Informationen zur Datenverarbeitung nach Artikel 13 DSGVO
Im Folgenden möchten wir über die Datenverarbeitung im Rahmen der Bereitstellung des BayernCloud Schule Drive und Office (im Folgenden Drive & Office) für Nutzerinnen und Nutzer an bayerischen Schulen und anderen nutzungsberechtigten Dienststellen (i. F.: Dienststellen) informieren:Im Abschnitt I informieren wir über die Datenverarbeitungen im Zusammenhang mit dem Betrieb der Webseiten https://drive.bycs.de und https://office.bycs.de, die auch ohne Login aufgerufen werden können. Die Datenverarbeitungen, die zum Anzeigen der Login-Seite https://drive.bycs.de erforderlich sind, liegen in der datenschutzrechtlichen Verantwortung des Bayerischen Staatsministeriums für Unterricht und Kultus.
Im Abschnitt II informieren wir über die Datenverarbeitung im Drive & Office-Angebot.
I) Informationen zum Internetauftritt der Webseiten https://drive.bycs.de und https://office.bycs.de (ohne Login)
A) Allgemeine Informationen
Name und Kontaktdaten des Verantwortlichen
Bayerisches Staatsministerium für Unterricht und Kultus
Salvatorstraße 2
80327 München
Tel: 089 2186-0
E-Mail: poststelle@stmuk.bayern.de
Kontaktdaten der bzw. des Datenschutzbeauftragten
Sie erreichen unsere Datenschutzbeauftragte bzw. unseren Datenschutzbeauftragten unter:
Behördliche Datenschutzbeauftragte des
Bayerischen Staatsministeriums für Unterricht und Kultus
Salvatorstraße 2
80327 München
Tel: 089 2186-0
E-Mail: datenschutzbeauftragter@stmuk.bayern.de
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ergibt sich, soweit nichts anderes angegeben ist, aus Artikel 4 Absatz 1 des Bayerischen Datenschutzgesetzes (BayDSG) i. V. m. Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) der Datenschutz-Grundverordnung (DSGVO). Demnach ist es uns erlaubt, die zur Erfüllung einer uns obliegenden Aufgabe erforderlichen Daten zu verarbeiten.
Zwecke der Verarbeitung personenbezogener Daten
Die Bereitstellung einer Einstiegsseite zur Anwendung Drive bzw. zur Anwendung Office dient der Erfüllung der uns vom Gesetzgeber zugewiesenen öffentlichen Aufgaben.
Empfänger von personenbezogenen Daten
Der technische Betrieb unserer Datenverarbeitungssysteme erfolgt durch die
Fujitsu Services GmbH
Mies-van-der-Rohe-Straße 8
80807 München
Bei Vorliegen einer gesetzlichen Verpflichtung werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt.
Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können bei elektronischer Übermittlung Daten an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet werden und dort auf Grundlage der Artikel 44 ff. des Bayerischen Digitalgesetzes verarbeitet werden.
Dauer der Speicherung der personenbezogenen Daten
Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist (siehe insbes. unter I.B) „Protokollierung“).
Ihre Rechte
Soweit wir von Ihnen personenbezogene Daten verarbeiten, stehen Ihnen als Betroffener nachfolgende Rechte zu:
- Sie haben das Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten (Artikel 15 DSGVO).
- Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Artikel 16 DSGVO).
- Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen (Artikel 17 und 18 DSGVO).
- Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Artikel 20 DSGVO).
- Falls Sie in die Verarbeitung eingewilligt haben und die Verarbeitung auf dieser Einwilligung beruht, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.
- Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung ausschließlich auf Grundlage des Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) oder f) DSGVO erfolgt (Artikel 21 Absatz 1 Satz 1 DSGVO).
Beschwerderecht bei der Aufsichtsbehörde
Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz. Diesen können Sie unter folgenden Kontaktdaten erreichen:
Postanschrift: Postfach 22 12 19, 80502 München
Adresse: Wagmüllerstraße 18, 80538 München
Tel: 089 212672-0
Fax: 089 212672-50
E-Mail: poststelle@datenschutz-bayern.de
Internet: https://www.datenschutz-bayern.de/
Weitere Informationen
Für nähere Informationen zur Verarbeitung Ihrer Daten und zu Ihren Rechten können Sie uns unter den oben (zu Beginn von I.A) genannten Kontaktdaten erreichen.
