Zu Inhalt springen Zu Fußbereich springen
  • Informationen zur Datenverarbeitung nach Artikel 13 DSGVO

    Im Folgenden möchten wir über die Datenverarbeitung im Rahmen der Bereitstellung des BayernCloud Schule Drive und Office (im Folgenden Drive & Office) für Nutzerinnen und Nutzer an bayerischen Schulen und anderen nutzungsberechtigten Dienststellen (i. F.: Dienststellen) informieren:

    Im Abschnitt I informieren wir über die Datenverarbeitungen im Zusammenhang mit dem Betrieb der Webseiten https://drive.bycs.de und https://office.bycs.de, die auch ohne Login aufgerufen werden können. Die Datenverarbeitungen, die zum Anzeigen der Login-Seite https://drive.bycs.de erforderlich sind, liegen in der datenschutzrechtlichen Verantwortung des Bayerischen Staatsministeriums für Unterricht und Kultus.

    Im Abschnitt II informieren wir über die Datenverarbeitung im Drive & Office-Angebot.

    I) Informationen zum Internetauftritt der Webseiten https://drive.bycs.de und https://office.bycs.de (ohne Login)

    A) Allgemeine Informationen

    Name und Kontaktdaten des Verantwortlichen
    Bayerisches Staatsministerium für Unterricht und Kultus
    Salvatorstraße 2
    80327 München
    Tel: 089 2186-0
    E-Mail: poststelle@stmuk.bayern.de 

    Kontaktdaten der bzw. des Datenschutzbeauftragten
    Sie erreichen unsere Datenschutzbeauftragte bzw. unseren Datenschutzbeauftragten unter:
    Behördliche Datenschutzbeauftragte des
    Bayerischen Staatsministeriums für Unterricht und Kultus
    Salvatorstraße 2
    80327 München
    Tel: 089 2186-0
    E-Mail: datenschutzbeauftragter@stmuk.bayern.de 

    Rechtsgrundlagen der Verarbeitung personenbezogener Daten
    Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ergibt sich, soweit nichts anderes angegeben ist, aus Artikel 4 Absatz 1 des Bayerischen Datenschutzgesetzes (BayDSG) i. V. m. Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) der Datenschutz-Grundverordnung (DSGVO). Demnach ist es uns erlaubt, die zur Erfüllung einer uns obliegenden Aufgabe erforderlichen Daten zu verarbeiten. 

    Zwecke der Verarbeitung personenbezogener Daten
    Die Bereitstellung einer Einstiegsseite zur Anwendung Drive bzw. zur Anwendung Office dient der Erfüllung der uns vom Gesetzgeber zugewiesenen öffentlichen Aufgaben.

    Empfänger von personenbezogenen Daten
    Der technische Betrieb unserer Datenverarbeitungssysteme erfolgt durch die
    Fujitsu Services GmbH
    Mies-van-der-Rohe-Straße 8
    80807 München

    Die Fujitsu Services GmbH bedient sich, beispielsweise zur Bereitstellung von Rechenzentrum-Services, „weiterer Auftragsverarbeiter“ im Sinne des Artikel 28 DSGVO. Alle Auftragsverarbeiter haben ihren Sitz in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum; die Datenverarbeitung erfolgt ausschließlich in Mitgliedstaaten der Europäischen Union bzw. Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum. 

    Bei Vorliegen einer gesetzlichen Verpflichtung werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt. 

    Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können bei elektronischer Übermittlung Daten an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet werden und dort auf Grundlage der Artikel 44 ff. des Bayerischen Digitalgesetzes verarbeitet werden. 

    Dauer der Speicherung der personenbezogenen Daten
    Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist (siehe insbes. unter I.B) „Protokollierung“). 

    Ihre Rechte
    Soweit wir von Ihnen personenbezogene Daten verarbeiten, stehen Ihnen als Betroffener nachfolgende Rechte zu:

    • Sie haben das Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten (Artikel 15 DSGVO).
    • Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Artikel 16 DSGVO).
    • Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen (Artikel 17 und 18 DSGVO).
    • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Artikel 20 DSGVO).
    • Falls Sie in die Verarbeitung eingewilligt haben und die Verarbeitung auf dieser Einwilligung beruht, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt. 
    • Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung ausschließlich auf Grundlage des Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) oder f) DSGVO erfolgt (Artikel 21 Absatz 1 Satz 1 DSGVO). 

