(1) Die Nutzung von privaten Datenverarbeitungsanlagen ist grundsätzlich nicht zulässig. Die Schulleitung als verantwortliche Stelle kann im Ausnahmefall die Erlaubnis erteilen, dass Lehrkräfte und sonstiges Schulpersonal personenbezogene Daten von Schülerinnen und Schülern, Erziehungsberechtigten, Lehrkräften und sonstigem Schulpersonal auf privaten Datenverarbeitungsanlagen verarbeiten dürfen. Die erteilte Erlaubnis ist zu begründen und zu dokumentieren.
(2) Soweit die Verarbeitung personenbezogener Daten mit vom Schulträger zur Verfügung gestellten Datenverarbeitungsanlagen in der Schule möglich ist, steht dies der Nutzung von privaten Datenverarbeitungsanlagen entgegen. Die Erlaubniserteilung durch die Schulleitung setzt die Prüfung, Umsetzung und Einhaltung der datenschutzrechtlichen Vorschriften voraus. Die Schule hat vorab in einem Verzeichnis der Verarbeitungstätigkeiten festzulegen, wie die Nutzung privater Datenverarbeitungsanlagen zu dienstlichen Zwecken ausgestaltet ist. Lehrkräfte dürfen auf ihren eigenen privaten Datenverarbeitungsanlagen nur personenbezogene Daten jener Schülerinnen und Schüler verarbeiten, die sie selbst unterrichten und fördern.
(3) Die Schule zeigt die Verwendung von privaten Datenverarbeitungsanlagen durch die Lehrkräfte oder sonstigem Schulpersonal gegenüber der unteren Schulbehörde beziehungsweise der zuständigen Schulaufsicht über die beruflichen Schulen im Ministerium für Bildung, Wissenschaft und Kultur an. Für private Datenverarbeitungsanlagen der Lehrkräfte und des sonstigen Schulpersonals ergeben sich die personenbezogenen Daten, die verarbeitet werden dürfen, aus der SchulDSVO M-V Anlage 2 zu dieser Verordnung.
(4) Im Rahmen der Verwendung privater Datenverarbeitungsanlagen durch Lehrkräfte und sonstigem Schulpersonal sind die Daten von Schülerinnen und Schülern, Erziehungsberechtigten, Lehrkräften und sonstigem Schulpersonal durch geeignete technische und organisatorische Maßnahmen vor unbefugtem Zugriff zu sichern. An die Ausstattung privater Datenverarbeitungsanlagen sind nach Art. 32 Abs. 1 DSGVO (der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)) (ABl. L 119 vom 4.5.2016, S. 1; L 314, S. 72; 2018 L 127, S. 2) zur Gewährleistung eines optimalen Datenschutzes konkrete Anforderungen definiert. Um den Stand der Technik abzubilden, ist sowohl die SDM- als auch die IT-Grundschutz-Methodik umzusetzen. Bei der konkreten Maßnahmenplanung sollte das IT-Grundschutz-Kompendium in der jeweils aktuellen Fassung genutzt werden. Es wird empfohlen, mindestens die folgenden Bausteine zu betrachten und im jeweiligen Kontext auf deren Anwendbarkeit zu evaluieren:
CON.2 Datenschutz
CON.3 Datensicherungskonzept
CON.4 Auswahl und Einsatz von Standardsoftware
CON.5 Entwicklung und Einsatz von Allgemeinen Anwendungen
CON.6 Löschen und Vernichten
SYS.2 Desktop-Systeme
SYS.3 Mobile Devices
INF.7 Büroarbeitsplatz
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz.
(5) Lehrkräfte oder sonstiges Schulpersonal haben auf Anforderung der Schulleitung die private Datenverarbeitungsanlage zu Kontrollzwecken in der Schule zur Verfügung zu stellen.
