehrkräfte sowie ausgewählte Mitarbeiterinnen. Die Zugriffe werden teilweise protokolliert. Ebenfalls auf dem schulischen Server befindet sich das zentrale Benutzermanagement sowie das Dokumentenmanagementsystem Nextcloud, das auch in der Schulverwaltung und im Schulmanagement eingesetzt wird, sowie OnlyOffice und BigBlueButton. Ab Ende 2021 werden aus Datenschutzgründen auch die E-Mails auf einen schuleigenen E-Mail-Server (Microsoft Exchange Server) gespeichert. Gewartet werden die Server von einem renommierten Systemhaus aus der Region, das n-211 Partnerunternehmen ist und mit dem ein EU-DSGVO2 konformer Auftragsdatenverarbeitungsvertrag abgeschlossen wurde. Dort liegen auch die Benutzerdaten für das schuleigene WLAN-Netz. In dem Lernmanagementsystem itslearning entstehen im Laufe der Zeit personenbezogene sensible Daten. Das Geschäftsfeld des in Norwegen beheimateten Unternehmens ist die Entwicklung und Bereitstellung eines Lernmanagementsystems für Schulen und Hochschulen. Die Server stehen in Norwegen. itslearning garantiert die Konformität zur EU-DSGVO3 . Ein EU-DSGVO konformer 1 Mitglied des Vorstandes der Landesinitiative n-21: Schulen in Niedersachsen online e.V. ist der jeweilige Kultusminister 2 Europäische Datenschutz-Grundverordnung vom 25.05.2018 3 Nach intensiver Prüfung haben die Bundesländer Bremen, Mecklenburg-Vorpommern und Schleswig-Holstein sowie die Städte Auftragsdatenverarbeitungsvertrag wurde abgeschlossen. Der elektronische Stundenplan bzw. das elektronische Klassenbuch WebUntis liegt auf einem Server in Österreich. Das Geschäftsfeld des in Österreich beheimateten Unternehmens ist die Entwicklung und Bereitstellung von Software und Cloudlösungen für die Stunden- und Vertretungsplanung einschl. ergänzender Zusatzmodule für Schulen und Hochschulen. Untis garantiert die Konformität zur EU-DSGVO4 . Ein EUDSGVO konformer Auftragsdatenverarbeitungsvertrag wurde abgeschlossen Auch in MensaMax entstehen im Laufe der Zeit personenbezogene schützenwerte Daten. MensaMax ist ein Unternehmen mit Sitz in Deutschland. Die Server stehen in Deutschland. Das Geschäftsfeld von MensaMax ist die Entwicklung und Bereitstellung eines Mensabestellsystems. Ein EU-DSGVO konformer Auftragsdatenverarbeitungsvertrag wurde abgeschlossen. In Office365 sowie in Workspace entstehen weniger sensible personenbezogene Daten als in den zuvor genannten Systemen. Laut eigenen Aussagen von Microsoft und Google erfüllen auch deren CloudAngebote die Regelung der EU-DSGVO. Anders als bei den anderen Cloud-Lösungen ist jedoch nicht bekannt, in welchem Land der Server steht, auf dem sich die Daten befinden. Auch unterliegen die Konzerne dem USamerikanischen Recht. Dieses sind die Gründe, weshalb wir die Cloud-Lösungen dieser Anbieter nur sehr sensibel nutzen.

Wenige Tage, vor oder nachdem eine Schülerin oder ein Schüler die Schule verlässt, wird automatisiert eine E-Mail mit dem Hinweis versandt, dass nach 30 Tagen der Account deaktiviert wird. 3 Wochen später erfolgt ein Hinweis, dass in 7 Tagen der Account deaktiviert wird. Es besteht somit die Möglichkeit, Dateien auf den eigenen Rechner herunterzuladen und so vor Verlust zu schützen. 5 Monate nach der Deaktivierung des Accounts wird dieser automatisiert gelöscht.

In unserem Content-Managementsystem sind alle Statistik-Funktionen deinstalliert. Es werden keine Nutzerdaten erhoben oder statistisch ausgewertet.

