Beschreibung einer Verarbeitungstätigkeit

1. Allgemeine Angaben

Bezeichnung der Verarbeitungstätigkeit Bereitstellung einer cloudbasierten Standardsoftware für Videokonferenzen für Schulen und weiteren Diensstellen im Ressortbereich des StMUK	Aktenzeichen	Stand: April 2021
Verantwortlicher (Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer der öffentlichen Stelle) Raimund Betz, Rektor Schule St. Stephan, Straubing-Alburg Fröbelstraße 10 94315 Straubing verwaltung@schule-st-stephan.de 09421 3748
Falls zutreffend: Angaben zu weiteren gemeinsam für die Verarbeitung Verantwortlichen (jeweils Bezeichnung, Anschrift, E-Mail-Adresse und Telefonnummer)
Behördlicher Datenschutzbeauftragter (Name, dienstliche Anschrift, E-Mail-Adresse, Telefonnummer) Laszlo Wenzl, DSB Schule St. Stephan, Straubing-Alburg Fröbelstraße 10 94315 Straubing datenschutz@schule-st-stephan.de 09421 3748

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Zwecke: - Durchführung von Distanzunterricht unter den Voraussetzungen von § 19 Abs. 4 BaySchO - Online-Fortbildungen oder -Tagungen - Lehrer- und Klassenkonferenzen - Videogesprächen im Rahmen von Elternsprechtagen - Videogespräche mit externen Partnern der Schulfamilie - dienstliche Nutzung für Bedienstete von Fortbildungseinrichtungen und weiteren Einrichtungen im Ressortbereich des StMUK

Rechtsgrundlagen -       Einwilligung nach Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO -       Wenn und soweit verpflichtende Nutzung: Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO in Verbindung mit Art. 85 Abs. 1 S. 1 Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG) -       Ausführliche Regelungen zum Verfahren „Videokonferenz“ finden sich in § 46 Bayerische Schulordnung (BaySchO) mit Anlage 2 Abschnitt 7

 

 

3. Kategorien der personenbezogenen Daten
    

Lfd. Nr.	Bezeichnung der Daten
	Daten von Nutzerkontoinhabern
3.1	Stammdaten gemäß 3.1.1 in Nr. 7 Anlage 2 BaySchO	Benutzername, Vorname, Nachname, E-Mail-Adresse, Nutzerrolle, Organisationszugehörigkeit,
3.2	Sichtbare Profilinformationen gemäß 3.1.2 in Nr. 7 Anlage 2 BaySchO	Angezeigter Name, E-Mail-Adresse, Profilbild (Optional), Onlinestatus und Zeitpunkt der letzten Anmeldung bzw. bei telefonischer Teilnahme die Telefondurchwahl des anrufenden Teilnehmers (nicht sichtbar für andere Teilnehmerinnen und Teilnehmer, s.u.)
3.3	Passwort gemäß 3.1.3 in Nr. 7 Anlage 2 BaySchO
3.4	Inhaltsdaten gemäß 3.1.4 in Nr. 7 Anlage 2 BaySchO	Termineinträge, Termineinladungen, Kontaktdaten, Einstellungen und Konfiguration,
3.5	Sonstige Nutzungsdaten (Protokolldaten) gem. 3.1.5 in Nr. 7 Anlage 2 BaySchO	Zeitpunkte der An- und Abmeldung, Zeitpunkt des ersten und letzten Logins, Zeitpunkt der letzten Kennwortänderung, IP-Adresse
3.6	Video-, Bild und Audiodaten für die Videonutzung gem. 3.2 in Nr. 7 Anlage 2 BaySchO	Videobild oder Bildschirmanzeige bei Videonutzung (optional: Freigabe für die betroffenen Personen freiwillig), Ton bei Videonutzung oder Telefonie (bei Video- oder Telefonkommunikation)
3.7	Gruppenbezogene Nutzungsdaten gemäß 3.3 in Nr. 7 Anlage 2 BaySchO	Chat/Messenger-Texte, Bilder, und weitere der Gruppe zugänglich gemachte Dateien und Verzeichnisse inkl. Bearbeitungs-, Zustellungs- und Lesestatus und sowie Zeitpunkt der Erstellung und der letzten Änderung, bei gemeinsamer Bearbeitung von Dokumenten zuletzt vorgenommene Änderungen mit Namen