    Beschwerderecht bei der Aufsichtsbehörde
    Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz. Diesen können Sie unter folgenden Kontaktdaten erreichen:

    Postanschrift: Postfach 22 12 19, 80502 München 
    Adresse: Wagmüllerstraße 18, 80538 München 
    Tel:  089 212672-0 
    Fax:  089 212672-50 
    E-Mail: poststelle@datenschutz-bayern.de 
    Internet: https://www.datenschutz-bayern.de/ 

    Weitere Informationen
    Für nähere Informationen zur Verarbeitung Ihrer Daten und zu Ihren Rechten können Sie uns unter den oben (zu Beginn von I.A) genannten Kontaktdaten erreichen. 

    Informationen zur Datenverarbeitung nach dem Login

    Technische Umsetzung
    Drive & Office wird im Auftrag des StMUK durch die Fujitsu Services GmbH als Auftragsverarbeiter technisch umgesetzt. Die von Ihnen im Rahmen des Besuchs des zugehörigen Webauftritts übermittelten personenbezogenen Daten werden daher in unserem Auftrag durch die

    Fujitsu Services GmbH
    Mies-van-der-Rohe-Straße 8
    80807 München

    verarbeitet.

    B) Protokollierung

    Wenn Sie diese oder andere Internetseiten aufrufen, übermitteln Sie über Ihren Internetbrowser Daten an unseren Server. Die folgenden Daten werden während einer laufenden Verbindung zur Kommunikation zwischen Ihrem Endgerät und unserem Server aufgezeichnet: 

    • Datum und Uhrzeit der Anforderung
    • Name der angeforderten Datei
    • Seite, von der aus die Datei angefordert wurde
    • Zugriffsstatus (Datei übertragen, Datei nicht gefunden, etc.)
    • verwendete Webbrowser und verwendetes Betriebssystem
    • vollständige IP-Adresse des anfordernden Rechners
    • Benutzername des angemeldeten Nutzerkontos (sofern nach dem Aufruf der Webseite ein Login erfolgt)
    • übertragene Datenmenge
    Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unseren Webserver, werden diese Daten von uns gespeichert.

    Technische Protokolldaten, die beim Betrieb des Dienstes anfallen, werden maximal 90 Tage aufbewahrt und danach automatisiert gelöscht.

    Zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik können die Daten nach Anforderung im Einzelfall an das Landesamt für Sicherheit in der Informationstechnik weitergeleitet und dort auf Grundlage der Artikel 44 ff. des Bayerischen Digitalgesetzes verarbeitet werden.

    Aktive Komponenten
    Wir verwenden Javascript. Diese Funktion kann im Internetbrowser deaktiviert werden. Die Funktion ist jedoch notwendig, damit Drive&Office genutzt werden kann. Java-Applets oder Active-X-Controls werden nicht verwendet.

    Cookies
    Wir setzen lediglich funktional notwendige Cookies.

    Hinweis:
    Wir verwenden „Local Storage“ und „Session Storage“. Der „Local Storage“ bzw. „Session Storage“ bietet Applikationen, die im Browser laufen, die Möglichkeit, Daten dort abzulegen. Anders als ein Cookie wird der „Local Storage“ nicht automatisch an einen Server übertragen. Vielmehr organisiert die Applikation erst bei der Nutzung von Drive&Office entsprechend der Konfiguration, ob und welche Daten verarbeitet werden.
    So hat die Nutzerin oder der Nutzer auch ohne Login z. B. die Möglichkeit, ihren bzw. seinen Namen für weitere Sitzungen zu speichern. Das wird ausschließlich über den „Local Storage“, der sich auf dem Computer befindet, gelöst. Dort wird der Name abgelegt und beim erneuten Aufrufen ausgelesen. Der Nutzerin oder dem Nutzer wird lediglich das Feld für den Nutzerdaten vorausgefüllt und erst durch das Klicken auf „Anmelden“ werden die Daten tatsächlich übermittelt. 

