Datenschutz

Datenschutzinformation

gemäß Artikel 13 Datenschutzgrundverordnung (DSGVO) für die schulische Nutzung eines Identity-und Access Management im Rahmen der Digitalen Bildungsplattform durch die Lehrkräfte sowie Schülerinnen und Schüler an den öffentlichen Schulen in Baden-Württemberg.

Das Ministerium für Kultus, Jugend und Sport Baden-Württemberg (im Folgenden: das Kultusministerium) stellt im Rahmen der Digitalen Bildungsplattform den Lehrkräften und Schülerinnen und Schülern an den öffentlichen Schulen in seinem Geschäftsbereich ein Identity- und Accessmanagementsystem zur schulischen Nutzung bereit. Die Datenschutzerklärung informiert Sie als betroffene Person (hier: Lehrkräfte sowie Schülerinnen und Schüler) im Wesentlichen darüber, welche Daten verarbeitet werden, welchen Zwecken diese Datenverarbeitung dient, auf welchen Rechtsgrundlagen sie beruht und welche Rechte Sie haben.

1. Name und Kontaktdaten des / der Verantwortlichen

verantwortliche Schulleitung

2. Kontaktdaten des / der Datenschutzbeauftragten (Datenschutzbeauftragte/r der verantwortlichen Schule)

Behördlicher Datenschutzbeauftragter des Ministeriums für Kultus, Jugend und Sport

Thouretstraße 6 (Postquartier)

70173 Stuttgart

datenschutzbeauftragter(at)km.kv.bwl.de

3. Personenbezogene Daten, die verarbeitet werden

Es werden folgende Kategorien Ihrer personenbezogenen Daten verarbeitet:

Persönliche Stammdaten (Identitäten):

- Lehrkräfte und Schuladministratoren: Organisation, ist/nicht Stammorganisation, Personalnummer, VIVA_ID, ASV_ID, Vorname, Nachname, Benutzerkennung, Passwort, Treema_ID (optional), E-Mail (optional), Lerngruppe befristet, Lerngruppe permanent.

- Schüler: Organisation, ist/nicht Stammorganisation, ASV_ID, Vorname, Nachname, Geburtsdatum, Benutzerkennung, Passwort, Treema_ID (optional),, Lerngruppe befristet, Lerngruppe permanent.

Die Aufbewahrungszeit der persönlichen Stammdaten beträgt nach Löschung durch den Admin weitere 12 Monate (Backup).

Log-Files / Protokolldaten:

- Applikationslog: Im Applikationslog werden applikationsinterne Meldungen zur Verbesserung der Qualität erfasst. Die Meldungen werden nach RFC 5424 kategorisiert: emergency, alert, critical, error, warning, notice, infound debug.

Die Aufbewahrungszeit beträgt 90 Tage.

- Activity-Log: Im Activity-Log werden Aktivitäten im Bereich der Applikation erfasst. Dazu gehört die Art der Aktivität (z. B. User-Update kann nicht vorgenommen werden, Geburtsdatum eines Users wurde geändert), Datum/Uhrzeit des Eintrags, Loglevel (z. B. error, warning, info), Userkennung des Auslösenden der Aktivität und die Kategorie des Auslösenden (z. B. User, Administrator).

Die Aufbewahrungszeit beträgt 90 Tage.

- Service-Logs

Service Nginx:

Error.log: Speichern aller fehlerhaften Anfragen auf dem Webserver. Gespeichert werden die Uhrzeit, die IP-Adresse des Anfragenden und der aufgetretene Fehler. Zusätzlich wird die Version des Webservers gespeichert.

Acces.log: Gespeichert werden die IP Adressen der Anfragenden und die angeforderten Seiten. Zusätzlich wird die Version des Webservers gespeichert.

Service Haproxy

Haproxy.log: Gespeichert werden die IP Adressen und an welchen Webserver die Anfragen gerichtet wurden. Zusätzlich werden die angeforderten Webseiten gespeichert.

Service Redis

Redis.log: Gespeichert werden nur Redis-Fehler.

Service PostgreSQl

Postgresql.log: Gespeichert werden fehlerhafte Anfragen auf den PostgreSQL server.

Die Aufbewahrungszeit beträgt 90 Tage.

- LDAP-Log:

LDAP schreibt seine Loginformationen in das Syslog des Systems.

Die Aufbewahrungszeit des LDAP-Logs folgt damit automatisch den Einstellungen des Syslogs.

