Datenschutzerklärung
1. Allgemeines und Kontakt
Der Schutz Ihrer persönlichen Daten ist uns eine datenschutzrechtliche Verpflichtung.
Personenbezogene Daten sind beispielsweise neben Ihrem Namen und Ihrer Postanschrift auch Ihre Telefonnummer oder Ihre IP-Adresse, also alle Daten, die einer konkreten Person zugeordnet werden können. Mit dieser Datenschutzerklärung informieren wir Sie über die Art, den Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten auf dieser Internetseite sowie für die Daten, die Sie uns übersenden, wenn Sie uns per E-Mail anschreiben. Für Links auf Internetseiten anderer Anbieter gelten die dortigen Datenschutzhinweise und -erklärungen.
Unsere rechtlichen Grundlagen finden sich im Gesetz über den Kirchlichen Datenschutz (KDG), in Kraft gesetzt von Bischof Dr. Stephan Ackermann am 24.05.2018 (Kirchliches Amtsblatt (KA 2018 Nr. 65), in der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO, KA 2019 Nr. 9) und im Telemediengesetz).
1.1 Zweck des Internetangebots der Grundschule St. Matthias Bitburg, http//gs-st-matthias.de
Diese Internetpräsenz dient der Erfüllung unseres Erziehungs- und Bildungsauftrages als Bischöfliche Schule des Bistums Trier. Wir informieren Sie auf unseren Internetseiten von gs-st-matthias.de über unsere schulischen Angebote und über das Profil der Schule.
1.2 Name und Anschrift des Verantwortlichen
Die verantwortliche Stelle im Sinne des Kirchlichen Datenschutzgesetzes:
Bistum Trier (Körperschaft des öffentlichen Rechts)
Generalvikar Dr. Ulrich Graf von Plettenberg
- Vertreter des Rechtsträgers -
Postfach 1340 | 54203 Trier
Mustorstraße 2 | 54290 Trier
Kontakt:
Tel: 0651-7105-0
Fax: 0651-7105-498
E-Mail: bistum-trier(at)bistum-trier.de
Redaktionell verantwortlich:
Grundschule St. Matthias Bitburg
staatlich anerkannte Bischöfliche Grundschule des Bistums Trier
Prümer Str. 18
54634 Bitburg
Tel: 06561-909410
Fax: 06561-909415
eMail: grundschule-st-matthias@bistum-trier.de
1.3 Kontaktdaten der/des betrieblichen Datenschutzbeauftragten
Stabsstelle Betrieblicher Datenschutz
Ursula Eiden
Mustorstraße 2 | 54290 Trier
Telefon: 0651 7105-468
E-Mail: datenschutz(at)bgv-trier.de
www.bistum-trier.de/datenschutz
1.4 Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten nach §6KDG
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten Ihre Einwilligung einholen, dient § 6 Abs. 1 lit. b KDG als Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich sind, dient § 6 Abs. 1 lit. c KDG als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen, dient § 6 Abs. 1 lit. d KDG als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient § 6 Abs. 1 lit. e KDG als Rechtsgrundlage.
Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im kirchlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die uns übertragen wurde, findet sich die entsprechende Rechtsgrundlage in § 6 Abs. 1 lit. f KDG.
Ist die Verarbeitung zur Wahrung unseres berechtigten Interesses oder des berechtigten Interesses eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient § 6 Abs. 1 lit. g KDG als Rechtsgrundlage für die Verarbeitung.
1.5 Unser Umgang mit Ihren personenbezogenen Daten
Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder E-Mail-Adressen) erhoben werden, erfolgt dies meist auf freiwilliger Basis. Wir verwenden nur die unbedingt notwendigen Daten und geben sie nicht an unbeteiligte und/oder unberechtigte Dritte weiter. Hier dienen § 6 Abs. 1 lit. b) und f) KDG als Rechtsgrundlagen.
1.6 SSL-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Veranstaltungsanmeldungen oder Anfragen, eine SSL-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
1.7 Das erfahren wir über Sie, wenn Sie uns über E-Mail anschreiben
Für den Fall, dass Sie mit uns Kontakt aufnehmen, werden die von Ihnen mitgeteilten – auch personenbezogenen - Daten (also z.B. Ihre E-Mail Adresse, Ihr Name und Ihre Telefonnummer, Anschrift, Faxnummer o.ä.) von uns gespeichert, um Ihr Anliegen zu bearbeiten.
Die erhobenen personenbezogenen Daten werden entsprechend der gesetzlichen Aufbewahrungsvorschriften gespeichert und regelmäßig gelöscht.
Hier dienen § 6 Abs. 1 lit. b) und f) KDG als Rechtsgrundlagen.
1.8 Datenlöschung und Speicherdauer
Ihre personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung darüber hinaus kann dann erfolgen, wenn dies durch ein Gesetz oder eine sonstige Rechtsvorschrift erforderlich ist.
