Landesverordnung über die zentralen Stellen nach dem Landesdatenschutzgesetz für die vom für Bildung zuständigen Ministerium und vom Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein betriebenen automatisierten Verfahren (Zentrale-Stelle-Verordnung Schule - ZStVOSchule) Vom 30. Juni 2022
Landesverordnung über die zentralen Stellen nach dem Landesdatenschutzgesetz für die vom für Bildung zuständigen Ministerium und vom Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein betriebenen automatisierten Verfahren (Zentrale-Stelle-Verordnung Schule - ZStVOSchule) Vom 30. Juni 2022
Zum 09.06.2023 aktuellste verfügbare Fassung der Gesamtausgabe
Nichtamtliches Inhaltsverzeichnis
Titel | Gültig ab |
---|---|
Landesverordnung über die zentralen Stellen nach dem Landesdatenschutzgesetz für die vom für Bildung zuständigen Ministerium und vom Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein betriebenen automatisierten Verfahren (Zentrale-Stelle-Verordnung Schule - ZStVOSchule) vom 30. Juni 2022 | 21.07.2022 |
Eingangsformel | 21.07.2022 |
§ 1 - Zentrale Stelle | 21.07.2022 |
§ 2 - Beteiligte Stellen | 21.07.2022 |
§ 3 - Verantwortlichkeit | 21.07.2022 |
§ 4 - Informations-, Meldungs- und Benachrichtigungspflichten | 21.07.2022 |
§ 5 - Verantwortlichkeit der zentralen Stelle | 21.07.2022 |
§ 6 - Verantwortlichkeit der beteiligten Stellen | 21.07.2022 |
§ 7 - Schlussbestimmungen | 21.07.2022 |
Anlage 1 | 21.07.2022 |
Anlage 2 | 21.07.2022 |
Aufgrund des § 30 Absatz 2 Satz 4 und 5 des Schulgesetzes vom 24. Januar 2007 (GVOBl. Schl.-H. S. 39, ber. S. 276), zuletzt geändert durch Artikel 13 des Gesetzes vom 17. März 2022 (GVOBl. Schl.-H. S. 301, 306), in Verbindung mit § 7 Absatz 4 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet das Ministerium für Allgemeine und Berufliche Bildung, Wissenschaft, Forschung und Kultur:
§ 1 Zentrale Stelle
Zentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage 1 aufgeführten automatisierten Verfahren ist das für Bildung zuständige Ministerium. Zentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage 2 aufgeführten automatisierten Verfahren ist das Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein. Die Anlagen sind Bestandteil der Verordnung.
§ 2 Beteiligte Stellen
Beteiligte Stellen sind das für Bildung zuständige Ministerium, das Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein und die Schulen gemäß § 2 Absatz 1 Schulgesetz, die die in der Anlage aufgeführten automatisierten Verfahren jeweils nutzen.
§ 3 Verantwortlichkeit
(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)
1
.
(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung.
(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten, insbesondere der Datenschutz-Grundverordnung, des Schulgesetzes sowie der Schul-Datenschutzverordnung vom 18. Juni 2018 (NBl. MBWK. Schl.-H. S. 187), zuletzt geändert durch Verordnung vom 30. Juni 2022 (NBl. MBWFK. Schl.-H. S. 241), erfüllen die zentralen Stellen und die beteiligten Stellen jeweils in eigener Verantwortung.
Fußnoten
1)
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 S. 1, zuletzt ber. 2021 ABl. L 74 S. 35).
§ 4 Informations-, Meldungs- und Benachrichtigungspflichten
(1) Stellt eine zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Hält die zentrale Stelle eine Meldung nach Artikel 33 der Datenschutz-Grundverordnung oder Benachrichtigung nach Artikel 34 der Datenschutz-Grundverordnung für erforderlich, informiert sie die betroffene beteiligte Stelle oder die betroffenen beteiligten Stellen unverzüglich über diese Verletzung.
