Schnellnavigation

Steuerleiste | Navigation | Suche | Inhalt

Suche

Erweiterte Suche Tipps und Tricks

Alle Dokumente

Suchmaske und Trefferliste maximieren
 


Trefferliste

Dokument

  in html speichern drucken pdf Dokument Ansicht maximierenDokumentansicht maximieren
Einzelvorschrift
Aktuelle Gesamtvorschrift
Blättern zur vorhergehenden Verwaltungsvorschrift Blättern in der Vorschrift Blättern zur nachfolgenden Verwaltungsvorschrift
Normgeber:Ministerium für Kultus, Jugend und Sport
Aktenzeichen:11-0557.0/44
Erlassdatum:05.12.2014
Fassung vom:05.12.2014
Gültig ab:01.01.2015
Quelle:Wappen Baden-Württemberg
Gliederungs-Nr:2041
Fundstelle:K. u. U. 2015, 15
 

12.
Verarbeitung personenbezogener Daten durch andere Personen oder Stellen (Auftragsdatenverarbeitung), § 7 LDSG


12.1
Personenbezogene Daten der Schulen werden immer häufiger aus Wirtschaftlichkeitsgründen auf einem Server außerhalb der Schule gespeichert (zum Beispiel beim Schulträger oder bei einem kommunalen Rechenzentrum). Beim Cloud-Computing werden IT-Infrastrukturen wie zum Beispiel Rechenleistung, Datenspeicher, Netzwerkkapazitäten oder auch komplette Anwendungssoftware, sowie die Verarbeitung von Daten der Kunden mittels dieser Software von einem Dienstleister über das Internet zur Verfügung gestellt. Es handelt sich hier jeweils um eine Datenverarbeitung im Auftrag (§ 7 LDSG), bei der die Schule als Auftraggeberin die Verantwortung trägt für die Rechtmäßigkeit der Datenverarbeitung des Dienstleisters; diese muss den Anforderungen des Landesdatenschutzgesetzes entsprechen. So hat der Dienstleister in Erfüllung des von der Schule erteilten schriftlichen Auftrags die technischen-organisatorischen Maßnahmen gemäß § 9 Absatz 3 LDSG zu treffen, deren Einhaltung von der Schule in geeigneter Weise zu kontrollieren oder vom Dienstleister durch Vorlage eines entsprechenden Zertifikats (“Modul B 1.5 Datenschutz, IT-Grundschutz” des Bundesamtes für Sicherheit in der Informationstechnik) nachzuweisen ist. Es wird empfohlen, für eine Datenverarbeitung im Auftrag den Mustervertrag mit Ausfüllhinweisen zu verwenden, der mit dem Landesbeauftragten für den Datenschutz abgestimmt wurde. (siehe I.)


12.2
Von einer Speicherung von personenbezogenen Daten in einer “Cloud” beziehungsweise der dienstlichen Nutzung von sogenannte “Cloud-Diensten” ist abzusehen, wenn die Voraussetzungen nach § 7 LDSG nicht vorliegen oder wenn der Dienstleister oder die genutzten Server sich außerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie befinden. Zu verlangen sind also mindestens:


 offene, transparente und detaillierte Informationen der Cloud-Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt und andererseits Aussagen haben, um zwischen den Cloud-Anbietern wählen zu können,


 transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität (Plattformunabhängigkeit) und zur Interoperabilität (Fähigkeit der Zusammenarbeit unterschiedlicher Systeme),


 die Umsetzung der abgestimmten Sicherheits- und Datenschutzmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender und


 aktuelle und aussagekräftige Nachweise (bspw. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auftragserfüllung in Anspruch genommen wird, die insbesondere die Informationssicherheit, die Portabilität und die Interoperabilität betreffen.


Diese Vorschrift wird von folgenden Dokumenten zit ... ausblendenDiese Vorschrift wird von folgenden Dokumenten zitiert


Blättern zur vorhergehenden Verwaltungsvorschrift Blättern in der Vorschrift Blättern zur nachfolgenden Verwaltungsvorschrift