 

Lfd. Nr.	Bezeichnung der Daten
	Daten von Teilnehmerinnen und Teilnehmern an Videokonferenzen
3.2	Sichtbare Profilinformationen gemäß 3.1.2 in Nr. 7 Anlage 2 BaySchO	Angezeigter (bei jeder Einwahl neu wählbarer) Name  bzw. bei telefonischer Teilnahme die Telefondurchwahl des anrufenden Teilnehmers (nicht sichtbar für andere Teilnehmerinnen und Teilnehmer, s.u.), Onlinestatus
3.5	Sonstige Nutzungsdaten (Protokolldaten) gem. 3.1.5 in Nr. 7 Anlage 2 BaySchO	Zeitpunkte der An- und Abmeldung (Beitritt und Austritt der Videokonferenz), IP-Adresse
3.6	Video-, Bild und Audiodaten für die Videonutzung gem. 3.2 in Nr. 7 Anlage 2 BaySchO	Videobild oder Bildschirmanzeige bei Videonutzung (optional: Freigabe für die betroffenen Personen freiwillig), Ton bei Videonutzung oder Telefonie (bei Video- oder Telefonkommunikation)
3.7	Gruppenbezogene Nutzungsdaten gemäß 3.3 in Nr. 7 Anlage 2 BaySchO	Chat/Messenger-Texte, Bilder, und weitere der Gruppe zugänglich gemachte Dateien und Verzeichnisse inkl. Bearbeitungs-, Zustellungs- und Lesestatus sowie Zeitpunkt der Erstellung und der letzten Änderung, bei gemeinsamer Bearbeitung von Dokumenten zuletzt vorgenommene Änderungen mit Namen

 

4. Kategorien der betroffenen Personen

Lfd. Nr.	Betroffene Personen
4.1	Pädagogisches Personal: Lehrkräfte, Betreuungspersonal förderbedürftiger Schülerinnen und Schüler, Studienreferendare, Lehramtsstudierende im Schulpraktikum, weiteres pädagogisches Personal (z. B. Ganztagsbetreuung), ggf. auch unterstützendes Verwaltungspersonal
4.2	Schülerinnen und Schüler
4.3	Gastnutzer (z.B. Erziehungsberechtigte, externe Teilnehmer)
4.4	Externe Personen, die von der Video- oder Tonübertragung erfasst werden (z. B. Schulbegleitungen)
4.5	Personal an Fortbildungseinrichtungen und weiteren Einrichtungen im Ressortbereich des StMUK

