Datenschutz: Klare Regeln statt digitaler Biotope

Bring Your Own Device und Datenschutz

„Digitalisierung first – Bedenken second“. Das Motto begegnete den Wähler*innen im Vorfeld der Bundestagswahl auf vielen Plakaten der FDP. Aber ganz so einfach ist es leider nicht. Hier drückt sich eine Haltung zu Digitalisierung aus, die es im Schulbereich immer schon gab und die dazu beigetragen hat, dass es an fast jeder Schule ein eigenes, unkontrollierbares „Digital-Biotop“ gibt.

Aufgrund von fehlenden schulischen Ressourcen, auch im Bereich der Hardware, haben Kolleg*innen in den letzten 20 Jahren ihre eigenen Lösungen geschaffen. Anfangs mittels eines privaten Computers zur Entwicklung von Arbeitsblättern und jetzt zunehmend mit privaten Smartphones und Apps zur schulischen Organisation. Das kann angesichts neuer und tiefreichender Herausforderungen, insbesondere von Datenschutz, IT-Sicherheit und personalrechtlicher Belange, keine Lösung sein.

Veraltete Dienstanweisungen und fehlende IT-Ausstattung

Anfang der 1990er Jahre nutzten Lehrkräfte „automatisierte Datenverarbeitung“ (ADV) mittels Computern primär in Form von Textverarbeitungsprogrammen, um Arbeitsblätter zu entwickeln. Im Laufe der Zeit gewannen verwaltungsorganisatorische Aufgaben unter Nutzung personenbezogener Daten immer mehr an Bedeutung, etwa bei Notenberechnungen mit Tabellenkalkulationsprogrammen, für Mentor*innengutachten in der Lehrer*innenausbildung, sowie beim Austausch von Lehrkräften mittels E-Mail. Rechtliche Grundlage für diese Formen der Verarbeitung personenbezogener Daten ist unter anderem die Dienstanweisung zur automatisierten Datenverarbeitung (BASS 10-41 Nr. 4) von 1988 – also aus Urzeiten. Sie gilt noch heute.
Spätestens seit 2007, mit der Einführung von Smartphones und Tablets werden private Endgeräte in allen pädagogischen und schulverwaltungstechnischen Bereichen eingesetzt. Dabei entscheidet jede Lehrkraft individuell, welche Apps zur Notenverwaltung und welche Kommunikationswege sie für die Übermittlung personenbezogener Daten benutzt. Teachertool, Tapucate, E-Mail, WhatsApp, Facebook – das Spektrum ist riesig. So lässt der Dienstherr seine Lehrkräfte in dieser unübersichtlichen und zugleich absehbaren Entwicklung alleine. Er hätte den Kolleg*innen schon vor Jahren aktuelle und professionelle dienstliche Endgeräte stellen müssen – ganz zu schweigen von verbindlichen und handhabbaren Regelungen für deren Nutzung.

LOGINEO als Lösung der digitalen Probleme in Schule?

Da auch dem Schulministerium bewusst geworden ist, dass es eine Lösung für das oben beschriebene Problem geben muss, wurde LOGINEO NRW als Basis IT-Infrastruktur mit einer eigenen Cloudanbindung entwickelt. Sie dient sowohl dem pädagogischen Austausch, verbunden mit einer Lernumgebung für Schüler*innen, als auch der Erledigung verwaltungsorganisatorischer Aufgaben in einer geschützten und rechtssicheren Plattform. Eine im Prinzip begrüßenswerte und längst überfällige Idee!
In einer Dienstvereinbarung, die seit 1. Mai 2017 gilt, haben die Hauptpersonalräte aller Schulformen – mit Ausnahme der Realschule – mit dem Schulministerium Regelungen getroffen, die Kolleg*innen zum Beispiel vor ständiger Erreichbarkeit oder vor Leistungs- und Verhaltenskontrolle schützen.  
Wenn sich Lehrkräfte entscheiden, LOGINEO NRW auch auf ihren privaten und meist unsicheren Endgeräten zu nutzen, ist zudem eine Genehmigung durch die Schulleitung notwendig. Dafür müssen die Kolleg*innen sich verpflichten, bestimmte Sicherheitsmaßnahmen auf ihren privaten Endgeräten zu ergreifen, etwa eine aktuelle Virensoftware, ständige Updates und Patches, Verschlüsselung und Firewall. Dazu gehört auch eine korrekte Einstellung von Software auf Privatgeräten, die zum Beispiel das Abhören oder Mitlesen von außen verhindert, oder die unzulässige Installation von Facebook und WhatsApp mit der gleichzeitigen Freigabe aller Adressdaten auf dem Gerät.

Lehrkräfte und Schulleitungen tragen die Verantwortung – auch für die IT?

