Im Folgenden möchten wir über die Datenverarbeitung im Rahmen der Bereitstellung des BayernCloud Schule Messengers (im Folgenden „Messenger“) für Nutzerinnen und Nutzer an bayerischen Schulen und anderen nutzungsberechtigten Einrichtungen (i.F.: Einrichtungen) informieren: Im Abschnitt I informieren wir über die Datenverarbeitungen im Zusammenhang mit dem Betrieb der Webseite https://messenger.bycs.de, die auch ohne Login aufgerufen werden kann. Die Daten verarbeitungen, die zum Anzeigen dieser Login - Seite erforderlich sind, liegen in der datenschutzrechtlichen Verantwortung des Bayerischen Staatsministeriums für Unterricht und Kultus.
Im Abschnitt II informieren wir über die Datenverarbeitung im Messenger - Angebot.
Bayerisches Staatsministerium für Unterricht und Kultus
Salvatorstraße 2
80327 München
Tel: 089 2186-0
E-Mail: poststelle@stmuk.bayern.de
Sie erreichen unseren Datenschutzbeauftragten/unsere Datenschutzbeauftragte
unter:
Behördliche Datenschutzbeauftragte des Bayerischen Staatsministeriums für
Unterricht und Kultus Salvatorstraße 2
80327 München
Telefon: 089 2186-0
E-Mail: datenschutzbeauftragter@stmuk.bayern.de
Zweck der Verarbeitung ist die Erfüllung der uns vom Gesetzgeber zugewiesenen öffentlichen Aufgaben, insbesondere der Bereitstellung einer Einstiegsseite zum Messenger, über welche ein Abgleich der Nutzungsberechtigung mit dem zentralen Identitätsmanagement der BayernCloud Schule (i.F. IDM) erfolgt
Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ergibt sich, soweit nichts anderes angegeben ist, aus Artikel 4 Absatz 1 des Bayerischen Datenschutzgesetzes (BayDSG) i.V.m. Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) der Datenschutz-Grundverordnung (DSGVO). Demnach ist es uns erlaubt, die zur Erfüllung einer uns obliegenden Aufgabe erforderlichen Daten zu verarbeiten
Der technische Betrieb unserer Datenverarbeitungssysteme erfolgt durch die
Fujitsu Services GmbH
Mies-van-der-Rohe-Straße 8
80807 München
Die Fujitsu Services GmbH bedient sich, beispielsweise zur Bereitstellung von Rechenzentrum-Services, „weiterer Auftragsverarbeiter“ im Sinne des Artikel 28 DSGVO. Alle Auftragsverarbeiter haben ihren Sitz in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum; die Datenverarbeitung erfolgt ausschließlich in Mitgliedstaaten der Europäischen Union bzw. Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum.
Bei Vorliegen einer gesetzlichen Verpflichtung werden Ihre Daten an die zuständigen Aufsichtsund Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt.
Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können bei elektronischer Übermittlung Daten an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet werden und dort auf Grundlage der Artikel 44 ff. des Bayerischen Digitalgesetzes verarbeitet werden.
Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist (siehe insbes. unter I.B) „Protokollierung“)
Soweit wir von Ihnen personenbezogene Daten verarbeiten, stehen Ihnen als Betroffener nachfolgende Rechte zu
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung ausschließlich auf Grundlage des Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) oder f) DSGVO erfolgt (Artikel 21 Absatz 1 Satz 1 DSGVO).
Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz. Diesen können Sie unter folgenden Kontaktdaten erreichen:
Postanschrift: Postfach 22 12 19, 80502 München
Adresse: Wagmüllerstraße 18, 80538 München
Telefon: 089 212672-0
Telefax: 089 212672-50
E-Mail: poststelle@datenschutz-bayern.de
Internet: https://www.datenschutz-bayern.de/
Für nähere Informationen zur Verarbeitung Ihrer Daten und zu Ihren Rechten können Sie uns unter den oben (zu Beginn von I.A) genannten Kontaktdaten erreichen
Der Messenger wird im Auftrag des StMUK durch die Fujitsu Services GmbH als Auftragsverarbeiter technisch umgesetzt. Die von Ihnen im Rahmen des Besuchs des zugehörigen Webauftritts übermittelten personenbezogenen Daten werden daher in unserem Auftrag durch die
Fujitsu Services GmbH
Mies-van-der-Rohe-Straße 8
80807 München
verarbeitet.