    Auswertung des Nutzungsverhaltens
    Programme zur Auswertung des Nutzerverhaltens werden von uns nicht eingesetzt. 

    II) Datenverarbeitungen bei der Verwendung von Drive & Office

    Allgemeine Informationen

    Name und Kontaktdaten des Verantwortlichen
    „Verantwortlicher“ ist die Schule oder Dienststelle, die Ihnen den Einladungslink erteilt hat.

    Eine ergänzende und alle Angebote der Schule bzw. Dienststelle umfassende Datenschutzerklärung ist über die jeweilige Schule oder Dienststelle (z. B. über den Internetauftritt oder die oder den Datenschutzbeauftragte(n)) zu erhalten.

    Kontaktdaten der bzw. des Datenschutzbeauftragten
    Zuständige(r) Datenschutzbeauftragte(r) ist die bzw. der Datenschutzbeauftragte(r) Ihrer Schule bzw. Dienststelle oder der Schule bzw. Dienststelle, die den Einladungslink verteilt hat.

    A) Daten von Nutzerinnen und Nutzern mit ByCS-Nutzerkonto 

    Zusätzlich zu den  im Abschnitt B) genannten Datenarten werden von Nutzerinnen und Nutzern eines ByCS Nutzerkontos (z. B. Schulleitung, Lehrkräfte, Schülerinnen und Schüler) nach dem Login Stammdaten, Profildaten, Inhaltsdaten und Gruppen- oder paarbezogene Nutzungsdaten im Sinne der Nummern 3.1.1, 3.1.2, 3.1.4 und 3.3 in Abschnitt 7 Anlage 2 zu § 46 BaySchO verarbeitet.

    Darüber hinaus wird im Nutzerkonto gespeichert, dass die Nutzerinnen und Nutzer den Nutzungsbedingungen zugestimmt haben. Im Rahmen des Login-Prozesses werden personenbezogene Daten von Nutzerinnen und Nutzern eines ByCS-Nutzerkontos durch die ByCS-Administration verarbeitet. Dies bedeutet, dass ein Login in das Drive oder Office mit den ByCS-Nutzerdaten (Benutzername, Passwort) erfolgt und die Prüfung der Zugangsberechtigung im Rahmen der ByCS-Administration (ebenfalls in datenschutzrechtlicher Verantwortung der jeweiligen Schule bzw. Dienststelle) abläuft. Die ByCS-Administration übermittelt an das Drive oder Office nach erfolgreicher Prüfung der Zugangsberechtigung die relevanten dienststellenbezogenen und personenbezogenen Daten, um den Nutzerinnen und Nutzern den Zugang zu ihrem jeweiligen Nutzerkonto zu ermöglichen. Genaue Informationen zur Datenverarbeitung im Rahmen der Administration finden Sie in der Datenschutzerklärung zum Web-Portal des Dashboard Ihrer jeweiligen Schule oder Dienststelle. 

    Rechtsgrundlage
    Soweit eine Datenverarbeitung auf freiwilliger Basis erfolgt, ist Rechtsgrundlage eine Einwilligung der betroffenen Personen gem. Artikel 6 Absatz 1 Buchstabe a) DSGVO.

    Im Übrigen ist Rechtsgrundlage

    • für die schulische Nutzung Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. Artikel 85 Absatz 1 BayEUG, § 46 Absatz 1 Satz 1 BayEUG i. V. m. § 19 Absatz 4 BaySchO i. V. m. Abschnitt 7 Anlage 2 zu § 46 BaySchO) und
    • bei der Nutzung durch eine andere Dienststelle Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. Artikel 4 Absatz 1 BayDSG.
    Für die Verarbeitung von Beschäftigtendaten ist Rechtsgrundlage Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. den Rechtsgrundlagen des jeweiligen Beschäftigungsverhältnisses.

    Zwecke
    Die Datenverarbeitung im Rahmen der Verwendung von Drive & Office erfolgt zur Bereitstellung eines Cloud-Speichers mit angebundenem Web-Office für Schulen zu den in Abschnitt 7 Anlage 2 zu § 46 BaySchO genannten Zwecken, insbesondere zur schulinternen, unterrichtlichen Nutzung, soweit diese aus pädagogischen Gründen (z. B. zur Förderung der Medienkompetenz; gemeinsame Bearbeitung digitaler Produkte in Gruppenarbeit) erforderlich ist.