Technische Umsetzung
Drive & Office wird im Auftrag des StMUK durch die Fujitsu Services GmbH als Auftragsverarbeiter technisch umgesetzt. Die von Ihnen im Rahmen des Besuchs des zugehörigen Webauftritts übermittelten personenbezogenen Daten werden daher in unserem Auftrag durch die
Fujitsu Services GmbH
Mies-van-der-Rohe-Straße 8
80807 München
B) Protokollierung
Wenn Sie diese oder andere Internetseiten aufrufen, übermitteln Sie über Ihren Internetbrowser Daten an unseren Server. Die folgenden Daten werden während einer laufenden Verbindung zur Kommunikation zwischen Ihrem Endgerät und unserem Server aufgezeichnet:- Datum und Uhrzeit der Anforderung
- Name der angeforderten Datei
- Seite, von der aus die Datei angefordert wurde
- Zugriffsstatus (Datei übertragen, Datei nicht gefunden, etc.)
- verwendete Webbrowser und verwendetes Betriebssystem
- vollständige IP-Adresse des anfordernden Rechners
- Benutzername des angemeldeten Nutzerkontos (sofern nach dem Aufruf der Webseite ein Login erfolgt)
- übertragene Datenmenge
Technische Protokolldaten, die beim Betrieb des Dienstes anfallen, werden maximal 90 Tage aufbewahrt und danach automatisiert gelöscht.
Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können die Daten nach Anforderung im Einzelfall an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet und dort auf Grundlage der Artikel 44 ff. des Bayerischen Digitalgesetzes verarbeitet werden.
Aktive Komponenten
Wir verwenden Javascript. Diese Funktion kann im Internetbrowser deaktiviert werden. Die Funktion ist jedoch notwendig, damit Drive&Office genutzt werden kann. Java-Applets oder Active-X-Controls werden nicht verwendet.
Cookies
Wir setzen lediglich funktional notwendige Cookies.
Hinweis:
Wir verwenden „Local Storage“ und „Session Storage“. Der „Local Storage“ bzw. „Session Storage“ bietet Applikationen, die im Browser laufen, die Möglichkeit, Daten dort abzulegen. Anders als ein Cookie wird der „Local Storage“ nicht automatisch an einen Server übertragen. Vielmehr organisiert die Applikation erst bei der Nutzung von Drive&Office entsprechend der Konfiguration, ob und welche Daten verarbeitet werden.
So hat die Nutzerin oder der Nutzer auch ohne Login z. B. die Möglichkeit, ihren bzw. seinen Namen für weitere Sitzungen zu speichern. Das wird ausschließlich über den „Local Storage“, der sich auf dem Computer befindet, gelöst. Dort wird der Name abgelegt und beim erneuten Aufrufen ausgelesen. Der Nutzerin oder dem Nutzer wird lediglich das Feld für den Nutzerdaten vorausgefüllt und erst durch das Klicken auf „Anmelden“ werden die Daten tatsächlich übermittelt.
Auswertung des Nutzungsverhaltens
Programme zur Auswertung des Nutzerverhaltens werden von uns nicht eingesetzt.
II) Datenverarbeitungen bei der Verwendung von Drive & Office
Allgemeine Informationen
Name und Kontaktdaten des Verantwortlichen
„Verantwortlicher“ ist die Schule oder Dienststelle, die Ihnen den Einladungslink erteilt hat.
Kontaktdaten der bzw. des Datenschutzbeauftragten
Zuständige(r) Datenschutzbeauftragte(r) ist die bzw. der Datenschutzbeauftragte(r) Ihrer Schule bzw. Dienststelle oder der Schule bzw. Dienststelle, die den Einladungslink verteilt hat.