Wenn Sie diese oder andere Internetseiten aufrufen, übermitteln Sie über Ihren Internetbrowser Daten an unseren Server. Die folgenden Daten werden während einer laufenden Verbindung zur Kommunikation zwischen Ihrem Endgerät und unserem Server aufgezeichnet:
Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unseren Webserver, werden diese Daten von uns gespeichert Technische Protokolldaten, die beim Betrieb des Dienstes anfallen, werden maximal 90 Tage aufbewahrt und danach automatisiert gelöscht. Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können die Daten nach Anforderung im Einzelfall an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet und dort auf Grundlage der Artikel 44 ff. des Bayerischen Digitalgesetzes verarbeitet werden.
Wir verwenden Javascript. Diese Funktion kann im Internetbrowser deaktiviert werden. Die Funktion ist jedoch notwendig, damit der Messenger genutzt werden kann. Java-Applets oder Active-X-Controls werden nicht verwendet.
Wir setzen lediglich funktional notwendige Cookies
Hinweis:
Wir verwenden „Local Storage“ und „Session Storage“. Der „Local Storage“ bzw. „Session Storage“ bietet Applikationen, die im Browser laufen, die Möglichkeit, Daten dort abzulegen. Anders als ein Cookie wird der „Local Storage“ nicht automatisch an einen Server übertragen. Vielmehr organisiert die Applikation erst bei der Nutzung des Messengers entsprechend der Konfiguration, ob und welche Daten verarbeitet werden. So hat die Nutzerin oder der Nutzer auch ohne Login z. B. die Möglichkeit, ihren bzw. seinen Namen für weitere Sitzungen zu speichern. Das wird ausschließlich über den „Local Storage“, der sich auf dem Computer befindet, gelöst. Dort wird der Name abgelegt und beim erneuten Aufrufen ausgelesen. Der Nutzerin oder dem Nutzer wird lediglich das Feld für den Nutzerdaten vorausgefüllt und erst durch das Klicken auf „Anmelden“ werden die Daten tatsächlich übermittelt.
Programme zur Auswertung des Nutzerverhaltens werden von uns nicht eingesetzt.
„Verantwortlicher“ ist Ihre jeweilige Schule bzw. Einrichtung oder Schule bzw. Einrichtung, welche den Einladungslink erteilt hat. Eine ergänzende und alle Angebote der Schule bzw. Einrichtung umfassende Datenschutzerklärung ist über die jeweilige Schule oder Einrichtung (z.B. über den Internetauftritt oder die oder den Datenschutzbeauftragte(n)) zu erhalten.
Zuständige(r) Datenschutzbeauftragte(r) ist der/die Datenschutzbeauftrag- te(r) Ihrer Schule bzw. Einrichtung oder der Schule bzw. Einrichtung, die den Einladungslink verteilt hat.
Zusätzlich zu den unter B) genannten Datenarten werden von Nutzerinnen und Nutzern eines ByCS Nutzerkontos nach dem Login Stammdaten, Profildaten und Inhaltsdaten im Sinne der Nummern 3.1.1, 3.1.2, 3.1.4 in Abschnitt 7 Anlage 2 zu § 46 BaySchO verarbeitet.