    Für andere Dienststellen erfolgt die Datenverarbeitung zur Erfüllung und Sicherstellung des Dienstbetriebes, insbesondere der dienstlichen Kollaboration und Kommunikation. 

    Darüber hinaus kann Drive & Office zu Fortbildungszwecken genutzt werden. 

    Empfänger

    Interne Empfänger
    Von der Schule beauftragte ByCS-Administratorinnen ByCS-Administratoren hinsichtlich Stammdaten, Profilinformationen, und Inhaltsdaten (Nummern 3.1.1, 3.1.2, 3.1.4 in Abschnitt 7 Anlage 2 zu § 46 BaySchO).
    Im Übrigen siehe unten unter II.B) Daten von Nutzerinnen und Nutzern ohne eigenes ByCS-Nutzerkonto (z. B. Gastnutzer wie Erziehungsberechtigte ohne IDM-Anbindung) – Schulinterne Empfänger. 

    Externe Empfänger    
    Externe Empfänger von per öffentlicher Linkfreigabe zugänglichen Verzeichnissen oder Dateien sind Nutzerinnen und Nutzer, die nicht der verantwortlichen Schule bzw. nutzungsberechtigten Dienststelle angehören (beispielsweise von anderen Behörden, Vereinen, Dienststellen, Unternehmen).

    Zur Bereitstellung und Nutzung von Drive & Office ist die Übermittlung personenbezogener Daten an ausgewählte Dienstleister notwendig. Mit diesen Dienstleistern hat die Schule bzw. Dienststelle eine Vereinbarung zur Datenverarbeitung im Auftrag der Schule bzw. Dienststelle geschlossen (sogenannte „Auftragsverarbeitung“ nach Artikel 28 DSGVO).

    Die Schule bzw. Dienststelle bedient sich zu Bereitstellung, Betrieb, Wartung und Support von Drive & Office folgender Auftragsverarbeiter: 
    Fujitsu Services GmbH
    Mies-van-der-Rohe-Straße 8
    80807 München 

    Die Fujitsu Services GmbH bedient sich beispielsweise zur Bereitstellung von Rechenzentrum-Services, des 2nd level Supports „weiterer Auftragsverarbeiter“ im Sinne des Artikels 28 DSGVO. Alle Auftragsverarbeiter haben ihren Sitz in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum; die Datenverarbeitung erfolgt ausschließlich in Mitgliedstaaten der Europäischen Union bzw. Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum. 

    Bei Vorliegen einer gesetzlichen Verpflichtung werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt. 

    Im Rahmen der Erfüllung seiner gesetzlichen Aufgaben nach Artikel 44 ff. Bayerisches Digitalgesetz ist das Landesamt für Sicherheit in der Informationstechnik Übermittlungsempfänger. 

    Dauer der Speicherung
    Siehe unten unter II.B) Nutzung ohne eigenes Nutzerkonto (z. B. Gastnutzer wie Erziehungsberechtigte) – Dauer der Speicherung. 

    B) Nutzung ohne eigenes Nutzerkonto

    Bei den Daten von Nutzerinnen und Nutzern ohne eigenes ByCS-Nutzerkonto (z. B Erziehungsberechtigte und andere Gastnutzer) handelt es sich um diejenigen Daten, die durch eine Einladung bzw. deren Annahme in eine Datei- oder Verzeichnisfreigabe verarbeitet werden. Das sind beispielsweise Name, IP-Adresse, Inhaltsdaten und Gruppen- oder paarbezogene Nutzungsdaten (vgl. Nr. 3.1.2, 3.1.4, 3.1.5 und 3.3 Abschnitt 7 Anlage 2 zu § 46 BaySchO).

    Aus Gründen der technischen Sicherheit, insbesondere zur Abwehr von Angriffsversuchen auf unseren Webserver, werden Protokolldaten von uns gespeichert.

    Im Rahmen der Anwendung Drive & Office verwenden wir Javascript. Diese Funktion kann im Internetbrowser deaktiviert werden. Die Funktion ist jedoch notwendig, damit Drive&Office genutzt werden kann. Java-Applets oder Active-X-Controls werden nicht verwendet.