A) Daten von Nutzerinnen und Nutzern mit ByCS-Nutzerkonto
Zusätzlich zu den im Abschnitt B) genannten Datenarten werden von Nutzerinnen und Nutzern eines ByCS Nutzerkontos (z. B. Schulleitung, Lehrkräfte, Schülerinnen und Schüler) nach dem Login Stammdaten, Profildaten, Inhaltsdaten und Gruppen- oder paarbezogene Nutzungsdaten im Sinne der Nummern 3.1.1, 3.1.2, 3.1.4 und 3.3 in Abschnitt 7 Anlage 2 zu § 46 BaySchO verarbeitet.Darüber hinaus wird im Nutzerkonto gespeichert, dass die Nutzerinnen und Nutzer den Nutzungsbedingungen zugestimmt haben. Im Rahmen des Login-Prozesses werden personenbezogene Daten von Nutzerinnen und Nutzern eines ByCS-Nutzerkontos durch die ByCS-Administration verarbeitet. Dies bedeutet, dass ein Login in das Drive oder Office mit den ByCS-Nutzerdaten (Benutzername, Passwort) erfolgt und die Prüfung der Zugangsberechtigung im Rahmen der ByCS-Administration (ebenfalls in datenschutzrechtlicher Verantwortung der jeweiligen Schule bzw. Dienststelle) abläuft. Die ByCS-Administration übermittelt an das Drive oder Office nach erfolgreicher Prüfung der Zugangsberechtigung die relevanten dienststellenbezogenen und personenbezogenen Daten, um den Nutzerinnen und Nutzern den Zugang zu ihrem jeweiligen Nutzerkonto zu ermöglichen. Genaue Informationen zur Datenverarbeitung im Rahmen der Administration finden Sie in der Datenschutzerklärung zum Web-Portal des Dashboard Ihrer jeweiligen Schule oder Dienststelle.
Rechtsgrundlage
Soweit eine Datenverarbeitung auf freiwilliger Basis erfolgt, ist Rechtsgrundlage eine Einwilligung der betroffenen Personen gem. Artikel 6 Absatz 1 Buchstabe a) DSGVO.
- für die schulische Nutzung Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. Artikel 85 Absatz 1 BayEUG, § 46 Absatz 1 Satz 1 BayEUG i. V. m. § 19 Absatz 4 BaySchO i. V. m. Abschnitt 7 Anlage 2 zu § 46 BaySchO) und
- bei der Nutzung durch eine andere Dienststelle Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. Artikel 4 Absatz 1 BayDSG.
Zwecke
Die Datenverarbeitung im Rahmen der Verwendung von Drive & Office erfolgt zur Bereitstellung eines Cloud-Speichers mit angebundenem Web-Office für Schulen zu den in Abschnitt 7 Anlage 2 zu § 46 BaySchO genannten Zwecken, insbesondere zur schulinternen, unterrichtlichen Nutzung, soweit diese aus pädagogischen Gründen (z. B. zur Förderung der Medienkompetenz; gemeinsame Bearbeitung digitaler Produkte in Gruppenarbeit) erforderlich ist.
Darüber hinaus kann Drive & Office zu Fortbildungszwecken genutzt werden.
Empfänger
Interne Empfänger
Von der Schule beauftragte ByCS-Administratorinnen ByCS-Administratoren hinsichtlich Stammdaten, Profilinformationen, und Inhaltsdaten (Nummern 3.1.1, 3.1.2, 3.1.4 in Abschnitt 7 Anlage 2 zu § 46 BaySchO).
Im Übrigen siehe unten unter II.B) Daten von Nutzerinnen und Nutzern ohne eigenes ByCS-Nutzerkonto (z. B. Gastnutzer wie Erziehungsberechtigte ohne IDM-Anbindung) – Schulinterne Empfänger.
Externe Empfänger
Externe Empfänger von per öffentlicher Linkfreigabe zugänglichen Verzeichnissen oder Dateien sind Nutzerinnen und Nutzer, die nicht der verantwortlichen Schule bzw. nutzungsberechtigten Dienststelle angehören (beispielsweise von anderen Behörden, Vereinen, Dienststellen, Unternehmen).
Die Schule bzw. Dienststelle bedient sich zu Bereitstellung, Betrieb, Wartung und Support von Drive & Office folgender Auftragsverarbeiter:
Fujitsu Services GmbH
Mies-van-der-Rohe-Straße 8
80807 München
Bei Vorliegen einer gesetzlichen Verpflichtung werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt.
Im Rahmen der Erfüllung seiner gesetzlichen Aufgaben nach Artikel 44 ff. Bayerisches Digitalgesetz ist das Landesamt für Sicherheit in der Informationstechnik Übermittlungsempfänger.
Dauer der Speicherung
Siehe unten unter II.B) Nutzung ohne eigenes Nutzerkonto (z. B. Gastnutzer wie Erziehungsberechtigte) – Dauer der Speicherung.