5. 
   Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen

Lfd. Nr.	Empfänger	Betroffene Datenkategorien und Anlass der Offenlegung
5.1	Externe Empfänger
5.1.1	Auctores GmbH	Daten gem. 3.1 bis 3.7 Schulleiter werden in der Nutzerverwaltung der ViKo-Lösung als Weisungsberechtigte im Sinne der AVV angelegt, um die AVV unterzeichnen zu können und Nutzerverwalterzugänge für berechtigte Nutzer zu verwalten. Schul-Admins: Übernehmen die Nutzerverwaltung der eigenen Schule und verfügen über Berechtigung im Sinne der AVV ggü. der Anbieter der ViKo-Lösung Lehrkräfte werden in der Nutzerverwaltung der ViKo-Lösung als „berechtigte Nutzer“ angelegt, um ViKos terminieren und steuern zu können. Der AN stellt eine Supporthotline zur Verfügung, an die sich berechtigte Nutzer wenden können. Diese Empfängerin ist Auftragsverarbeiterin der Schule.
5.1.2	Proact Deutschland GmbH	Daten gem. 3.1 bis 3.7 Linux Administration, Betreuung und Beratung auf fachlicher Ebene, Bereitstellung Rechenzentrum Services (z. B. Bereitstellung Server). Diese Empfängerin ist weitere Auftragsverarbeiterin der Empfängerin unter 5.1.1
5.1.3	OVH GmbH	Daten gem. 3.1 bis 3.7 Bereitstellung Rechenzentrum Services (Server). Diese Empfängerin ist weitere Auftragsverarbeiterin der Empfängerin unter 5.1.1.
5.1.4	Hetzner Online GmbH	Daten gem. 3.1 bis 3.7 Bereitstellung Rechenzentrum Services (Server). Diese Empfängerin ist weitere Auftragsverarbeiterin der Empfängerin unter 5.1.1.
5.1.5	Bkd GmbH	Daten gem. 3.1 bis 3.7 Call Center für Support. Diese Empfängerin ist weitere Auftragsverarbeiterin der Empfängerin unter 5.1.1
5.1.6	dtms GmbH	Audio-Daten gem. 3.6 und die Telefondurchwahl des anrufenden Teilnehmers gem. 3.2. Bereitstellung VOIP-Interconnect für Telefoneinwahl. Diese Empfängerin ist weitere Auftragsverarbeiterin der Empfängerin unter 5.1.1.
5.2	Gastnutzer gem. 4.3	Eigene Daten gem. 3.2, 3.6 und 3.7 lesend und schreibend, Daten gem. 3.2, 3.6 und 3.7 von Nutzern, die im selben virtuellen Raum anwesend sind.
5.3	Externe Personen gem. 4.4	Daten gem. 3.2, 3.6 und 3.7 von Nutzern, die im aktuellen virtuellen Raum anwesend sind.
5.4	Interne Personen gem. 4.1
5.4.1	Von der Schulleitung beauftragte Schuladministratoren	Daten gem. 3.1, 3.2 und 3.4 lesend und schreibend, Daten gem. 3.3 nur schreibend
5.4.2	Alle Nutzer mit Nutzerkonto bzgl. eigener Daten	Daten gem. 3.1 und 3.2 schreibend, gem. 3.3 und 3.4 lesend und schreibend
5.4.3	Pädagogisches Personal bzgl. Daten der von ihnen unterrichteten Schülerinnen und Schüler und der von ihnen eingeladenen Gastnutzer	Daten der Nutzer gem. 3.2 (nur Vorname und Name bzw. Benutzername) sofern sie sich in demselben virtuellen Raum befinden - lesend sowie 3.6 und 3.7, sofern diese vom betroffenen Nutzer freigeben sind.
5.5	Schülerinnen und Schüler gem. 4.2  bzgl. Daten der sie unterrichtenden Lehrkräfte sowie der Schülerinnen und Schüler in ihren Klassen/Kursen	Daten der Nutzer gem. 3.2 (nur Vorname und Nachname bzw. Benutzername) sofern sie sich in demselben virtuellen Raum befinden - lesend, sowie eigene Daten gem. 3.2 3.6 und 3.7 lesend und schreibend. Bei telefonischer Einwahl wird die Telefonnummer des anrufenden Teilnehmers den anderen Schülerinnen und Schüler nicht angezeigt. Diesen wird eine Pseudonym als Nutzername angezeigt.
5.6	Weiteres Personal an Dienststellen gem. 4.5
5.6.1	Von der Dienststellenleitung beauftragte Administratoren	Daten gem. 3.1, 3.2 und 3.4 lesend und schreibend, Daten gem. 3.3 nur schreibend
5.6.2	Alle Nutzer mit Nutzerkonto bzgl. eigener Daten	Daten gem. 3.1 und 3.2 schreibend, gem. 3.3 und 3.4 lesend und schreibend
5.6.3	Personal bzgl. Daten der von ihnen eingeladenen Teilnehmer und Gastnutzer	Daten der Nutzer gem. 3.2 (nur Vorname und Name bzw. Benutzername) sofern sie sich in demselben virtuellen Raum befinden - lesend sowie 3.6 und 3.7, sofern diese vom betroffenen Nutzer freigeben sind.