In unserem Provider-Account werden keine Logs oder Statistiken erzeugt.

erhoben

• bei Anmeldung
• im Laufe der Schulzeit ggf. aktualisiert

gespeichert in

• Schulverwaltungssoftware Atlantis (einschl. aktualisierter Daten)
• Schülerakte (Anmeldeformular)
• Klassenakte (Adress- und Telefondaten)

Datensicherung

• eigener Server
• Firewall
• individueller und doppelter Kennwortschutz
• Sicherung über redundanten Server
• Sicherung über NAS
• Analoge Dokumente: in abgeschlossenen Räumen

Zugangsberechtigung

• Lehrkräfte
• Sekretärinnen
• Schulassistentin
• Schulsozialarbeiter
• Mitarbeiterin im freiwilligen sozialen Jahr

Löschfrist

• 1 Jahr nach Ablauf des Schuljahres, in dem die Schule verlassen worden ist
• unbegrenzt: Namenslisten mit Aufnahmejahr und Abgangsjahr (pdf in NextCloud)
• unbegrenzt (sofern zugestimmt): Namenslisten mit Anschriften und Telefonnummern (pdf in NextCloud)

gespeicherte Daten

• Anmeldedatum
• Anmeldejahrgang
• Möglichst zusammen in Klasse mit
• Nachname
• Vorname
• Geschlecht
• Geburtsdatum
• Geburtsort
• Geburtsland
• Nationalität
• Mutterspräche
• Konfession
• Religionsunterricht oder Werte und Normen
• durch LSchB anerkannter Förderbedarf
• Zensuren der Fächer DE, MA, SU, EN in letzter Schule
• Arbeitsverhalten in letzter Schule
• Sozialverhalten in letzter Schule
• vorherige Schulen (Jahr, Name der Schule, Schulform, Ort)
• Klasse und Klassenlehrer vorherige Schule (wir zukünftig nicht mehr erhoben)
• Vor- und Nachnamen der Erziehungsberechtigten
• Straße, PLZ, Ort, Ortsteil der Erziehungsberechtigten
• Telefon, Handy, Telefon dienstlich, E-Mail der Erziehungsberechtigten
• Name, Beziehungsverhältnis und Telefon zur "Notfallerreichbarkeit"
• Schwimmabzeichen
• Geschwister an der IGS Lengede
• Krankheiten (sofern schulisch relevant)
• Medikamenteneinnahme (sofern schulisch relevant)
• Herausragende Leistungen (wir zukünftig nicht mehr erhoben)
• Schulbuchausleihe oder Selbstkauf
• falls vergünstige Lernmittelausleihe und reduzierter Betrag für Mahlzeiten: Grund
• (nicht) Einverständnis Aufenthalt in Kleingruppen bei Tages-/Klassenfahrten
• (nicht) Einverständnis Weitergabe von Namens- und Telefonlisten (wir zukünftig nicht mehr erhoben)
• (nicht) Einverständnis Veröffentlichung von Fotos und Namen
• Bestätigung des Erhaltes der Dokumente Lermittelausleihe, Informationen Mittagessen, Gefahrenvermeidung/grundlegende Informationen/Infektionsschutzgesetz
• Wunsch der alternativen Aufnahme an einer anderen IGS im Landkreis Peine, falls kein Platz mehr vorhanden ist

erhoben

• täglich durch Sekretariat und Lehrkräfte

gespeichert in

• WebUntis (elektronisches Klassenbuch)

Datensicherung der elektronischen Systeme

• eigener Server
• Firewall
• individueller Kennwortschutz
• Sicherung über redundanten Server
• Sicherung über NAS

Zugangsberechtigung

• Lehrkräfte
• Sekretariat

Löschfrist

• 1 Jahr nach Ablauf des Schuljahres, in dem der Schüler die Schulform verlassen hat.