Darüber hinaus wird im Nutzerkonto gespeichert, dass die Nutzerinnen und Nutzer den Nutzungsbedingungen zugestimmt haben. Im Rahmen des Login-Prozesses werden personenbezogenen Daten von Nutzerinnen und Nutzern eines ByCS-Nutzerkontos durch das IDM verarbeitet. Dies bedeutet, dass ein Login in den Messenger mit den ByCS-Nutzerdaten (Benuzername, Passwort) erfolgt und die Prüfung der Zugangsberechtigung im Rahmen des IDM (ebenfalls in datenschutzrechtlicher Verantwortung der jeweiligen Schule/Einrichtung) abläuft. Das IDM übermittelt an den Messenger nach erfolgreicher Prüfung der Zugangsberechtigung die relevanten einrichtungsbezogenen und personenbezogenen Daten, um den Nutzerinnen und Nutzern den Zugang zu ihrem jeweiligen Nutzerkonto zu ermöglichen. Genaue Informationen zur Datenverarbeitung im Rahmen des IDM finden Sie in der Datenschutzerklärung zum Webportal des Dashboard Ihrer jeweiligen Schule oder Einrichtung.
Soweit eine Datenverarbeitung auf freiwilliger Basis erfolgt, ist Rechtsgrundlage eine Einwilligung der betroffenen Personen gem. Artikel 6 Absatz 1 Buchstabe a) DSGVO
Im Übrigen ist Rechtsgrundlage
Für die Verarbeitung von Beschäftigtendaten ist Rechtsgrundlage Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i.V.m. den Rechtsgrundlagen des jeweiligen Beschäftigungsverhältnisses.
Von der Schule beauftragte ByCS-Administratoren und ByCS-Administratorinnen hinsichtlich Stammdaten, Profilinformationen, und Inhaltsdaten (Nummern 3.1.1, 3.1.2, 3.1.4 in Abschnitt 7 Anlage 2 zu § 46 BaySchO).
Im Übrigen siehe unten unter II.B) Daten von Nutzerinnen und Nutzern ohne eigenes ByCS-Nutzerkonto (z. B. Gastnutzer wie Erziehungsberechtigte ohne IDM-Anbindung) – Schulinterne Empfänger.
Siehe unten unter II.B)
Siehe unten unter II.B) Nutzung ohne eigenes Nutzerkonto (z. B. Gastnutzer wie Erziehungsberechtigte) (z. B. Gastnutzer wie Erziehungsberechtigte) – Dauer der Speicherung
Bei den Daten von Nutzerinnen und Nutzern ohne eigenes ByCSNutzerkonto (z.B. Gastnutzer wie Erziehungsberechtigte) handelt es sich um diejenigen Daten, die durch eine Einladung bzw. deren Annahme in einen Chat verarbeitet werden. Das sind beispielsweise Name, IP-Adresse, Inhaltsdaten, gegebenenfalls inklusive Bild und Ton und Gruppen- oder paarbezogene Nutzungsdaten (vgl. Nr. 3.1.2, 3.1.4, 3.1.5, 3.2 und 3.3 Abschnitt 7 Anlage 2 zu § 46 BaySchO).
Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unseren Webserver, werden Protokolldaten von uns gespeichert
Im Rahmen der Anwendung „Messenger“ verwenden wir Javascript. Diese Funktion kann im Internetbrowser deaktiviert werden. Die Funktion ist jedoch notwendig, damit der Messenger genutzt werden kann. Java-Applets oder Active-X-Controls werden nicht verwendet.
Wir setzen lediglich funktional notwendige Cookies.
Programme zur Auswertung des Nutzerverhaltens werden von uns nicht eingesetzt.
Soweit eine Datenverarbeitung auf freiwilliger Basis erfolgt, ist Rechtsgrundlage eine Einwilligung der betroffenen Personen gem. Artikel 6 Absatz 1 Buchstabe a DSGVO.