1.9 Aktualität dieser Datenschutzerklärung
Diese Datenschutzerklärung wird - bedingt durch die Weiterentwicklung unserer Webseite oder die Implementierung neuer Technologien - regelmäßig mit Wirkung für die Zukunft angepasst. Wir empfehlen Ihnen, sich die aktuelle Datenschutzerklärung von Zeit zu Zeit erneut durchzulesen.
1.10 Fotos
Im Rahmen unseres Schulbetriebes (etwa bei schulischen Aktivitäten insbesondere im Unterricht, bei schulische Aufführungen, Ausflügen, Klassenfahrten, Wandertagen, Exkursionen, Projekten, Schulfesten, Wettkämpfen, Teilnahme an Wettbewerben) werden Fotos (Einzel- und Gruppenaufnahmen) und Videos der beteiligten Schülerinnen und Schüler gemacht. Um unsere Tätigkeiten auch nach außen hin zu kommunizieren, werden diese gelegentlich in der Schülerzeitung, in Medien, wie z.B. Tageszeitungen und auf unserer Homepage veröffentlicht. Die Wahrung der Persönlichkeitsrechte ist uns sehr wichtig.
Als Rechtsgrundlage für die Verarbeitung dieser Fotos/Videos im Rahmen des Schulbetriebes liegt uns die Einwilligung der Personensorgeberechtigten bzw. der bereits volljährigen Schülerinnen und Schüler vor. Darüber hinaus und für den Fall Ihrer Teilnahme an einer Veranstaltung unserer Schule weisen wir darauf hin, dass während dieser Veranstaltung von Vertretern unserer Schule Fotos zum Zwecke der Veröffentlichung in Druckerzeugnissen (beispielsweise Flyer, Broschüren, Zeitschriften, Jahresbücher) oder auf unserer Website angefertigt werden.
Wie bei jeder Veröffentlichung im Internet sind die Inhalte weltweit zu empfangen und zu lesen. Sie könnten auch kopiert, dupliziert oder in anderer Weise verarbeitet werden, ohne dass der Veranstalter die Möglichkeit besitzt, hierauf Einfluss zu nehmen.
§ 6 Abs. 1 lit. f bzw. lit. g) KDG gestatten uns in diesem Fall Fotos anzufertigen, denn das Bistum Trier als Schulträger und wir als Schule haben im Rahmen unserer Aufgaben ein großes Interesse an einer bebilderten Berichterstattung. Daneben gilt auch § 23 Kunsturhebergesetz. Die Fotografien stellen für das Bistum Trier und unsere Schule zeitgeschichtliche Bildnisse dar, bei denen betroffene Personen nicht im Mittelpunkt stehen. Die abgestellten Fotografen gehen sehr sorgfältig mit der Auswahl der gewählten Motive um. Sind die Fotos für die Erfüllung unserer Aufgaben nicht mehr erforderlich, werden wir diese umgehend löschen. Wir werden Ihre Daten nicht an unberechtigte Dritte weitergeben.
2. Unsere Webseite gs-st-matthias.de
2.1 Bereitstellung der Website und Erstellung von Logfiles
Den Web-Server dieser Webseite betreibt in unserem Auftrag Christo.Net Internetservice, Schelwat e.K., Trierer-Str.33, 54634 Bitburg.
TOM (Technisch Organisatorische Maßnahmen)
Zur Gewährleistung der Sicherheits- und Schutzanforderungen gem. §32 DSGVO
(Anlage zum Auftragsdatenverarbeitungsvertrag Abs. 3)
der Schelwat e.K.
Triererstraße 33, 54634 Bitburg, DEUTSCHLAND
1. Vertraulichkeit
• Zutrittskontrolle
• Datacenterparks
• elektronisches Zutrittskontrollsystem mit Protokollierung
• Hochsicherheitszaun um den gesamten Datacenterpark
• dokumentierte Schlüsselvergabe an Mitarbeiter
• Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
• 24/7 personelle Besetzung der Rechenzentren
• Videoüberwachung an den Ein‐ und Ausgängen, Sicherheitsschleusen und Serverräumen
• Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt beschränkt:
nur in Begleitung eines Datacenterpark‐Mitarbeiters
• Verwaltung
• elektronisches Zutrittskontrollsystem mit Protokollierung
• Videoüberwachung an den Ein‐ und Ausgängen
• Zugangskontrolle
• bei Hauptauftrag "Root Server"
• Server‐Passwörter, welche nur vom Auftraggeber nach erstmaliger Inbetriebnahme von ihm selbst geändert werden und dem Auftragnehmer nicht bekannt sind
• Das Passwort zur Administrationsoberfläche wird vom Auftraggeber selbst vergeben ‐ die Passwörter müssen vordefinierte Richtlinien erfüllen. Zusätzlich steht dem Auftraggeber dort eine Zwei‐Faktor‐Authentifizierung zur weiteren Absicherung seines Accounts zur Verfügung.