    Wir setzen lediglich funktional notwendige Cookies.

    Programme zur Auswertung des Nutzerverhaltens werden von uns nicht eingesetzt. 

    Rechtsgrundlage
    Soweit eine Datenverarbeitung auf freiwilliger Basis erfolgt, ist Rechtsgrundlage eine Einwilligung der betroffenen Personen gem. Artikel 6 Absatz 1 Buchstabe a DSGVO.

    Im Übrigen ist Rechtsgrundlage

    • bei der Bereitstellung durch eine Schule: Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. Artikel 85 Absatz 1 BayEUG, § 46 Absatz 1 Satz 1 BayEUG i. V. m. § 19 Absatz 4 BaySchO i. V. m. Abschnitt 7 Anlage 2 zu § 46 BaySchO
    • bei Bereitstellung durch eine andere Dienststelle: Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e) DSGVO i. V. m. Artikel 4 Absatz 1 BayDSG.

    Zwecke
    Die Datenverarbeitung im Rahmen der Verwendung von Drive&Office erfolgt zur Bereitstellung eines Cloud-Speichers mit angebundenem Web-Office für Schulen zu den in Abschnitt 7 Anlage 2 zu § 46 BaySchO genannten Zwecken, insbesondere zur schulinternen, unterrichtlichen Nutzung, soweit diese aus pädagogischen Gründen (z. B. zur Förderung der Medienkompetenz; gemeinsame Bearbeitung digitaler Produkte in Gruppenarbeit) erforderlich ist.

    Für andere Dienststellen erfolgt die Datenverarbeitung zur Erfüllung und Sicherstellung des Dienstbetriebes, insbesondere der dienstlichen Kollaboration und Kommunikation. 

    Empfänger

    Interne Empfänger
    Empfänger sind die Nutzerinnen und Nutzer im jeweiligen Space bzw. Datei- oder Verzeichnisfreigabe (beispielsweise pädagogisches Personal, Schülerinnen und Schüler, Praktikantinnen und Praktikanten, Referendarinnen und Referendare, Seminarlehrerkräfte und Seminarteilnehmerinnen und Seminarteilnehmer). Diese sind Empfänger hinsichtlich der im Space jeweils sichtbaren (z. B. sichtbare Profilinformationen, Inhaltsdaten, sonstige Nutzungsdaten und der gruppenbezogenen Nutzungsdaten, hierzu Nr. 4.3 Abschnitt 7 Anlage 2 zu § 46 BaySchO). 

    Externe Empfänger
    Siehe oben unter II.A

    Dauer der Speicherung
    Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist.
    Die Vorgaben zur Speicherdauer sind grundsätzlich Nummer 5 der Anlage 2 Abschnitt 7 der BaySchO zu entnehmen.
    Davon abweichend gilt Folgendes:

    • Technische Protokolldaten, die beim Betrieb des Dienstes anfallen, werden maximal 90 Tage aufbewahrt und danach automatisiert gelöscht.
    • Sämtliche gruppenbezogene Nutzungsdaten, die während der kollaborativen Bearbeitung eines Office-Dokuments anfallen (siehe Nummer 3.1.2 in Anlage 2 Abschnitt 7 BaySchO) – werden mit dem Schließen des Dokuments gelöscht.

    Weitere Informationen zum Datenschutz
    Weitere Informationen zum Datenschutz, insbesondere zu Ihren Rechten als betroffene Person und der jeweils für Sie zuständigen Datenschutzaufsichtsbehörde, finden Sie in den allgemeinen Datenschutzhinweisen der jeweiligen Schule bzw. Dienststelle, die auf den jeweiligen Homepages abrufbar sind. Sollte die Schule bzw. Dienststelle nicht über einen eigenen Internetauftritt verfügen, haben Sie die Datenschutzhinweise bereits in anderweitiger Form erhalten. Für nähere Informationen zur Verarbeitung Ihrer Daten können Sie sich auch an die Schule bzw. Dienststelle sowie den Datenschutzbeauftragten der Schule bzw. Dienststelle wenden.