(1) Die Schulleitung hat den Umgang mit den Datenverarbeitungsanlagen und -geräten an der Schule, auf denen personenbezogene Daten verarbeitet werden, zu regeln. Die Umsetzung und Wirksamkeit ist regelmäßig zu überprüfen. Ein Verzeichnis von Verarbeitungstätigkeiten sowie ein Datenschutz- und Sicherheitskonzept sind durch die Schulleiterin oder den Schulleiter zu erstellen, regelmäßig fortzuschreiben, zu aktualisieren und umzusetzen. Als Gewährleistungsziele gelten die Sicherung der Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Daten, ergänzt um die übergreifende Anforderung der Datenminimierung. Zur Aufrechterhaltung der Sicherheit müssen regelmäßig die mit der Verarbeitung personenbezogener Daten verbundenen Risiken ermittelt sowie technische und organisatorische Maßnahmen zu ihrer Vermeidung oder Reduzierung umgesetzt werden. Dabei sind die Maßnahmen nach der Schutzbedürftigkeit der personenbezogenen Daten auszurichten. Hierbei ist der Schulträger im Rahmen seiner Aufgaben nach § 102 SchulG M-V (Schulgesetz) angemessen und frühzeitig zu beteiligen.
(2) An den Schulen ist sicherzustellen, dass durch eine Netzsegmentierung mit einem kontrollierten Netzübergang das pädagogische Netz vom Verwaltungsnetz der Schule getrennt ist. Die Schülerinnen und Schülern besitzen keinen Zugang und Zugriff auf die Datenverarbeitungsanlagen im Verwaltungsnetz der Schule. Darüber hinaus ist zu gewährleisten, dass die im Unterricht eingesetzten Datenverarbeitungsanlagen oder -geräte der Schülerinnen und Schüler ausschließlich Zugriff auf das pädagogische Netz haben, sofern dies erforderlich ist. Weitere Anforderungen ergeben sich aus dem anzuwendenden Standard-Datenschutzmodell (SDM), aus der IT-Grundschutzmethodik, den Sicherheitsstandards und Technischen Richtlinien vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei sind die Anforderungen des IT-Grundschutz-Kompendiums in der jeweils aktuellen Fassung eigenständig zu determinieren.
(3) Die Informations- und Kommunikationstechnik der Schule, mit der auch personenbezogene Daten der betroffenen Personen im Sinne von § 4 Abs. 1 SchulDSVO M-V verarbeitet werden, ist so zu gestalten, dass Berechtigte nur zu solchen personenbezogenen Daten Zugang erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.
(4) Für die Verwaltung der verwendeten Datenträger sind den Datenträgern folgende Informationen beizufügen:
- Name der Schule,
- Name des Dateneigentümers,
- Kennzeichnung als Original oder als Kopie,
- Kurzangabe des Inhaltes des Datenträgers und
- Dokumentenklassifizierung nach zum Beispiel offen, intern, vertraulich.
(5) Von den auf Datenträgern gespeicherten personenbezogenen Daten sind regelmäßig Sicherungskopien zu fertigen. Diese sind sicher und räumlich getrennt von den Datenverarbeitungsanlagen aufzubewahren. Die Kennzeichnung der Sicherungskopien erfolgt nach Absatz 4.
(6) Die personenbezogenen Daten sind unwiderruflich zu löschen, wenn ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist. Die Schulleitung hat jährlich zu prüfen, ob die erforderlichen Löschungen nach einem existierenden Löschkonzept vollzogen worden sind.
(7) Akten mit personenbezogenen Daten sind unter Verschluss zu halten. Einsichtnahme durch Unbefugte, Missbrauch der personenbezogenen Daten sowie deren zweckentfremdete Verwendung sind auszuschließen.
(8) Die Schülervertretung hat bei der Verarbeitung von personenbezogenen Daten die durch die Schule bereitgestellte Informationstechnik zu verwenden. Die Schule hat die erforderliche Vertraulichkeit in Bezug auf die Aufgaben der Schülervertretung zu wahren.
