29. Datenschutzhinweise nach § 14 KDG für die videogestützte Kommunikation und den digitalisierten Informationsaustausch

Datenschutzhinweise nach § 14 KDG für die videogestützte Kommunikation und den digitalisierten Informationsaustausch an der Privaten Mädchenrealschule St. Josef



Wir möchten Sie nachfolgend über die Verarbeitung personenbezogener Daten der Schüle-rinnen im Zusammenhang mit der Nutzung von „Microsoft Teams“ informieren.


Zweck der Verarbeitung


Wir nutzen das Tool „Teams“, um über die Funktion Videokonferenzen Schulunterricht in digitaler Form durchzuführen (nachfolgend: „Videounterricht“). Innerhalb des Tools „Teams“ gibt es eine Chat Funktion, mittels derer sich die Schülerinnen während des Videounterrichts mit dem Lehrer bzw. den Klassenkameradinnen schriftlich austauschen können. Über diese Funktion wird auch Einzelkommunikation zwischen Lehrkraft und Schülerin (z. B. Feedback zu Übungsaufgaben) oder auch der Schülerinnen untereinander vorgenommen. Über das in „Teams“ integrierte Dateiablagesystem wird das Unterrichtsmaterial allen Schülerinnen zeit-gleich zur Verfügung gestellt.

„Teams“ ist ein Service der Microsoft Corporation, die ihren Sitz in den USA hat.


Verantwortlicher


Verantwortlicher für Datenverarbeitung, die im unmittelbaren Zusammenhang mit der Durch-führung des Videounterrichts sowie mit dem zugehörigen digitalen Informationsaustausch steht, ist die Private Mädchenrealschule St. Josef.


Hinweis: Soweit die Internetseite „teams.microsoft.com“ aufgerufen wird, ist Microsoft als Anbieter von „Teams“ für die Datenverarbeitung verantwortlich. Den Schülerinnen stehen dann alle Funktionen von Microsoft Teams im Rahmen der genutzten Lizenzen (Microsoft 365 Apps für Schüler und Studenten, Office 365 A1 für Schüler und Studenten) direkt Online als WebApp zur Verfügung.


Alternativ ist es auch möglich über die lokal installierte App „Teams“ zu arbeiten. Auch hier werden die erforderlichen Daten, Dienste und Programme über Microsoft zur Verfügung gestellt.


Welche Daten werden verarbeitet?


Bei der Nutzung von „Teams“ werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei von mehreren Faktoren ab:

- Angaben der Schülerin bei der Registrierung

- Einstellungen bei der Konfiguration des Dienstes durch die Private Mädchenrealschule St. Josef

- Persönliche Einstellungen der Schülerin


Folgende Datenkategorien werden hierbei verarbeitet:

- Funktionsdaten (Login- und Konfigurationsdaten)

- Telemetriedaten (insbesondere technische Diagnosedaten, sowie anonymisierte Da-ten über die Nutzung des Dienstes)

- Inhaltsdaten (Von Lehrern und Schülerinnen dort gespeicherte und genutzte Daten wie Unterrichtsunterlagen, Übungsaufgaben, Chat-Inhalte,…)


Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:


Angaben zum Benutzer (Schülerin): Vorname, Nachname, Telefon (optional), E-Mail-Adresse (optional), Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional), Klasse (alternativ Jahr der Einschulung)


Metadaten zum Videounterricht: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen


Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.


Text-, Audio- und Videodaten: Die Schülerinnen haben ggf. die Möglichkeit, in einem „Videounterricht“ die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von ihnen gemachten Texteingaben verarbeitet, um diese im Videounterricht“ anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Videounterrichts die Daten vom Mikrofon des Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Die Schülerinnen können die Kamera oder das Mikrofon jederzeit selbst über die „Teams“-Applikationen abschalten bzw. stummstellen.


Um an einem Videounterricht bzw. dem „Klassen-Teams“ teilzunehmen, müssen die Schüle-rinnen zumindest Angaben zu Ihrem Namen machen.


Umfang der Verarbeitung


Wir verwenden „Teams“, um Videounterricht durchzuführen und diesbezügliche Unterlagen auszutauschen.


Die Chatfunktion dient ausschließlich dem Informationsaustausch. Die Schülerinnen sind gehalten eine angemessene Netiquette innerhalb dieser Kommunikation einzuhalten. Aus der Chatkommunikation werden keine weiteren Beurteilungen/ Leistungsbewertungen der Schü-lerinnen vorgenommen. Die Chataufzeichnungen werden nach 30 Tagen gelöscht.


Eine automatisierte Entscheidungsfindung i.S.d. § 24 KDG kommt nicht zum Einsatz.


Rechtsgrundlagen der Datenverarbeitung


Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten der Schülerinnen beruht auf § 6 Abs. 1 lit. b) Kirchliches Datenschutzgesetz (KDG), Einwilligung der Betroffenen, bzw. deren gesetzlicher Vertreter.


Die Schulpflicht in Hessen ergibt sich aus § 56 Abs. 1 und 2 Hessisches Schulgesetz (SchulG HE 2017), wonach alle Kinder, Jugendliche und Heranwachsende mit Wohnsitz oder gewöhnlichem Aufenthalt in Hessen die Schulpflicht durch den Besuch einer deutschen Schule erfüllen müssen. Im Sinne des § 69 SchulG HE 2017 haben die Schülerinnen und Schüler Anspruch auf Unterricht […] durch die Begründung eines öffentlich-rechtlichen Schulverhältnisses mit Aufnahme in die öffentliche Schule. 

