Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für die vom Ministerium für Bildung, Wissenschaft und Kultur des Landes Schleswig-Holstein betriebenen automatisierten Verfahren (Zentrale-Stelle-Verordnung Schule - ZStVOSchule) Vom 3. September 2020

Anlage 1 (zu § 1)Vom Ministerium für Allgemeine und Berufliche Bildung, Wissenschaft, Forschung und Kultur des Landes Schleswig-Holstein betriebene automatisierte Verfahren:1. School-SH (Einheitliche Schulverwaltungssoftware)2. Schulportal-SH mit den Diensten- zentrales ID-Management- Lernmanagement-System- E-Mail für Lehrkräfte 3. UEM (Zentrale Administrationsplattform für Endgeräte)4. KI-Chatbot (telli)5. Anwendung zur Stunden- und Vertretungsplanung6. Videokonferenzdienst7. Online-Dateiablage8. Vermittlungsdienst für das digitale Identitätsmanagement in Schulen (VIDIS)9. Webbasiertes Diagnostik- und Lerntool (2P Potential & Perspektive)10. Lernplattform für Kinder beruflich reisender Eltern (DigLu)

Anlage 2 (zu § 1)Vom Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein betriebene automatisierte Verfahren:1. SchulCommSY2. LeOniE.SH3. Online Pinnwand SH (OP.SH)4. IQSH-Mediathek (Edupool)5. Tutory (über Edupool)6. H5P (über Edupool)7. Schulhomepages (Contao)

§ 1Zentrale StelleZentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage 1 aufgeführten automatisierten Verfahren ist das für Bildung zuständige Ministerium. Zentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage 2 aufgeführten automatisierten Verfahren ist das Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein. Zentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage 3 aufgeführten automatisierten Verfahren ist das Schleswig-Holsteinische Institut für Berufliche Bildung. Die Anlagen sind Bestandteil der Verordnung.

§ 2Beteiligte StellenBeteiligte Stellen sind das für Bildung zuständige Ministerium, das Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein, das Schleswig-Holsteinische Institut für Berufliche Bildung und die Schulen gemäß § 2 Absatz 1 Schulgesetz, die die in der Anlage aufgeführten automatisierten Verfahren jeweils nutzen.

§ 3Verantwortlichkeit(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)1.(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung.(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten, insbesondere der Datenschutz-Grundverordnung, des Schulgesetzes sowie der Schul-Datenschutzverordnung vom 18. Juni 2018 (NBl. MBWK. Schl.-H. S. 187), zuletzt geändert durch Verordnung vom 27. September 2024 (NBl. MBWFK Schl.-H. S. 381) erfüllen die zentralen Stellen und die beteiligten Stellen jeweils in eigener Verantwortung.

§ 7InkrafttretenDiese Verordnung tritt am Tag nach ihrer Verkündung in Kraft.

Anlage 3 (zu § 1)Vom Schleswig-Holsteinischen Institut für Berufliche Bildung automatisierten Verfahren:1. Schulbewerbung.de2. Digitales Lernmanagementsystem für berufsbildende Schulen in Schleswig-Holstein (dLMS)3. Der Hub für berufliche Bildung (HubbS)

Anlage 1 (zu § 1)Vom Ministerium für Allgemeine und Berufliche Bildung, Wissenschaft, Forschung und Kultur des Landes Schleswig-Holstein betriebene automatisierte Verfahren:1. School-SH (Einheitliche Schulverwaltungssoftware)2. Schulportal-SH mit den Diensten- zentrales ID-Management- Lernmanagement-System- E-Mail für Lehrkräfte 3. UEM (Zentrale Administrationsplattform für Endgeräte)4. Anwendung zur Stunden- und Vertretungsplanung5. Videokonferenzdienst

Anlage 2 (zu § 1)Vom Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein betriebene automatisierte Verfahren:1. SchulCommSY2. LeOniE.SH3. Online Pinnwand SH (OP.SH)4. IQSH-Mediathek (Edupool)

Aufgrund des § 30 Absatz 2 Satz 4 und 5 des Schulgesetzes vom 24. Januar 2007 (GVOBl. Schl.-H. S. 39, ber. S. 276), zuletzt geändert durch Artikel 13 des Gesetzes vom 17. März 2022 (GVOBl. Schl.-H. S. 301, 306), in Verbindung mit § 7 Absatz 4 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet das Ministerium für Allgemeine und Berufliche Bildung, Wissenschaft, Forschung und Kultur:

§ 1Zentrale StelleZentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage 1 aufgeführten automatisierten Verfahren ist das für Bildung zuständige Ministerium. Zentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage 2 aufgeführten automatisierten Verfahren ist das Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein. Die Anlagen sind Bestandteil der Verordnung.