6. Falls zutreffend: Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Lfd. Nr.	Drittland oder internationale Organisation	Geeignete Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO
---	---	---

7. Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Lfd. Nr.	Löschungsfrist
7.1	Löschfristen für Daten gem. 3.1 – 3.4 gemäß Abschnitt 7, Nr. 5 Anlage 2 BaySchO
7.2	Daten gem. 3.5: Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf die Webserver, werden diese Daten gespeichert. Nach spätestens sieben Tagen werden die Daten durch Verkürzung der IP-Adresse auf Domain-Ebene gelöscht, so dass es nicht mehr möglich ist, einen Bezug auf einzelne Nutzer herzustellen. Technische Protokolldaten, die beim Betrieb des Dienstes anfallen, werden maximal 30 Tage aufbewahrt und danach automatisiert gelöscht
7.3	Unverzügliche Löschung der Daten gem. 3.1 – 3.4 auf Anweisung des Betroffenen oder Verantwortlichen
7.4	Löschung der Daten gem. 3.6 und 3.7 mit Beendigung der Videokonferenz

8. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO, ggf. einschließlich der Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG-E 2018

☐ Technische und organisatorische Maßnahmen gemäß IT-Sicherheitskonzept des StMUK ☒ andere bzw. ergänzende Maßnahmen: „Sicherheitskonzept Auctores“ und Technische und Organisatorische Maßnahmen gemäß Anlage 1 der AVV

 

Weitere Angaben

9. Verantwortliche Organisationseinheit

Dienststelle / Referat / Abteilung ☒ Schulleiterin/Schulleiter; Dienststellenleiter/Dienststellenleiterin ☐ Systembetreuer(in) ☐

10. Datenschutz-Folgenabschätzung

Ist für die Form der Verarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich? ☒ Ja,              ☐ Nein            Falls ja, bis wann durchzuführen oder zu überprüfen          Hinweis: Die Datenschutzfolgeabschätzung wird derzeit vom StMUK zentral durchgeführt und wird den Schulen alsbald zur Verfügung gestellt.

Begründung 1.    Bewerten und Einstufen Im Rahmen der Verarbeitungstätigkeit erfolgt eine Bewertung der Schülerinnen und Schüler zu ihrer Leistungsfähigkeit im Rahmen des Distanzunterrichts. Den Schülerinnen und Schülern ist es ermöglicht mündliche Leistungsnachweise auch im Rahmen des Distanzunterrichts zu erbringen (siehe StMUK - Aktualisiertes Rahmenkonzept zum Distanzunterricht vom 30.12.2020 Ziffer 5). 2.    Die Datenverarbeitung erfolgt in großen Umfang Im Fall von bayernweiten Schulschließung werden im Rahmen des Distanzunterrichts die Daten von bis zu 1,6 Mio Schülerinnen und Schülern, 155.000 Lehrkräften, weiterem pädagogischen Personal und Beteiligten des Schullebens verarbeitet. Der Datenumfang ist aufgrund der hohen Zahl an Nutzern und der Verwendung einer Videokonferenzplattform sehr hoch. Bei einer Übertragungsrate einer Videokonferenz von ca. 1mbit/s im Upload und 1,5mbit/s im Download pro Teilnehmer ist mit einem extrem hohen Datenumfang zu rechnen. Distanzunterricht soll den Präsenzunterricht im Rahmen einer Schulschließung ersetzen. Die Datenverarbeitung findet deshalb schultäglich von 7:30 bis 13:30 statt und muss im Worst-Case-Szenario über Monate/Jahre hinweg durchgeführt werden. 3.    Daten von schutzbedürftigen Personen Die Daten werden überwiegend von Kindern und Jugendlichen im Alter zwischen 6 und 18 Jahren erhoben (siehe 2.), welche besonders schutzbedürftig sind. Sonstige schutzbedürftige Personen sind Lehrkräfte. 4.    Fazit: Nach der eigenen Risikoeinschätzung des Verantwortlichen sind im Fall der ViKo21 drei Kriterien zur Beantwortung der Frage erfüllt, ob der Datenverarbeitungsvorgang für die Betroffenen voraussichtlich ein hohes Risiko mit sich bringt. Eine DSFA ist deshalb durchzuführen.

12. Stellungnahme des behördlichen Datenschutzbeauftragten

Liegt eine Stellungnahme des behördlichen Datenschutzbeauftragten vor? ☐ Ja                ☐ Nein

Ggf. nähere Erläuterung

 

1.1      Erläuterungen zum Muster

Welche Verarbeitungstätigkeiten sind in das Verzeichnis aufzunehmen?

