Viele Lehrkräfte nutzen schon seit Jahren Computer zur Vorbereitung von Unterricht wie auch zur Verwaltung von Noten. Excel Tabellen und analoge Lehrerkalender mit Notenteil werden heute zunehmend durch Apps auf Mobilgeräten abgelöst. Neben den großen Plattformen für die digitale Organisation des Schulalltags mit digitalem Klassenbuch, Stunden- und Vertretungsplan, Absenzenverwaltung u.s.w. gibt noch einen Markt für Apps und Plattformen, die sich an Einzelnutzer richten. Diese Angebote richten sich vor allem an Lehrkräfte, an deren Schulen es noch keine große Plattform gibt oder wo eine solche aus anderen Gründen nicht eingeführt werden kann oder soll. Apps und Plattformen für Einzelnutzer gibt es heute für alle Desktop und mobilen Betriebssysteme. Um diese soll es im Folgenden gehen. Die meisten Aussagen lassen sich jedoch auch auf die großen Plattformen übertragen, die für eine schulweite Nutzung konzipiert sind.
Mangels Dienstgeräten nutzen Lehrkräfte Apps zur Verwaltung von Noten, Absenzen, Versäumnislisten und ähnlich momentan überwiegend auf ihren privaten Endgeräten, d.h. Tablets, Smartphones, Notebooks oder auch stationären Rechnern. Wie die Anbieter für die großen Schulplattformen werben auch die Anbieter von Apps und Plattformen für Einzelnutzer mit Sicherheit und Einhaltung der DS-GVO. Trotzdem sollten Lehrkräfte bei der Auswahl eines Anbieters sehr genau hinsehen, ob sie bei der Nutzung der Plattform die rechtlichen Vorgaben aus der Schul- und Datenschutzgesetzgebung einhalten können, denn hier geht es um personenbezogene Daten von Schülerinnen und Schülern.
Genehmigung
In der Regel setzt die Verarbeitung von personenbezogenen Daten aus der Schule auf einem privaten Endgerät eine Genehmigung der Schulleitung voraus. Das ist streng genommen auch der Fall, wenn die Daten pseudonymisiert in das digitale Notenbuch eingetragen werden, denn auch dann handelt es sich noch immer um personenbezogene Daten1Die Lehrkraft, welche die Daten einträgt, kann sie auch einzelnen Schülern zuordnen., und diese unterliegen den Vorschriften aus den schul- und datenschutzrechtlichen Vorgaben des jeweiligen Bundeslandes.
Speicherort der Daten
Beim Speicherort hängt viel davon ab, wo genau die personenbezogenen Daten abgelegt werden. Speichert das App oder Programm die Daten lokal auf dem Gerät selbst oder erfolgt die Speicherung der Daten in eine Cloud? Letztere Möglichkeit nutzen einige Anbieter, um Lehrkräften einen einfachen und komfortablen Weg zu bieten, die im App eingetragenen Daten zu sichern und bei Nutzung des Apps auf mehreren Geräten die Daten zwischen den Geräten zu synchronisieren. Manche Anbieter ermöglichen damit zusätzlich einen Zugriff über ein Webinterface, welches mit einem Browser von einem beliebigen Rechner aus angesteuert wird. Was bei den großen Schulplattformen in der Regel kein rechtliches Problem darstellt, kann bei Apps und Plattformen, die sich an Einzelnutzer richten, durchaus zu einem werden. Wann das der Fall ist, ist das Hauptanliegen dieses Beitrags und das wird im Folgenden erklärt.
Lokale Speicherung
Solange ein App Daten nur lokal ablegt und die Sicherheit der verarbeiteten Daten auf dem Endgerät durch entsprechende technische Maßnahmen des App Anbieters, Sicherheitseinstellungen auf dem Gerät, Backups und verantwortungsvolles Handeln des Nutzers gewährleistet ist, ist die Nutzung aus Sicht des Datenschutzes eher unbedenklich.2In NDS schätzt man das anders ein. Dort ist eine lokale Speicherung von personenbezogene Daten auf privaten mobilen Endgeräten (Smartphones und Tablets) seit Anfang 2020 nicht mehr zulässig. Apps, die keine Speicherung in einer offiziellen Cloud zulassen, können damit von Lehrkräften in NDS nicht mehr genutzt werden. Siehe dazu auch RdErl. d. MK v. 1. 1. 2020 – 15-05410/1-8 Abs. 1.1 Satz 4 “Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig.“ Zu berücksichtigen ist für eine Bewertung jedoch auch noch das für eine Datensicherung genutzte Verfahren. Dazu mehr weiter unten.