§ 2Beteiligte StellenBeteiligte Stellen sind das für Bildung zuständige Ministerium, das Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein und die Schulen gemäß § 2 Absatz 1 Schulgesetz, die die in der Anlage aufgeführten automatisierten Verfahren jeweils nutzen.

§ 3Verantwortlichkeit(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)1.(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung.(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten, insbesondere der Datenschutz-Grundverordnung, des Schulgesetzes sowie der Schul-Datenschutzverordnung vom 18. Juni 2018 (NBl. MBWK. Schl.-H. S. 187), zuletzt geändert durch Verordnung vom 30. Juni 2022 (NBl. MBWFK. Schl.-H. S. 241), erfüllen die zentralen Stellen und die beteiligten Stellen jeweils in eigener Verantwortung.

§ 4Informations-, Meldungs- und Benachrichtigungspflichten(1) Stellt eine zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Hält die zentrale Stelle eine Meldung nach Artikel 33 der Datenschutz-Grundverordnung oder Benachrichtigung nach Artikel 34 der Datenschutz-Grundverordnung für erforderlich, informiert sie die betroffene beteiligte Stelle oder die betroffenen beteiligten Stellen unverzüglich über diese Verletzung.(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Hält die beteiligte Stelle eine Meldung nach Artikel 33 der Datenschutz-Grundverordnung oder Benachrichtigung nach Artikel 34 der Datenschutz-Grundverordnung für erforderlich, ist vorab die jeweils zuständige zentrale Stelle zur informieren. Bestehen zusätzlich Anhaltspunkte dafür, dass die Verletzung des Schutzes personenbezogener Daten weitere beteiligte Stellen betreffen könnten, informiert sie die zuständige Schulaufsichtsbehörde.(3) Die Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung obliegen der beteiligten Stelle. Die zentrale Stelle soll die Meldung und die Benachrichtigung in geeigneten Fällen übernehmen, insbesondere wenn die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist oder die Ursache für die Verletzung mehr als eine beteiligte Stelle betrifft oder betreffen kann.

§ 5Verantwortlichkeit der zentralen Stelle(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit der automatisierten Verfahren nach § 7 Absatz 4 des Landesdatenschutzgesetzes wie folgt:1. sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung und nach § 12 Absatz 2 und 3 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung, insbesondere achtet sie auf Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen nach Artikel 25 der Datenschutz-Grundverordnung;2. sie nimmt das automatisierte Verfahren in ihr Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf;3. sie ist zuständig für die Durchführung von Tests und deren Dokumentation gemäß § 7 Absatz 1 des Landesdatenschutzgesetzes, zu denen sie von ihr ausgewählte beteiligte Stellen hinzuziehen kann; sie erteilt die Freigabe für das automatisierte Verfahren; einer Freigabe durch die beteiligten Stellen bedarf es nicht;4. sie ist zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung; bei der Durchführung der Datenschutz-Folgenabschätzung kann sie von ihr ausgewählte beteiligte Stellen hinzuziehen;5. sie ist bei Auftragsverarbeitung verantwortlich nach Artikel 28 der Datenschutz-Grundverordnung gegenüber den jeweiligen Auftragsverarbeitern;6. sie ist dafür zuständig, geplante Zertifizierungsverfahren nach Artikel 42 der Datenschutz-Grundverordnung durch die Aufsichtsbehörde zu begleiten.(2) Die zentrale Stelle kann für die in der jeweiligen Anlage aufgeführten, durch sie betriebenen automatisierten Verfahren Bestimmungen zur ordnungsgemäßen Nutzung des Verfahrens durch die beteiligten Stellen erlassen.

§ 6Verantwortlichkeit der beteiligten Stellen(1) Die beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung der automatisierten Verfahren verantwortlich. Daraus folgt insbesondere:1. sie nehmen die Informationspflichten gegenüber betroffenen Personen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung wahr;2. sie gewährleisten die Rechte der betroffenen Personen gemäß Artikel 15 bis 22 der Datenschutz-Grundverordnung;3. sie nehmen die Verarbeitungstätigkeiten im Rahmen der Nutzung des automatisierten Verfahrens in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf.(2) Die zentrale Stelle stellt den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß Absatz 1 notwendigen Informationen in geeigneter Weise bereit.

§ 7SchlussbestimmungenDiese Verordnung tritt am Tag nach ihrer Verkündung in Kraft. Gleichzeitig tritt die Zentrale-Stelle-Verordnung Schule vom 3. September 2020 (GVOBl. Schl.-H. S. 574) außer Kraft.