• bei Hauptauftrag "Managed Server" und "Webhosting"
• Zugang ist passwortgeschützt, Zugriff besteht nur für berechtigte Mitarbeiter des Auftragnehmers; verwendete Passwörter müssen Mindestlänge haben und werden in regelmäßigen Abständen erneuert
• Zugriffskontrolle
• bei internen Verwaltungssystemen des Auftragnehmers
• Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
• Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers2
• bei Hauptauftrag "Root Server"
• Die Verantwortung der Zugriffskontrolle obliegt dem Auftraggeber.
• bei Hauptauftrag "Managed Server" und "Webhosting"
• Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
• Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers
• Für übertragene Daten/Software ist einzig der Auftragnehmer in Bezug auf Sicherheit und Updates zuständig.
• Datenträgerkontrolle
• Datacenterpark in Nürnberg, Regensburg und Bitburg
• Festplatten werden nach Kündigung mit einem definierten Verfahren mehrfach überschrieben (gelöscht). Nach Überprüfung werden die Festplatten wieder eingesetzt.
• Defekte Festplatten, die nicht sicher gelöscht werden können, werden direkt vor Ort zerstört (geschreddert).
• Trennungskontrolle
• bei internen Verwaltungssystemen des Auftragnehmers
• Daten werden physisch oder logisch von anderen Daten getrennt gespeichert.
• Die Datensicherung erfolgt ebenfalls auf logisch und/oder physisch getrennten Systemen.
• bei Hauptauftrag "Root Server"
• Die Trennungskontrolle obliegt dem Auftraggeber.
• bei Hauptauftrag "Managed Server" und "Webhosting"
• Daten werden physisch oder logisch von anderen Daten getrennt gespeichert.
• Die Datensicherung erfolgt ebenfalls auf logisch und/oder physisch getrennten Systemen.
• Pseudonymisierung
• Für die Pseudonymisierung ist der Auftraggeber verantwortlich
2. Integrität (Art. 32 Abs. 1 lit. b DS‐GVO)
• Weitergabekontrolle
• Alle Mitarbeiter sind i.S.d. Art. 32 Abs.4 DS‐GVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.
• Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.
• Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des Hauptauftrages zur Verfügung gestellt.
• Eingabekontrolle
• bei internen Verwaltungssystemen des Auftragnehmers
• Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
• Änderungen der Daten werden protokolliert.
• bei Hauptauftrag "Root Server"
• Die Verantwortung der Eingabekontrolle obliegt dem Auftraggeber.
• bei Hauptauftrag "Managed Server" und "Webhosting"
• Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.3
• Änderungen der Daten werden protokolliert.
III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS‐GVO)
• Verfügbarkeitskontrolle
• bei internen Verwaltungssystemen des Auftragnehmers
• Backup‐ und Recovery‐Konzept mit täglicher Sicherung aller relevanten Daten.
• Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM‐Filter).
• Einsatz von Festplattenspiegelung bei allen relevanten Servern.
• Monitoring aller relevanten Server. • Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.
• Dauerhaft aktiver DDoS‐Schutz.
• bei Hauptauftrag "Root Server"
• Datensicherung obliegt dem Auftraggeber.
• Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.
• Dauerhaft aktiver DDoS‐Schutz.
• bei Hauptauftrag "Managed Server" und "Webhosting"
• Backup‐ und Recovery‐Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen des Hauptauftrages.
• Einsatz von Festplattenspiegelung.
• Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.
• Einsatz von Softwarefirewall und Portreglementierungen.
• Dauerhaft aktiver DDoS‐Schutz.
• Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS‐GVO);
• Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.
IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS‐GVO; Art. 25 Abs. 1 DS‐GVO)
• Das Datenschutz‐Managementsystem und das Informationssicherheits‐ managementsystem wurden zu einem DIMS (Datenschutz‐Informationssicherheits‐ Management‐System) vereint.
• Incident‐Response‐Management ist vorhanden.
• Datenschutzfreundliche Voreinstellungen werden bei Softwareentwicklungen berücksichtigt (Art. 25 Abs. 2 DS‐GVO).
• Auftragskontrolle
• Unsere Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers.