(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Hält die beteiligte Stelle eine Meldung nach Artikel 33 der Datenschutz-Grundverordnung oder Benachrichtigung nach Artikel 34 der Datenschutz-Grundverordnung für erforderlich, ist vorab die jeweils zuständige zentrale Stelle zur informieren. Bestehen zusätzlich Anhaltspunkte dafür, dass die Verletzung des Schutzes personenbezogener Daten weitere beteiligte Stellen betreffen könnten, informiert sie die zuständige Schulaufsichtsbehörde.
(3) Die Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung obliegen der beteiligten Stelle. Die zentrale Stelle soll die Meldung und die Benachrichtigung in geeigneten Fällen übernehmen, insbesondere wenn die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist oder die Ursache für die Verletzung mehr als eine beteiligte Stelle betrifft oder betreffen kann.
§ 5 Verantwortlichkeit der zentralen Stelle
(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit der automatisierten Verfahren nach § 7 Absatz 4 des Landesdatenschutzgesetzes wie folgt:
1.
sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung und nach § 12 Absatz 2 und 3 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung, insbesondere achtet sie auf Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen nach Artikel 25 der Datenschutz-Grundverordnung;
2.
sie nimmt das automatisierte Verfahren in ihr Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf;
3.
sie ist zuständig für die Durchführung von Tests und deren Dokumentation gemäß § 7 Absatz 1 des Landesdatenschutzgesetzes, zu denen sie von ihr ausgewählte beteiligte Stellen hinzuziehen kann; sie erteilt die Freigabe für das automatisierte Verfahren; einer Freigabe durch die beteiligten Stellen bedarf es nicht;
4.
sie ist zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung; bei der Durchführung der Datenschutz-Folgenabschätzung kann sie von ihr ausgewählte beteiligte Stellen hinzuziehen;
5.
sie ist bei Auftragsverarbeitung verantwortlich nach Artikel 28 der Datenschutz-Grundverordnung gegenüber den jeweiligen Auftragsverarbeitern;
6.
sie ist dafür zuständig, geplante Zertifizierungsverfahren nach Artikel 42 der Datenschutz-Grundverordnung durch die Aufsichtsbehörde zu begleiten.
(2) Die zentrale Stelle kann für die in der jeweiligen Anlage aufgeführten, durch sie betriebenen automatisierten Verfahren Bestimmungen zur ordnungsgemäßen Nutzung des Verfahrens durch die beteiligten Stellen erlassen.
§ 6 Verantwortlichkeit der beteiligten Stellen
(1) Die beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung der automatisierten Verfahren verantwortlich. Daraus folgt insbesondere:
1.
sie nehmen die Informationspflichten gegenüber betroffenen Personen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung wahr;
2.
sie gewährleisten die Rechte der betroffenen Personen gemäß Artikel 15 bis 22 der Datenschutz-Grundverordnung;
3.
sie nehmen die Verarbeitungstätigkeiten im Rahmen der Nutzung des automatisierten Verfahrens in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf.
(2) Die zentrale Stelle stellt den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß Absatz 1 notwendigen Informationen in geeigneter Weise bereit.
§ 7 Schlussbestimmungen
Diese Verordnung tritt am Tag nach ihrer Verkündung in Kraft. Gleichzeitig tritt die Zentrale-Stelle-Verordnung Schule vom 3. September 2020 (GVOBl. Schl.-H. S. 574) außer Kraft.
Anlage 1
(zu § 1)
Vom Ministerium für Allgemeine und Berufliche Bildung, Wissenschaft, Forschung und Kultur des Landes Schleswig-Holstein betriebene automatisierte Verfahren:
1.
School-SH (Einheitliche Schulverwaltungssoftware)
2.
Schulportal-SH mit den Diensten
-
zentrales ID-Management
-
Lernmanagement-System
-
E-Mail für Lehrkräfte
3.
UEM (Zentrale Administrationsplattform für Endgeräte)
4.
Anwendung zur Stunden- und Vertretungsplanung
5.
Videokonferenzdienst
Anlage 2
(zu § 1)
Vom Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein betriebene automatisierte Verfahren:
1.
SchulCommSY
2.
LeOniE.SH
3.
Online Pinnwand SH (OP.SH)
4.
IQSH-Mediathek (Edupool)
Feedback