Aufzunehmen sind alle ganz oder teilweise automatisierten Verarbeitungstätigkeiten – also alle Verarbeitungstätigkeiten, die ganz oder teilweise mit Hilfe von IT-Systemen erfolgen.

Nichtautomatisierte Verarbeitungstätigkeiten sind aufzunehmen, soweit die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO, Art. 2 Satz 2 BayDSG-E 2018).

„Dateisystem“ ist nach Art. 4 Nr. 6 DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Diese Voraussetzung wird regelmäßig vorliegen, wenn eine strukturierte Verarbeitungstätigkeit schriftlich oder elektronisch dokumentiert und in einer Registratur gespeichert wird, wie dies bei Behörden üblich ist (vgl. z.B. § 12 ff. der Allgemeinen Geschäftsordnung für die Behörden des Freistaates Bayern – AGO). Insbesondere die Verwendung von Vordrucken für die Erhebung von Daten oder den Verwaltungsablauf ist ein Anhaltspunkt für die Pflicht zur Aufnahme in das Verarbeitungsverzeichnis.

Das Verarbeitungsverzeichnis soll einerseits alle Verarbeitungstätigkeiten ausreichend konkret darstellen, anderseits nicht zu kleinteilig sein. Der Begriff der „Verarbeitungstätigkeit“ umfasst alle Verarbeitungsschritte, Vorgänge und Vorgangsreihen, die einem gemeinsamen Zweck dienen. Es ist daher nicht zu jedem einzelnen Verarbeitungsschritt bzw. Vorgang oder zu einer Vorgangsreihe ein eigener Verzeichniseintrag zu erstellen. Vielmehr ist ein zusammenfassender Verzeichniseintrag für die durch den Zweck gleichsam „verklammerte“ Verarbeitungstätigkeit ausreichend. Insbesondere müssen Verarbeitungsschritte, die nur untergeordnete Hilfsfunktion haben und damit keinem eigenen neuen Zwecken, sondern letztlich nur dem Zweck der eigentlichen Verarbeitungstätigkeit dienen, nicht gesondert aufgeführt werden.

Beispiele für aufzunehmende Verarbeitungstätigkeiten:

• Führung des Melderegisters
• Führung des Gewerberegisters
• Personalaktenverwaltung
• Beihilfebearbeitung
• Wohngeldbearbeitung
• Bearbeitung von Bauanträgen
• Zeiterfassung
• Einzelne Videoüberwachungen (auch mit mehreren Kameras, soweit an einem Ort)
• Durchführung von Wahlen und Abstimmungen
• Fahrerlaubnisverwaltung
• Kfz-Zulassung

Zu Nr. 1 (Allgemeine Angaben)

(Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO)

Die Bezeichnung der Verarbeitungstätigkeit soll allgemeinverständlich sein und den jeweiligen Zweck erkennen lassen. Beispiele siehe oben.

„Verantwortlicher“ ist die Behörde oder sonstige öffentliche Stelle, die selbst oder mittels eines Auftragsverarbeiters die Verarbeitung durchführt. Die in Art. 30 Abs. 1 Satz 2 Buchst. a DSGVO genannten „Vertreter“ beziehen sich auf den Vertreter im Sinne von Art. 4 Nr. 17 DSGVO und sind damit für öffentliche Stellen nicht relevant.

„Gemeinsam für die Verarbeitung Verantwortliche“ liegen vor, wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen (Art. 26 DSGVO).

Als „Anschrift“ ist jeweils Postleitzahl, Ort, Straße und Hausnummer anzugeben.

Zu Nr. 2 (Zwecke und Rechtsgrundlagen der Verarbeitung)

(Art. 30 Abs. 1 Satz 2 Buchst. b DSGVO; Art. 31 BayDSG-E 2018)

Die Angabe der Rechtsgrundlagen der Verarbeitungstätigkeit geht über die in Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten Mindestangaben hinaus. Die Angabe dient dem Nachweis, dass diese Frage geprüft wurde. Für Verarbeitungen im Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz (Richtlinie (EU) 2016/680, vgl. Art. 28 Abs. 1 BayDSG-E 2018) ist die Angabe der Rechtsgrundlagen demgegenüber verpflichtend (Art. 31 BayDSG-E 2018).
Soweit keine bereichsspezifische gesetzliche Regelung (wie etwa auch Art. 4 Abs. 1 BayDSG-E 2018) besteht, kommen als Rechtsgrundlagen die Tatbestände nach Art. 6 – bei besonderen Kategorien personenbezogener Daten in Verbindung mit Art. 9 DSGVO und Art. 8 BayDSG-E 2018 - in Betracht.