Cloud Speicherung
Sobald eine Cloud an der Speicherung von personenbezogenen Daten aus dem App beteiligt ist, wird es aus Sicht des Datenschutz deutlich enger. Die externe Speicherung von personenbezogenen Daten aus der Schule setzt immer einen Vertrag zur Auftragsdatenverarbeitung (AVV) zwischen Schule und Anbieter voraus, sofern es sich nicht um eine von der Schule selbst betriebene Lösung handelt3Selbst betrieben meint dabei, dass es sich weder um einen gemieteten Server handelt, noch dass dieser Server von Mitarbeitern des Schulträgers oder eines IT Dienstleisters betreut wird.. Es macht auch keinen Unterschied, wenn die App die Nutzung von nicht vom Anbieter betriebenen Cloud Diensten zulässt, etwa in Google Drive, iCloud, Dropbox, OneDrive oder NextCloud. Solange es von Seiten der Schule mit dem Anbieter des Cloud Dienstes keinen AVV gibt, ist eine Nutzung zur Sicherung oder Synchronisierung von personenbezogenen Daten durch Lehrkräfte nicht zulässig, egal um welche Art von genutztem App es sich dabei handelt.
Zu den nicht zulässigen Cloud Speichern zählen auch die Clouds der Anbieter der Hardware oder des Betriebssystem. Das ist bei iOS Geräten und Macs beispielsweise die iCloud, bei Android Geräten kann es Google Drive oder je nach Hersteller eine eigene Lösung sein, wie etwa bei Samsung. Je nach Einrichtung kann unter Windows z.B. OneDrive ein solcher Cloud Speicher sein. Egal, welcher Cloud Speicher auf einem Endgerät läuft, ob ein System- oder Hersteller-eigener oder ein anderer, wie Dropbox, solange es sich nicht um einen von der Schule offiziell genutzten Cloud Speicher handelt, müssen jegliches automatische Backup und jede Synchronisationsfunktion für die in der Lehrer App verarbeiteten personenbezogenen Daten deaktiviert werden.
Die Erfordernis zum Abschluss eines AVV besteht nach Ansicht vieler Fachleute selbst dann, wenn die Übertragung dieser Daten zwischen App und Cloud Ende-zu-Ende verschlüsselt ist, die Speicherung auf dem Server verschlüsselt erfolgt und der Schlüssel zur Entschlüsselung nur auf dem Endgerät des Nutzers hinterlegt ist4Aus Sicherheitsgründen sollte dieses immer der Fall sein. Cryptomator , der Anbieter einer Open Source Verschlüsselungsplattform, beschreibt die Möglichkeit, vertrauliche Daten verschlüsselt über einen Cloud Dienst mit einem Team zu nutzen:
“DSGVO-konform über die Cloud mit deinem ganzen Team synchronisieren
Beim Einsatz von Cryptomator und einem Cloud-Service mit entsprechendem AVV kannst du Daten DSGVO-konform über die Cloud synchronisieren und mit einem ganzen Team nutzen.”
Die andere Meinung – verschlüsselte Daten sind keine personenbezogenen Daten
In diesem Beitrag wird davon ausgegangen, dass die Speicherung von personenbezogenen Daten aus der Schule in einer Cloud auch dann einen AVV braucht, wenn sie dort in verschlüsselter Form abgelegt werden und der Anbieter keine Möglichkeit hat, die Daten zu entschlüsseln. Das wäre beispielsweise der Fall, wenn die Daten mit BoxCryptor oder Cryptomator verschlüsselt werden. Der Schlüssel liegt dabei nie in der Cloud. Für den Anbieter der Cloud handelt es sich nur um nicht lesbare Daten.
Verschlüsselung ist ein gängiges Verfahren, um die verarbeiteten personenbezogenen Daten vor unbefugtem Zugriff zu schützen, auch durch den Auftragsverarbeiter. Es ist vermutlich die Mehrheit der Fachleute, die davon ausgeht, dass es sich auch mit Verschlüsselung weiterhin um personenbezogene Daten handelt.