Die Private Mädchenrealschule St. Josef bietet den „Videounterricht“ unter Berücksichtigung der derzeitigen Situation an, zur Erfüllung der obliegenden Schulpflichten unter Gewährleistung eines bestmöglichen Schutzes der Schülerinnen.


Empfänger / Weitergabe von Daten


Personenbezogene Daten, die im Zusammenhang mit der Teilnahme am Videounterricht ver-arbeitet werden, werden grundsätzlich nicht an Dritte im Sinne des KDG weitergegeben.


Weitere Empfänger: Der Anbieter von „Teams“ erhält notwendigerweise Kenntnis von den o.g. Daten, soweit dies für die Erbringung des Services erforderlich ist. Zum Schutz der Schülerinnen wurde mit Microsoft ein Vertrag zur Auftragsverarbeitung im Sinne des Art. 28 Europäische Datenschutzgrundverordnung (DSGVO) abgeschlossen.


Datenverarbeitung außerhalb der Europäischen Union


Die Datenhaltung für den Service „Teams“ befinden sich in Deutschland, für Outlook und Sharepoint in Europa.

„Teams“ ist ein Dienst, der von einem Anbieter aus den USA erbracht wird. Eine Verarbeitung personenbezogener Daten in einem Drittland kann daher nicht absolut ausgeschlossen werden.


Ein angemessenes Datenschutzniveau wird durch den Abschluss der sog. EU-Standardvertragsklauseln zwischen Microsoft und dem BGV Fulda angestrebt. Auf Grund diverser Gesetze in USA ist jedoch kein absoluter Schutz der personenbezogenen Daten möglich.


So stehen US-Behörden im Rahmen des Foreign Intelligence Surveillance Acts (FISA 702) Prüfungsrechte zu, ohne dass sich Betroffene aus der EU dagegen wehren können.

Bei einer Risikoanalyse sind wir zu der Überzeugung gelangt, dass hier zwar Risiken für die Freiheit und informationelle Selbstbestimmung durch Nutzung von Teams für die Schüler be-stehen, diese aber als nur gering zu bewerten sind, da Jugendliche aus der EU sich in der Regel nicht im Fokus der amerikanischen Justizbehörden befinden. Dem Gegenüberzustellen sind die Risiken, die beim Einsatz von alternativen Lösungen entstehen. Auf Basis der im letzten Schuljahr gemachten Erfahrungen waren das für uns insbesondere Zuverlässigkeit, Bedienbarkeit und Sicherheit bei eigener Administration. Die Vorteile für Schüler den Videounterricht zuverlässig und stabil auf einer für alle einfach zu bedienenden und sicher administrierten Plattform anbieten zu können haben für uns gegenüber den Risiken für einen eventuellen Datenabfluss zu den Behörden in USA überwogen. 


Datenschutzbeauftragter


Das Bistum Fulda hat einen Datenschutzbeauftragten benannt.

Sie erreichen diesen wie folgt: datenschutz-bistum@bistum-fulda.de.


Die Rechte der Schülerinnen als Betroffene der Datenverarbeitung


Den Schülerinnen der Private Mädchenrealschule St. Josef stehen die Rechte Betroffener gem. Abschnitt 2 (§§ 17-25) KDG zu, welche durch sie selbst oder ihre gesetzlichen Vertreter wahrgenommen werden können. Dazu zählen: 


Es besteht das Recht auf Auskunft, ob und welche personenbezogenen Daten über die Schülerinnen verarbeitet werden 


Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben haben oder berechtigt sind für diese Schülerin Auskunft zu verlangen. 


Ferner besteht im Rahmen der gesetzlichen Regelungen ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung.

Aus Gründen, die sich aus einer besonderen Situation der Schülerin ergeben, haben die Schülerin, bzw. ihr gesetzlicher Vertreter jederzeit das Recht gegen die Verarbeitung die Schülerin betreffende personenbezogener Daten, die aufgrund von § 6 Abs. 1 lit. f) oder g) KDG erfolgt, Widerspruch einzulegen.


Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben.


Es besteht grundsätzlich und kostenfrei die Möglichkeit sich zur Wahrnehmung der Betroffenenrechte an den Datenschutzbeauftragten des Bistums Fulda zu wenden.


Löschung von Daten


Wir löschen personenbezogene Daten grundsätzlich dann, wenn kein Erfordernis für eine weitere Verarbeitung besteht. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um das Angebot des „Videounterricht“ zur erfüllen, z.B. zur Be-reitstellung der Unterrichtsmaterialien. Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht. Bei Abmeldung der „Teams“ Lizenz werden die personenbezogenen Daten automatisiert nach 90 Tagen gelöscht.


Beschwerderecht bei einer Aufsichtsbehörde


Es besteht das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei der zuständigen Aufsichtsbehörde für den Datenschutz zu beschweren.


Katholisches Datenschutzzentrum Frankfurt

Frau Ursula Becker-Rathmair

Diözesandatenschutzbeauftragte

Domplatz 3

60311 Frankfurt am Main


E-Mail: info@kdsz-ffm.de

Tel.: 069 / 800 871 8800


Änderung dieser Datenschutzhinweise


Wir überarbeiten diese Datenschutzhinweise bei Änderungen der Datenverarbeitung oder bei sonstigen Anlässen, die dies erforderlich machen.