Zu Nr. 3 (Kategorien der personenbezogenen Daten)

(Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO)

Unter Kategorien sind aussagefähige Oberbegriffe zu verstehen, z.B. „Name und Vorname“, „Anschrift“, „Staatsangehörigkeit“. Angaben rein technischer Art (z.B. Feldnummern, Schlüsselnummern usw.) sind nicht erforderlich. Die Bezugnahme auf beigefügte Beschreibungen von Datensätzen ist zulässig, wenn aus diesen die personenbezogenen Daten eindeutig hervorgehen.

Zu Nr. 4 (Kategorien der betroffenen Personen)

(Art. 30 Abs. 1 Satz 2 Buchst. c DSGVO)

Zu beschreiben sind hier Personengruppen, die von der Verarbeitung betroffen sind. Beispiel: „Bauantragsteller“ oder „Beihilfeberechtigte und deren Angehörige“.

Anzugeben sind auch Personengruppen innerhalb der öffentlichen Stellen, deren Daten verarbeitet werden. Beispiel: „Sachbearbeiter im Bauamt“.

Zu Nr. 5 (Kategorien der Empfänger)

(Art. 30 Abs. 1 Satz 2 Buchst. d DSGVO)

Nach Art. 4 Nr. 9 DSGVO ist Empfänger „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“. Zu den Empfängern gehören daher auch Auftragsverarbeiter sowie Stellen innerhalb der Behörde, denen die Daten weitergegeben werden oder die Zugriff auf die Daten haben.

Zu beachten ist ferner die Ausnahmeregelung des Art 4 Nr. 9 Satz 2 DSGVO, wonach Behörden unter bestimmten, in dieser Vorschrift genannten Voraussetzungen nicht als Empfänger gelten.

Zu Nr. 6 (Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation)

(Art. 30 Abs. 1 Satz 2 Buchst. e DSGVO)

Als Drittländer werden alle Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes bezeichnet. Im Falle einer Übermittlung an ein Drittland oder eine internationale Organisation nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO sind die geeigneten Garantien in Bezug auf den Schutz personenbezogener Daten in Spalte 3 festzuhalten. Soweit erforderlich kann dazu auf ergänzende Dokumente verwiesen werden.

Zu Nr. 7 (Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien)

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist, für die sie verarbeitet werden (Grundsatz der „Speicherbegrenzung“, Art. 5 Abs. 1 Buchst. e DSGVO). Gespeicherte Daten sind daher unverzüglich zu löschen, sobald sie für die Aufgabenerfüllung der öffentlichen Stelle nicht mehr erforderlich sind (vgl. DSGVO-Erwägungsgrund 39). Der Verantwortliche sollte daher Fristen für die Löschung oder regelmäßige Überprüfung der personenbezogenen Daten vorsehen (vgl. DSGVO-Erwägungsgrund 39). Fachgesetzliche Regelungen sind zu beachten.

Über den eigentlichen Speicherungsanlass hinaus (z.B. zur Bearbeitung eines Antrags auf Baugenehmigung) kann eine Speicherung auch zur Erfüllung von Dokumentationspflichten erforderlich sein.

Anzugeben ist auch der Beginn der Löschungsfrist. Vor einer Löschung von Daten sind die archivrechtlichen Anbietungspflichten zu beachten.

Zu Nr. 8 (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO ggf. einschließlich der Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG-E 2018)

(Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO; Art. 8 Abs. 2 Satz 2 BayDSG-E 2018)

Hier sind die technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO allgemein zu beschreiben. Trotz der in Art. 30 Abs. 1 Satz 2 Buchst. g DSGVO verwendeten Formulierung „wenn möglich“ hat der Verantwortliche hier in aller Regel Angaben zu machen, da er ohnehin verpflichtet ist, „geeignete technische und organisatorische Maßnahmen“ zu treffen. Entsprechende Informationen werden dem Verantwortlichen daher in aller Regel vorliegen.