Cookies:

Die Applikation IdAM benötigt folgende Cookies, um eine Benutzersitzung aufrecht zu erhalten:

Session-Cookies

xsrf-Cookie

Hinweis zur optional anzugebenden E-Mail-Anschrift: Diese wird ausschließlich zum Zwecke der Self-Service-Passwortrücksetzung verarbeitet. Wenn Sie die E-Mail-Anschrift im IdAM angeben, willigen Sie in die diesbezügliche Verarbeitung ein.

4. Zwecke, für die die personenbezogenen Daten verarbeitet werden

Übergeordnete Zwecke der Datenverarbeitung

Das Kultusministerium stellt den Lehrkräften und Schülerinnen und Schülern im Rahmen der Digitalen Bildungsplattform IdAM zur Verfügung. Die durch das Kultusministerium bereitgestellten Anwendungen und Dienste sowie die damit verbundene Verarbeitung personenbezogener Daten dienen der Unterrichtsvorbereitung, -durchführung und -nachbereitung (Wahrnehmung des staatlichen Bildungs- und Erziehungsauftrags durch die Schule). Mit dem IdAM wird die Zugangsberechtigung zu Anwendungen und Diensten der Digitalen Bildungsplattform als Voraussetzung zur Teilnahme am digitalen Unterricht geregelt. Durch die Bündelung verschiedener Anwendungen und Dienste in einem einheitlichen Identity- und Accessmanagement wird das Erreichen der darin ein[1]gebundenen Systeme (Dienste und Anwendungen wie beispielsweise Lernmanagementsysteme) erheblich erleichtert und mithin ein Stück weit dem staatlichen Bildungs- und Erziehungsauftrag Rechnung getragen.

Die Zwecke für die Verarbeitung der einzelnen Datenkategorien

Personenstammdaten (Identitäten)

Die im System verarbeiteten oben unter Ziffer 3 abgebildeten Identitäten sind zwingend zur Anmeldung und für den Zugang zu den angeschlossenen Systemen erforderlich. Die Kombination aus verschiedenen Personenstammdaten ermöglicht unter anderem auch eine sog. Dublettenprüfung. Die Personenstammdaten werden für eine Dauer von 12 Monaten nach Löschung der Identität im System vorgehalten.

Log Files

Die erhobenen und für die Dauer von 90 Tagen gespeicherten Log Files (Protokolldaten) dienen dem Gewährleistungsziel der Datensicherheit

Cookies

Es werden ausschließlich die zur Aufrechterhaltung der Sitzung notwendigen Cookies erhoben und entsprechend gespeichert.

5. Die Rechtsgrundlage für die Datenverarbeitung

Soweit die Umsetzung des staatlichen Bildungs- und Erziehungsauftrags digitale Lernangebote für Schülerinnen und Schüler erfordert, ist deren Nutzung durch Art. 6 Abs. 1 Satz 1 lit. e) DSGVO i. V. m. § 4 Landesdatenschutzgesetz i. V. m. §§ 1, 38 Abs. 6 Schulgesetz BW gedeckt. Über die Öffnungsklausel des Artikel 88 Abs. 1 DSGVO gelangt daneben die Vorschrift des § 15 Landesdatenschutzgesetz zur Anwendung. Artikel 88 DSGVO in Verbindung mit § 15 Landesdatenschutzgesetz in Verbindung mit den bestehenden Rahmendienstvereinbarungen legitimieren also die Verarbeitung personenbezogener Daten der Lehrkräfte. Soweit das Kultusministerium und in der sich anschließenden Vereinbarungkette seine Dienstleister in der Funktion als (weitere) Auftragsverarbeiter personenbezogene Daten verarbeiten, dienen entsprechende Vereinbarungen zur Auftragsverarbeitung nach den Vorgaben des Artikel 28 DSGVO als rechtliche Grundlage in Verbindung mit dem Verantwortlichen zugewiesenen Rechtsgrundlage. Die Einwilligung gemäß Artikel 6 Abs. 1 lit. a DSGVO in die Verarbeitung optional anzugebender Daten wie die E-Mail-Adresse kann vorliegend die Datenverarbeitung legitimieren, da die zugrundeliegende Entscheidung freiwillig getroffen werden kann.

6. Dauer, für die Ihre personenbezogenen Daten gespeichert werden

Personenstammdaten (Identitäten)

Die Identitäten werden 12 Monate nach Deaktivierung endgültig aus dem System gelöscht. Log Files Die Log Files (auch Protokolldaten genannt) werden mit dem Gewährleistungsziel der Datensicherheit für eine Dauer von 90 Tagen gespeichert.

Cookies Cookies werden ausschließlich zur Aufrechterhaltung der Sitzung verarbeitet.