Im Übrigen ist Rechtsgrundlage
Die Datenverarbeitung im Rahmen der Verwendung des Messengers erfolgt zur Bereitstellung von Chaträumen mit integrierter Sprach- und Videotelefoniefunktion für Schulen zu den in Abschnitt 7 Anlage 2 zu § 46 BaySchO genannten Zwecken, insbesondere zur schulinternen, unter-richtlichen Nutzung, soweit diese aus pädagogischen Gründen (z.B. zur Förderung der Medienkompetenz; gemeinsame Bearbeitung digitaler Produkte in Gruppenarbeit) erforderlich ist.
Für sonstige Einrichtungen erfolgt die Datenverarbeitung zur Erfüllung und Sicherstellung des Dienstbetriebes, insbesondere der dienstlichen Kollaboration und Kommunikation.
Empfänger sind die Teilnehmerinnen und Teilnehmer im jeweiligen Chat (beispielsweise pädagogisches Personal, Schülerinnen und Schüler, Praktikantinnen und Praktikanten, Referendarinnen und Referendare, Seminarlehrerkräfte und Seminarteilnehmerinnen und Seminarteilnehmer). Diese sind Empfänger hinsichtlich der im Chat jeweils sichtbaren oder hörbaren Daten (z.B. sichtbare Profilinformationen, Inhaltsdaten, sonstige Nutzungsdaten, Videobild und Ton im Rahmen von Sprach- und Videotelefonie und der gruppenbezogenen Nutzungsdaten, hierzu Nr. 4.3 Abschnitt 7 Anlage 2 zu § 46 BaySchO).
Externe Empfänger sind Teilnehmerinnen und Teilnehmer in Chaträumen, die nicht der verantwortlichen Schule bzw. nutzungsberechtigten Einrichtung angehören (beispielsweise von anderen Behörden, Vereinen, Einrichtungen, Unternehmen).
Zur Bereitstellung und Nutzung des Messengers ist die Übermittlung personenbezogener Daten an ausgewählte Dienstleister notwendig. Mit diesen Dienstleistern hat die Schule/Einrichtung eine Vereinbarung zur Datenverarbeitung im Auftrag der Schule/Einrichtung geschlossen (sogenannte „Auftragsverarbeitung“ nach Artikel 28 DSGVO).
Die Schule/Einrichtung bedient sich zu Bereitstellung, Betrieb, Wartung und Support des Messengers folgender Auftragsverarbeiter:
Fujitsu Services GmbH
Mies-van-der-Rohe-Straße 8
80807 München
Die Fujitsu Services GmbH bedient sich beispielsweise zur Bereitstellung von Rechenzentrum-Services, des 2nd level Supports „weiterer Auftragsverarbeiter“ im Sinne des Artikels 28 DSGVO. Alle Auftragsverarbeiter haben ihren Sitz in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum; die Datenverarbeitung erfolgt ausschließlich in Mitgliedstaaten der Europäischen Union bzw. Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum.
Bei Vorliegen einer gesetzlichen Verpflichtung werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt.
Im Rahmen der Erfüllung seiner gesetzlichen Aufgaben nach Artikel 44 ff. Bayerisches Digitalgesetz ist das Landesamt für Sicherheit in der Informationstechnik Übermittlungsempfänger.
Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist.
Die Vorgaben zur Speicherdauer sind grundsätzlich Nummer 5 der Anlage 2 Abschnitt 7 der BaySchO zu entnehmen.
Davon abweichend gilt Folgendes:
Weitere Informationen zum Datenschutz, insbesondere zu Ihren Rechten als betroffene Person und der jeweils für Sie zuständigen Datenschutzaufsichtsbehörde, finden Sie in den allgemeinen Datenschutzhinweisen der jeweiligen Schule/Einrichtung, die auf den jeweiligen Homepages abrufbar sind. Sollte die Schule/Einrichtung nicht über einen eigenen Internetauftritt verfügen, haben Sie die Datenschutzhinweise bereits in anderweitiger Form erhalten. Für nähere Informationen zur Verarbeitung Ihrer Daten können Sie sich auch an die Schule/Einrichtung sowie den Datenschutzbeauftragten der Schule/Einrichtung wenden.