Eine Beschreibung von Maßnahmen nach Art. 8 Abs. 2 Satz 2 BayDSG-E 2018 ist erforderlich, wenn besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verarbeitet werden.

Aus datenschutzrechtlicher Sicht zentral ist insbesondere die Fähigkeit, die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Es ist zulässig und oft auch ausreichend, wenn dazu und im Hinblick auf die weiteren in Art. 32 Abs. 1 DSGVO genannten Maßnahmen auf ein vorhandenes Informationssicherheitskonzept verwiesen wird (vgl. Art. 11 Abs. 1 Satz 2 Bayerisches E-Government-Gesetz).

Zu Nr. 9. (Nur für Verarbeitungen durch Polizei- und Strafjustizbehörden)

(Art. 31 BayDSG-E 2018)

Angaben zum Profiling sind nur erforderlich, wenn bei Verarbeitungen im Sinne des Art. 28 Abs. 1 BayDSG-E 2018 im Anwendungsbereich der Richtlinie zum Datenschutz bei Polizei und Justiz ein Profiling erfolgt. Relevant kann dies für Behörden der Polizei, Gerichte in Strafsachen und Staatsanwaltschaften, Strafvollstreckungs- und Justizvollzugsbehörden sowie Behörden des Maßregelvollzugs sein, soweit diese personenbezogene Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeiten. Sonstige Behörden können nur betroffen sein, soweit diese personenbezogene Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen oder zu ahnden.

„Profiling“ ist nach Art. 4 Abs. 4 DSGVO „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

Errichtungsanordnungen werden nach Art. 47 PAG bzw. zukünftig nach Art. 64 Abs. 1 PAG-E 2018 erstellt.

Zu Nr. 10 (Verantwortliche Organisationseinheit)

Hier ist die Dienststelle, das Referat oder die sonstige Organisationseinheit der öffentlichen Stelle anzugeben, in der die Verarbeitungstätigkeit erfolgt. Beispiele: „Personalreferat“ oder „Bauamt“.

Zu Nr. 11 (Datenschutz-Folgenabschätzung)

Die Angabe, ob eine Datenschutz-Folgenabschätzung für die Verarbeitungstätigkeit durchzuführen ist, geht über die Art. 30 Abs. 1 Satz 2 DSGVO aufgeführten Mindestangaben für die Beschreibung von Verarbeitungstätigkeiten hinaus. Sie dient dem Nachweis, dass diese Frage in Abstimmung mit dem behördlichen Datenschutzbeauftragten geprüft wurde.

Welches Risiko für die Rechte und Freiheiten natürlicher Personen von einer beabsichtigten Verarbeitung personenbezogener Daten ausgeht und wie dieses Risiko bewältigt werden kann, ist vor jeder Verarbeitung zu prüfen. Eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 Satz 1 DSGVO ist dagegen nur durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Diese Voraussetzung wird nur bei wenigen Verarbeitungstätigkeiten vorliegen. Für Polizeibehörden richtet sich die Datenschutz-Folgenabschätzung nach Art. 64 Abs. 2 PAG-E 2018.

Die Datenschutz-Folgenabschätzung ist „vorab“, d.h. vor dem Einsatz einer Verarbeitung durchzuführen. Für bereits laufende Verarbeitungen, die ohne wesentliche Änderungen fortgeführt werden und die eine Datenschutz-Folgenabschätzung erfordern, ist diese in einer Übergangsfrist spätestens bis zum 25. Mai 2021 nachzuholen.

Nr. 8 dieser Arbeitshilfe enthält weitere Hinweise zu den Voraussetzungen und der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

Zu Nr. 12 (Stellungnahme des behördlichen Datenschutzbeauftragten)

Dem behördlichen Datenschutzbeauftragten ist vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden, Gelegenheit zur Stellungnahme zu geben (Art. 12 Abs. 1 Satz 1 Nr. 2 BayDSG-E 2018). Eine Stellungnahme des behördlichen Datenschutzbeauftragten ist nach Art. 24 Abs. 5 BayDSG-E 2018 auch vor dem Einsatz einer Videoüberwachung einzuholen.