7. Wer trägt die datenschutzrechtliche Verantwortung?

Verantwortliche Stelle für die Datenverarbeitung ist die Schule, an der Sie arbeiten beziehungsweise zur Schule gehen, vertreten durch deren Schulleitung. Diese beauftragt sogenannte Auftragsverarbeiter mit der Bereitstellung von Anwendungen und Diensten.

8. Empfänger oder Kategorien von Empfängern personenbezogener Daten

In der Regel verarbeiten Auftragsverarbeiter Ihre Daten, um Ihnen ihre Anwendungen und Dienste bereitstellen zu können. Auch das Kultusministerium ist Auftragsverarbeiter, weil es von Ihrer Schule mit der Bereitstellung der Dienste und Anwendungen des IdAM beauftragt wurde, hat selbst aber keinerlei tatsächlichen Zugriff auf Ihre Daten. Weiterer Auftragsverarbeiter des Kultusministeriums im Sinne von Art. 28 Abs. 4 DSGVO ist die Landesoberbehörde IT Baden-Württemberg (BITBW). In den jeweiligen Rechtsverhältnissen gelten Vereinbarungen zur Auftragsdatenverarbeitung nach den Vorgaben des Art. 28 Datenschutzgrundverordnung. Weitere Empfängerkategorien hinsichtlich der von Ihnen selbst verarbeiteten Nutzerdaten sind die Administratoren des Systems auf Ebene des Auftragsverarbeiters und auf Schulebene.

9. Übermittlung an ein Drittland oder eine internationale Organisation

Im Rahmen des IdAM werden Ihre personenbezogenen Daten ausschließlich innerhalb des Geltungsbereiches der Datenschutzgrundverordnung (Europäischer Wirtschaftsraum, EWR) verarbeitet. Bei der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen als betroffene Person die nachfolgend genannten Rechte gem. Art. 15 ff. DSGVO zu (Betroffenenrechte):

1. Auskunftsrecht der betroffenen Person, Art. 15 DSGVO

Sie können Auskunft über Ihre verarbeiteten Daten verlangen. Im Einzelnen sind dies: Auskunft über die Verarbeitungszwecke, die Kategorie der Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Recht auf Beschwerde, die Herkunft ihrer Daten, sofern Sie nicht wissen, durch wen sie erhoben wurden. Sie können auch aussagefähige Informationen darüber verlangen, falls und wie eine Entscheidungsfindung automatisiert erfolgt ist.

2. Recht auf Berichtigung, Art. 16 DSGVO

Sie können die unverzügliche Berichtigung unrichtiger Daten oder Vervollständigung Ihrer Daten verlangen.

3. Recht auf Löschung, Art. 17 DSGVO

Sie können die Löschung der bei Ihrer Schule gespeicherten personenbezogenen Daten verlangen, wenn die personenbezogenen Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig sind. Dies gilt nur soweit, wie nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Grün[1]den des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Auch im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke können der Löschung entgegenstehen.

4. Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird oder die Verarbeitung unrechtmäßig ist.

5. Widerspruchsrecht, Art. 21 DSGVO

Sie können Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einlegen. Dieses Widerspruchsrecht ist das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Widerspruch einzulegen. Diese Gründe müssen Sie darlegen. Sollen Ihre Daten im Falle des begründeten Widerspruchs dennoch verarbeitet werden, müssen wir zwingende schutzwürdige Gründe für die Verarbeitung darlegen, die die Interessen, Rechte und Freiheiten Ihrer Person überwiegen. Die Verarbeitung kann auch dann erforderlich sein, wenn sie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

6. Beschwerderecht bei einer Aufsichtsbehörde, Art. 77 DSGVO

Ihre erste Anlaufstelle bei einer Beschwerde über die Verletzung des Datenschutzes sollte immer die Schulleitung als verantwortliche Stelle sein. Auch sollten Sie Ihrer Schulleitung zunächst eine angemessene Frist einräumen, um sich Ihrem Anliegen anzunehmen. Sie können sich auch an den Datenschutzbeauftragten Ihrer Schule wenden. Unabhängig von diesen vorgenannten Möglichkeiten haben Sie jedoch das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu über eine Verletzung des Datenschutzes zu beschweren. In Baden-Württemberg ist dies der Landesbeauftragte für den Datenschutz und die Informationsfreiheit www.baden-wuerttemberg.datenschutz.de/kontakt-aufnehmen/

7. Es besteht eine bedingte Bereitstellungspflicht

Es besteht keine Bereitstellungspflicht. Die Teilnahme das heißt die Nutzungdes Systems ist freiwillig.