gespeicherte Daten

• Unterrichtsinhalte (Lehrstoff)
• Fehlzeiten
• Abwesenheitsgrund: Arztbesuch, Berufsvorbereitung, Beurlaubt, geschwänzt, Krankheit, Ordnungsmaßnahme, schulische Veranstaltung, Unbekannt, Verspätet (Verschlafen oder Bus verpasst), Verspätet geplant (z.B. Arztbesuch), ggf. ergänzender Hinweis
• Entschuldigungs-Status: abgeholt, Eltern informiert durch Lehrkraft, Eltern informiert durch Sekretariat, Entlassen nach Absprache mit den Eltern, entschuldigt E-Mail, entschuldigt schriftlich, entschuldigt telefonisch, nicht akzeptiert, nicht entschuldigt, ggf. ergänzender Hinweis
• Einträge zum Verhalten einzelner Schüler ("Klassenbucheinträge")

erhoben

• erhalten von Erziehungsberechtigten

gespeichert in

• Schülerakte
• E-Mail
• Ablage Lehrkraft

Datensicherung

• E-Mail mit individuellem Zugang geschützt durch Kennwort
• Analoge Dokumente: in abgeschlossenen Räumen

Zugangsberechtigung

• Lehrkräfte

Löschfrist

• 1 Jahr nach Ablauf des Schuljahres, in dem sie entstanden sind
• Dokumente, die für den weiteren Bildungsgang erforderlich sind: 1 Jahr nach Ablauf des Schuljahres, in dem die Schule verlassen worden ist

gespeicherte Daten

• Krankmeldungen
• Entschuldigungsschreiben
• Anträge auf Unterrichtsbefreiung
• Mitteilungen der Erziehungsberechtigten
• vergleichbares

erhoben

• von Schülern
• korrigiert durch Lehrkräfte

gespeichert in

• Kartons oder Ordnern
• Lernmanagementsystem itskearning

Datensicherung

• individueller Kennwortschutz
• EU-DSGVO konformer Vertrag Auftragsverarbeitung mit Fa. itslearning
• Sicherungssystem bei der Fa. itslearning
• analoge Dokumente: in abgeschlossenem Raum

Zugangsberechtigung

• Lehrkräfte
• Sekretariat
• Erziehungsberechtigte (eingeschränkter Zugang)
• Hausmeister (bei Archivierung analoger Dokumente)

Löschfrist

• 2 Jahre nach Ablauf des Schuljahres, in dem sie entstanden sind

gespeicherte Daten

• Klassenarbeiten
• Test
• Ähnliches

erhoben durch

• Lehrkräfte
• Klassenkonferenz

gespeichert in

• Schulverwaltungssoftware Atlantis
• Ordner

Datensicherung der elektronischen Systeme

• eigener Server
• Firewall
• individueller Kennwortschutz
• Sicherung über redundanten Server
• Sicherung über NAS
• Analoge Dokumente: in abgeschlossenen Räumen

Zugangsberechtigung

• Lehrkräfte
• Sekretariat

Löschfrist

• 1 Jahr nach Ablauf des Schuljahres, in dem die Schülerin/der Schüler die Schulform verlassen hat
• 50 Jahre bei Abschluss- und Abgangszeugnissen (Speicherung nur analog in Ordnern)

gespeicherte Daten

• Noten oder Kompetenzen
• Arbeitsverhalten
• Sozialverhalten
• Krankheitstage
• unentschuldigte Krankheitstage
• Bemerkungen

erhoben durch

• Sekretariat durch Mitteilung der Erziehungsberechtigten

gespeichert in

• ...
• Ordner

Datensicherung der elektronischen Systeme

• eigener Server
• Firewall
• individueller Kennwortschutz
• Sicherung über redundanten Server
• Sicherung über NAS
• Analoge Dokumente: in abgeschlossenen Räumen

Zugangsberechtigung

• Sekretariat
• Lehrkraft

Löschfrist

• 1 Jahr nach Ablauf des Schuljahres, in dem die Schülerin/der Schüler die Schulform verlassen hat
• 50 Jahre bei Abschluss- und Abgangszeugnissen (Speicherung nur analog in Ordnern)

gespeicherte Daten

• ...

erhoben durch

• Lehrkräfte
• Sekretariat

gespeichert in

• elektronisch
• analog

Datensicherung

• abgesicherte Server
• Analoge Dokumente: in abgeschlossenen Räumen

Zugangsberechtigung

• Lehrkräfte
• Sekretariat

Löschfrist

• 1 Jahr nach Ablauf des Schuljahres, in dem die Schülerin/der Schüler die Schulform verlassen hat

gespeicherte Daten

• anderes Schriftgut mit Angaben über einzelne Schülerinnen und Schüler
• anderes Schriftgut mit Angaben über Klassen, Gruppen, Jahrgänge