B) Nutzung ohne eigenes Nutzerkonto
Bei den Daten von Nutzerinnen und Nutzern ohne eigenes ByCS-Nutzerkonto (z. B Erziehungsberechtigte und andere Gastnutzer) handelt es sich um diejenigen Daten, die durch eine Einladung bzw. deren Annahme in eine Datei- oder Verzeichnisfreigabe verarbeitet werden. Das sind beispielsweise Name, IP-Adresse, Inhaltsdaten und Gruppen- oder paarbezogene Nutzungsdaten (vgl. Nr. 3.1.2, 3.1.4, 3.1.5 und 3.3 Abschnitt 7 Anlage 2 zu § 46 BaySchO).Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unseren Webserver, werden Protokolldaten von uns gespeichert.
Im Rahmen der Anwendung Drive & Office verwenden wir Javascript. Diese Funktion kann im Internetbrowser deaktiviert werden. Die Funktion ist jedoch notwendig, damit Drive&Office genutzt werden kann. Java-Applets oder Active-X-Controls werden nicht verwendet.
Wir setzen lediglich funktional notwendige Cookies.
Programme zur Auswertung des Nutzerverhaltens werden von uns nicht eingesetzt.
Rechtsgrundlage
Soweit eine Datenverarbeitung auf freiwilliger Basis erfolgt, ist Rechtsgrundlage eine Einwilligung der betroffenen Personen gem. Artikel 6 Absatz 1 Buchstabe a DSGVO.
- bei der Bereitstellung durch eine Schule: Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. Artikel 85 Absatz 1 BayEUG, § 46 Absatz 1 Satz 1 BayEUG i. V. m. § 19 Absatz 4 BaySchO i. V. m. Abschnitt 7 Anlage 2 zu § 46 BaySchO
- bei Bereitstellung durch eine andere Dienststelle: Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. Artikel 4 Absatz 1 BayDSG.
Zwecke
Die Datenverarbeitung im Rahmen der Verwendung von Drive&Office erfolgt zur Bereitstellung eines Cloud-Speichers mit angebundenem Web-Office für Schulen zu den in Abschnitt 7 Anlage 2 zu § 46 BaySchO genannten Zwecken, insbesondere zur schulinternen, unterrichtlichen Nutzung, soweit diese aus pädagogischen Gründen (z. B. zur Förderung der Medienkompetenz; gemeinsame Bearbeitung digitaler Produkte in Gruppenarbeit) erforderlich ist.
Empfänger
Interne Empfänger
Empfänger sind die Nutzerinnen und Nutzer im jeweiligen Space bzw. Datei- oder Verzeichnisfreigabe (beispielsweise pädagogisches Personal, Schülerinnen und Schüler, Praktikantinnen und Praktikanten, Referendarinnen und Referendare, Seminarlehrerkräfte und Seminarteilnehmerinnen und Seminarteilnehmer). Diese sind Empfänger hinsichtlich der im Space jeweils sichtbaren (z. B. sichtbare Profilinformationen, Inhaltsdaten, sonstige Nutzungsdaten und der gruppenbezogenen Nutzungsdaten, hierzu Nr. 4.3 Abschnitt 7 Anlage 2 zu § 46 BaySchO).
Externe Empfänger
Siehe oben unter II.A
Dauer der Speicherung
Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist.
Die Vorgaben zur Speicherdauer sind grundsätzlich Nummer 5 der Anlage 2 Abschnitt 7 der BaySchO zu entnehmen.
Davon abweichend gilt Folgendes:
- Technische Protokolldaten, die beim Betrieb des Dienstes anfallen, werden maximal 90 Tage aufbewahrt und danach automatisiert gelöscht.
- Sämtliche gruppenbezogene Nutzungsdaten, die während der kollaborativen Bearbeitung eines Office-Dokuments anfallen (siehe Nummer 3.1.2 in Anlage 2 Abschnitt 7 BaySchO) – werden mit dem Schließen des Dokuments gelöscht.
Weitere Informationen zum Datenschutz
Weitere Informationen zum Datenschutz, insbesondere zu Ihren Rechten als betroffene Person und der jeweils für Sie zuständigen Datenschutzaufsichtsbehörde, finden Sie in den allgemeinen Datenschutzhinweisen der jeweiligen Schule bzw. Dienststelle, die auf den jeweiligen Homepages abrufbar sind. Sollte die Schule bzw. Dienststelle nicht über einen eigenen Internetauftritt verfügen, haben Sie die Datenschutzhinweise bereits in anderweitiger Form erhalten. Für nähere Informationen zur Verarbeitung Ihrer Daten können Sie sich auch an die Schule bzw. Dienststelle sowie den Datenschutzbeauftragten der Schule bzw. Dienststelle wenden.