2.2 Digitale Unterrichtsgestaltung
Für die Lehrkräfte der Schulen in Trägerschaft des Bistums Trier dienen die vom den Ländern Rheinland-Pfalz und Saarland eingeführten Videokonferenzsysteme und digitalen Lernplattformen Big Blue Button/Online Schule Saar/Moodle zur digitalen Unterrichtsgestaltung, insbesondere bei Aussetzung des Präsenzunterrichts. Die Systeme sind in diesem Zusammenhang schulischen Zwecken vorbehalten. Das Bistum Trier erkennt hier mit den Ländern eine gemeinsame Verantwortlichkeit nach § 28 KDG (vgl. Art. 26 Eu-DSGVO), so dass in jedem Fall der Informationsverpflichtung gemäß § 15 und 16 KDG (vgl. Art. 13 und 14 Eu-DSGVO) nachgekommen wird. Die Rechte der betroffenen Personen können sowohl beim Bistum Trier als auch beim Land geltend gemacht werden. Näheres zu den digitalen Lernplattformen, die Datenschutzerklärung und Nutzungsbedingungen finden Sie unter: https://bbb-schulen.rlp.net/
2.3 Cookies
In unserer Webseite werden Session-Cookies (kleine Dateien) anonymisiert verwendet. Sie werden immer dann gelöscht, wenn eine Sitzung auf der Internetseite beendet wird. Dies geschieht beim Schließen eines Browsers automatisch.
Die meisten Browser sind so eingestellt, dass sie die Verwendung von Cookies akzeptieren; diese Funktion können Sie durch die Einstellung des Internetbrowsers für die laufende Sitzung oder dauerhaft abschalten. Sie können Ihren Internetbrowser so einstellen, dass er entweder alle Cookies automatisch akzeptiert, alle Cookies automatisch ablehnt oder Sie bei jedem Cookie fragt, ob Sie es akzeptieren oder ablehnen möchten. Entsprechende Informationen finden sie in der jeweiligen Hilfefunktion Ihres Browsers.
Technische Cookies (für den besseren Komfort beim Surfen, z.B. die Anpassung an die Bildschirmgröße) löscht Ihr Browser in der Regel, sobald Sie unsere Seite verlassen oder Ihren Browser abschalten.
Die Verwendung von Cookies ist erforderlich, um Ihnen die Bedienung der Webseite zu erleichtern.
Auf unserer Seite werden nur technisch notwendige Cookies gesetzt, die keinen Rückschluss auf Ihre Person geben.
Hier dient uns § 6 Abs. 1 lit. f) KDG als Rechtsgrundlage.
3. Ihre Rechte
Soweit Daten von uns im oben erwähnten Umfang erhoben und gespeichert werden, bzw. gemäß der Rechtsgrundlagen im KDG haben Sie folgende Rechte, die Sie bitte bei der o.a. redaktionell verantwortlichen Stelle geltend machen können:
3.1 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung (§8 KDG)
Ihr Recht auf Widerruf Ihrer datenschutzrechtlichen Einwilligungserklärung besteht jederzeit. Die Rechtmäßigkeit der aufgrund Ihrer Einwilligung bis zum Widerruf erfolgten Verarbeitung wird davon nicht berührt.
3.2 Auskunftsrecht (§ 17 KDG)
Sie haben das Recht auf transparente Information. Auf Verlangen geben wir Ihnen darüber Auskunft, welche Ihrer personenbezogenen Daten zu welchem Zweck verarbeitet werden.
3.3 Recht auf Berichtigung, Einschränkung der Verarbeitung und Löschung (§§ 18-20 KDG)
Ferner haben Sie das Recht auf Berichtigung unrichtiger Daten, auf Löschung oder auch auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten.
3.4 Recht auf Unterrichtung (§21 KDG)
Haben Sie Ihr Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
3.5 Recht auf Datenübertragbarkeit (§22 KDG)
Ihnen steht auch das Recht zu, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
3.6 Widerspruchsrecht (§23 KDG)
In bestimmten Fällen, die in § 23 KDG näher beschrieben sind, haben Sie das Recht, gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen.
Dieses Widerspruchsrecht gilt insbesondere auch für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit Direktwerbung oder Fundraising.
3.7 Autorisierte Entscheidung im Einzelfall (vgl. § 24 KDG)
Von der Möglichkeit ausschließlich automatisierter Entscheidungen, die im Einzelfall zulässig wären, machen wir keinen Gebrauch. Ihre o. a. Rechte machen Sie bitte beim Anbieter dieser Webseite als dafür verantwortliche Stelle, gerne per E-Mail an: grundschule-st-matthias@bistum-trier.de, geltend. Wir werden Ihnen gerne weiterhelfen.
Darüber hinaus haben Sie
das Recht auf Beschwerde bei einer Aufsichtsbehörde (§ 48 KDG)
Für den Fall, dass Sie Ihr Recht auf Beschwerde wahrnehmen möchten, können Sie die Überdiözesane Aufsichtsstelle im Datenschutz der (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, ansässig derzeit im Haus am Dom, Domplatz 3, 60311 Frankfurt, Tel: 069-8008718-800, E-Mail: info(at)kdsz-ffm.de kontaktieren.