Im Datenschutzgesetz NRW ist in §10 geregelt, wie der Datenschutz bei personenbezogenen Daten und damit auch in Schulen durch technische oder organisatorische Maßnahmen sicherzustellen ist. Im Sinne dieses Gesetzes sind Maßnahmen zu treffen, die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz gewährleisten.  
Da der Dienstherr Lehrkräften bislang grundsätzlich keine individuellen Dienstgeräte zur Verfügung stellt und die schulischen Geräte für die Bewältigung der vielfältigen Aufgaben nicht ausreichen oder unzureichend konfiguriert sind, ist es unter besonderen Voraussetzungen möglich, ganz bestimmte, in der „Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern“ (VO-DV I) festgelegte personenbezogene Daten auf privaten Endgeräten der Lehrkräfte zu verarbeiten.
Damit trägt die Lehrkraft die persönliche Verantwortung – auch juristisch – für technische und organisatorische Maßnahmen bei der Nutzung ihrer privaten Endgeräte. Die Schulleitung als zweite Vertragspartnerin haftet ebenfalls in Person per Unterschrift. Die nordrhein-westfälische Landesdatenschutzbeauftragte (LDI) Helga Block spricht sich bislang prinzipiell gegen den Einsatz privater Geräte, also gegen das Prinzip „Bring Your Own Device“ (BYOD) im Schulbereich aus. Im Datenschutzbericht 2017 stellt sie heraus: „Die Schulleitung ist aufgrund der Vielfältigkeit der Risiken bei der Datenverarbeitung auf privaten Geräten nicht mehr in der Lage, alle technisch relevanten Sicherheitsaspekte zu überschauen.“  

Einige Beispiele aus der BYOD-Praxis

Wie konnte man bis dato eine „Genehmigung“ für sein privates Endgerät bekommen, für den PC im häuslichen Arbeitszimmer, für den Laptop oder das Smartphone? So oder ähnlich sieht der typische Datenschutz-Worst-Case aus: Es gab Formulare in unterschiedlichen Versionen oder eine freie Formulierung durch die Schulleitung oder die*den für den Bezirk zuständigen Datenschutzbeauftragte*n. Ausgefüllt nach Ermessen, mit oder ohne Hilfe, überreichte die Lehrkraft das Papier ihrer Schulleitung. Viele erhielten danach aber keinen Genehmigungsvermerk zurück. Soweit der Worst Case.
Gearbeitet wurde und wird mit den Privatgeräten dennoch – von beiden Seiten aus. Die Schulleitung versendet ihre Informationen und Einladungen zu Konferenzen – auch an unzulässige E-Mail-Adressen bei Freemail-Diensten, die beispielsweise auf googlemail.com oder hotmail.com enden. Die Kolleg*innen senden sich gegenseitig Schüler*inneninformationen, Notenlisten und mehr als E-Mail-Anhang, unverschlüsselt und ohne Passwort. Im Förderschulbereich und Inklusion werden Gutachten über Schüler*innen auf privaten Laptops erstellt, obwohl das eigentlich nur auf Verwaltungsrechnern erlaubt ist, und ungeschützt versendet oder auf USB-Sticks transportiert. Jede TIN-TAN-Verbindung zur Bank ist sicherer.
Es stellt sich die Frage: Was ist eine „Genehmigung“ ohne sinngemäße Anwendung und Kontrolle wert? Zumindest im öffentlichen Straßenverkehr ist allen Beteiligten klar: Ohne Stempel und Unterschrift habe ich keinen gültigen Führerschein und bei acht Punkten in Flensburg verliere ich meine Fahrlizenz.
In der freien Wirtschaft gibt es dieses Problem nicht. Warum? Eine Firma mit unsicherer IT kann im Wettbewerb nicht bestehen. Deshalb arbeitet sie nicht mit unkontrollierbaren privaten Endgeräten. Diese unüberschaubare Komplexität für Lehrkräfte und Schulleitungen wird nochmals verdeutlicht im Datenschutzbericht der LDI, der klare – und kaum erfüllbare – Forderungen an den ordnungsgemäßen Einsatz privater Geräte stellt. Schulleitungen müssten demnach

  • „in eigener Verantwortung die Sicherheit jedes einzelnen privaten Geräts,umfassend prüfen und hierzu die technischen Aspekte jedes einzelnen Modells jedes Herstellers kennen,
  • zudem die (Betriebs-)Software jedes Geräts von Apples iOS bis zu Googles Android kennen, um die Risiken einschätzen zu können,
  • sich mit jeder installierten Software auseinandersetzen, sei es Notenverwaltungssoftware oder Stundenplan- und Vertretungssoftware,
  • insbesondere auch die Wechselwirkung der verschiedenen Softwareanwendungen untereinander berücksichtigen und
  • alle weiteren Aspekte, wie die Einsatzumgebung (Router, Firewall, Nutzung durch andere Familienmitglieder) in die Prüfung einbeziehen.“

Denken first – Digitalisierung second

Das Prinzip BYOD – von IT-Sicherheitsbeauftragten gerne übersetzt mit „Bring Your Own Desaster“ – muss professionell gelöst und nicht auf die Lehrkräfte abgewälzt werden. Ausgebildete IT-Administrator*innen sehen sehr schnell, dass überall praktische No-Gos in den Vorgaben lauern und BYOD letztlich den „digitalen“ Einsatz einschränkt bis gefährdet.
Weiterhin benötigen die Schulen für ihr Verwaltungsnetzwerk und den pädagogischen Einsatz eine Vorgabe an zulässiger Hardware, eine „Whitelist“ mit zugelassener Software und einheitliche Genehmigungs- und Prüfverfahren. Hier müssen die Schulträger mit ins Boot. Andernfalls werden die Schulen weiterhin in jeder Kommune anders und möglicherweise wieder unzulässig ausgestattet. Es gilt: Denken first – Digitalisierung second.


Thomas Martin
Datenschutzbeauftragter für Schulen im Rhein-Erft-Kreis und Mitglied der AG Digitalisierung der GEW NRW

Joachim Hofmann
Mitglied der AG Digitalisierung der GEW NRW

Fotos: Marie Maerz, cydonna / photocase.de

Kommentieren
0 Kommentare
Die mit (*) gekennzeichneten Felder sind Pflichtfelder.
24
Ihre Meinung? Jetzt kommentieren