Mit folgenden Unternehmen sind EU-DSGVO-konforme Verträge zur Auftragsverarbeitung abgeschlossen:

• itslearning GmbH, Berlin (Lernmanagementsystem)
• christmann informationstechnik + medien GmbH & Co. KG, Vechelde (Wartung schuleigene Server)
• SWH Softwarehaus Heider GmbH, Bad Abbach (Wartung Schulverwaltungsprogramm Atlantis auf schuleigenem Server) [Vereinbarung liegt noch nicht vor]
• ALL-INKL.COM - Neue Medien Münnich, Friedersdorf (Mail-Provider, Homepage) [Vereinbarung liegt noch nicht vor]

Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt.

Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

• Sie Ihre nach Art. 6 Abs. 1 S. 1 Ziff. a DSGVO ausdrückliche Einwilligung dazu erteilt haben.
• Die Weitergabe nach Art. 6 Abs. 1 S. 1 Ziff. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.
• Für den Fall, dass für die Weitergabe nach Art. 6 Abs. 1 S. 1 Ziff. c DSGVO eine gesetzliche Verpflichtung besteht.
• dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 Ziff. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.

Landkreis Peine

• Nachname
• Vorname
• Straße und Hausnummer
• PLZ
• Ortschaft
• Ort

[Text folgt]

Sie haben das Recht:

• gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 DSGVO und ggf. aussagekräftigen Informationen einer derartigen Verarbeitung verlangen,
• gemäß Art.16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen (das sog. „Recht auf Vergessenwerden“),
• gemäß Art.17 DSGVO die unverzügliche Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist,
• gemäß Art.18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und stattdessen die Einschränkung verlangen; gleiches gilt, wenn wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben,
• gemäß Art. 19 DSGVO Mitteilung zu erhalten über die Berichtigung, Löschung Ihrer personenbezogenen Daten oder der Einschränkung der Verarbeitung,
• gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen,
• gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und
• gemäß Art. 77 DSGVO sich bei der zuständigen Aufsichtsbehörde für Niedersachsen zu beschweren: Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover, 0511 120 45 00, poststelle@lfd.niedersachsen.de.

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs.1 S.1 Ziff.f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird.

Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an datenschutzbeauftragter@igs-lengede.de.

Das Thema „Datenschutz“ hat mehrere Aspekte. Da ist zum einen der Schutz von Daten vor unerlaubten Zugriffen. Hier sind die Schülerinnen und Schüler in der Pflicht, ihr Kennwort nicht an Dritte weiterzugeben und nicht öffentlich sichtbar zu machen. Unsere schuleigene Firewall dient dazu, eventuelle Hacker-Angriffe abzuwehren und aufzudecken. Ein weiterer Aspekt betrifft die Löschung von Daten. Hier gibt es rechtliche Vorgaben des Landes Niedersachsen, die selbstverständlich eingehalten werden (spätestens ein Jahr, nachdem eine Schülerin Integrierte Gesamtschule Lengede 4 / 9 IGS Lengede Gemeinsam leben kann man nur gemeinsam lernen oder ein Schüler die Schule verlässt, werden ein Großteil der Daten gelöscht bzw. vernichtet). Der in der Öffentlichkeit am intensivsten diskutierte Aspekt ist das Abgreifen von Daten ohne Kenntnis des Nutzers durch den Cloud-Betreiber und die Weiterleitung der Daten an Dritte (i.d.R. zu kommerziellen Zwecken). Auch besteht Sorge, dass in manchen Ländern (z.B. den USA) durch Anordnung von Behörden personenbezogene Daten an staatliche Institutionen weitergeleitet werden. Besonders kritisch ist es deshalb, wenn die Daten außerhalb der Europäischen Union (EU) bzw. außerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert werden. Ein zusätzlicher Aspekt betrifft die Sicherheit wichtiger Daten vor Verlust, z.B. durch einen technischen Defekt des Speichermediums. Hier stellen wir sicher, dass von allen relevanten Daten regelmäßig Backups durchgeführt werden, so dass sich der eventuelle Datenverlust auf einen kurzen Zeitraum beschränkt.