Anlage (zu § 1)Vom Ministerium für Bildung, Wissenschaft und Kultur des Landes Schleswig-Holstein betriebene automatisierte Verfahren:1. School-SH (Einheitliche Schulverwaltungssoftware)2. Schulportal-SH mit den Diensten- zentrales ID-Management- Lernmanagement-System- E-Mail für Lehrkräfte

Aufgrund des § 7 Absatz 4 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet das Ministerium für Bildung, Wissenschaft und Kultur:

§ 1 Zentrale StelleZentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage aufgeführten automatisierten Verfahren ist die für Bildung zuständige oberste Landesbehörde. Die Anlage ist Bestandteil der Verordnung.

§ 2 Beteiligte StellenBeteiligte Stellen sind das für Bildung zuständige Ministerium und die Schulen gemäß § 2 Absatz 1 des Schulgesetzes vom 24. Januar 2007 (GVOBl. Schl.-H. S. 39, ber. S. 276), zuletzt geändert durch Gesetz vom 1. Juli 2020 (GVOBl. Schl.-H. S. 399), die die in der Anlage aufgeführten automatisierten Verfahren jeweils nutzen.

§ 3 Verantwortlichkeit(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)1.(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung.(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten der Datenschutz-Grundverordnung erfüllen die zentrale Stelle und die beteiligten Stellen jeweils in eigener Verantwortung.

§ 4 Informations-, Meldungs- und Benachrichtigungspflichten(1) Stellt die zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Hält die zentrale Stelle eine Meldung nach Artikel 33 der Datenschutz-Grundverordnung oder Benachrichtigung nach Artikel 34 der Datenschutz-Grundverordnung für erforderlich, informiert sie die betroffene beteiligte Stelle oder die betroffenen beteiligten Stellen unverzüglich über diese Verletzung.(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Hält die beteiligte Stelle eine Meldung nach Artikel 33 der Datenschutz-Grundverordnung oder Benachrichtigung nach Artikel 34 der Datenschutz-Grundverordnung für erforderlich, ist vorab die zentrale Stelle zur informieren. Bestehen zusätzlich Anhaltspunkte dafür, dass die Verletzung des Schutzes personenbezogener Daten weitere beteiligte Stellen betreffen könnten, informiert sie die zuständige Schulaufsichtsbehörde.(3) Die Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung obliegen der beteiligten Stelle. Die zentrale Stelle soll die Meldung und die Benachrichtigung in geeigneten Fällen übernehmen, insbesondere wenn die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist oder die Ursache für die Verletzung mehr als eine beteiligte Stelle betrifft oder betreffen kann.

§ 5 Verantwortlichkeit der zentralen Stelle(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit der automatisierten Verfahren nach § 7 Absatz 4 des Landesdatenschutzgesetzes wie folgt:1. sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung und nach § 12 Absatz 2 und 3 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung, insbesondere achtet sie auf datenschutzfreundliche Technikgestaltung und Voreinstellungen nach Artikel 25 der Datenschutz-Grundverordnung;2. sie nimmt das automatisierte Verfahren in ihr Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf;3. sie ist zuständig für die Durchführung von Tests und deren Dokumentation gemäß § 7 Absatz 1 des Landesdatenschutzgesetzes, zu denen sie von ihr ausgewählte beteiligte Stellen hinzuziehen kann; sie erteilt die Freigabe für das automatisierte Verfahren; einer Freigabe durch die beteiligten Stellen bedarf es nicht;4. sie ist zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung; bei der Durchführung der Datenschutz-Folgenabschätzung kann sie von ihr ausgewählte beteiligte Stellen hinzuziehen;5. sie ist bei Auftragsverarbeitung verantwortlich nach Artikel 28 der Datenschutz-Grundverordnung gegenüber den jeweiligen Auftragsverarbeitern;6. sie ist dafür zuständig, geplante Zertifizierungsverfahren nach Artikel 42 der Datenschutz-Grundverordnung durch die Aufsichtsbehörde zu begleiten.(2) Die zentrale Stelle kann für die in der Anlage aufgeführten Verfahren Bestimmungen zur ordnungsgemäßen Nutzung des Verfahrens durch die beteiligten Stellen erlassen.

§ 6 Verantwortlichkeit der beteiligten Stellen(1) Die beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung der automatisierten Verfahren verantwortlich. Daraus folgt insbesondere:1. sie nehmen die Informationspflichten gegenüber betroffenen Personen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung wahr;2. sie gewährleisten die Rechte der betroffenen Personen gemäß Artikel 15 bis 22 der Datenschutz-Grundverordnung;3. sie nehmen die Verarbeitungstätigkeiten im Rahmen der Nutzung des automatisierten Verfahrens in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf.(2) Die zentrale Stelle stellt den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß Absatz 1 notwendigen Informationen in geeigneter Weise bereit.

§ 7 Inkrafttreten, AußerkrafttretenDiese Verordnung tritt mit Wirkung vom 1. August 2020 in Kraft. Sie tritt mit Ablauf von fünf Jahren nach ihrem Inkrafttreten außer Kraft.