“Die umgesetzten Schutzmaßnahmen entscheiden nicht darüber, ob es sich um eine Auftragsverarbeitung handelt oder nicht.
Wenn in Ihrem Fall der Dienst, den Sie als Unternehmen anbieten, personenbezogene Daten verarbeitet (selbst, wenn nur Ihr Kunde diese eingibt und sehen kann), sind Sie trotzdem Auftragsverarbeiter.”
meint etwa die Fachfrau Regina Stoiber auf eine Nachfrage unter einem Beitrag auf ihrer Seite.
An verschiedenen Stellen wird auf eine Aussage der bayrischen Aufsichtsbehörde verwiesen, um zu begründen, warum es sich bei verschlüsselten Daten nicht länger um personenbezogene Daten handelt. Man sollte dabei jedoch berücksichtigen, dass dieser Tätigkeitsbereicht, in welchem sich folgende Aussage findet, wie Frau Stoiber in einem Kommetar unter diesem Beitrag anmerkt, von 2013/14 stammt, also deutlich vor Beginn der Umsetzung der DS-GVO:
“Ein Teil der deutschen Datenschutzaufsichtsbehörden hält personenbezogene Daten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselt sind, bei einem Dienstleister für nicht personenbezogen, da er sie nicht zur Kenntnis nehmen könne. Zu dieser Gruppe der Aufsichtsbehörden gehören auch wir.”
Durch die DS-GVO dürfte diese Aussage überholt sein und wird so vermutlich auch nicht mehr von der bayrischen Aufsichtsbehörde vertreten.
Diese alte Aussage bezog sich auf Archive. Das App Lehrmeister (digitales Notenbuch), bei welcher die Daten fortlaufend verschlüsselt mit der Cloud des Anbieters abgeglichen werden und sogar der Schlüssel hinterlegt werden kann, ist mit einer Speicherung im Sinne einer Archivierung nicht vergleichbar. Der Anbieter sieht das anders.5Siehe Informationen zum Thema Datenschutz und IT-Sicherheit auf der Website des Anbieters. In einem Austausch im Januar 2020 signalisierte der Anbieter seine Bereitschaft, auch einen Vertrag zur Auftragsverarbeitung mit Schulen abzuschließen. Will eine Lehrkraft dieses App nutzen, sollte sich vorher mit der Schulleitung abstimmen. Diese muss letztlich entscheiden. Ohne das Einverständnis der Schulleitung sollte man Lehrmeister oder vergleichbare Apps nicht nutzen.
Es gab vor Beginn der Umsetzung der DS-GVO zwei Meinungen bezüglich der Verarbeitung von verschlüsselten Daten und gibt sie auch heute noch. Selbst für Fachleute, die ähnlicher Meinung sind wie die bayrische Aufsichtsbehörde seinerzeit, ist aber immer eines klar:
auch wenn personenbezogene Daten so verschlüsselt sind, dass der Cloud Anbieter sie nicht zur Kenntnis nehmen kann, so kann man sie deshalb nicht wahllos jedem x-beliebigen Anbieter anvertrauen.
Ein Anbieter muss vertrauenswürdig sein, dass dort verarbeitete Daten jederzeit verfügbar sind und vertraulich bleiben. Außerdem muss die Verschlüsselung dem Stand der Technik entsprechen und gegebenfalls mit der Zeit aktualisiert werden. 6Von einer Speicherung von personenbezogenen Daten in den Clouds von US Abietern oder von Anbietern, die gängigen Sicherheitsstandards nicht genügen, sollte auch bei einer verschlüsselten Speicherung abgesehen werden. Fallen verschlüsselte Daten Unbefugten in die Hände, können sie auf Dauer eine tickende Bombe sein, denn mit forschreitender Technik gibt es keine Gewähr, dass sie nicht in absehbarer Zeit entschlüsselt werden können.
Sicherung der Daten
Apps, die nicht mit einer Cloud verbunden sind, benötigen ebenfalls Möglichkeiten, die dort gespeicherten Daten regelmäßig zu sichern. Dazu sind verschiedene Verfahren üblich. Der einfachste Weg ist ein Ausdruck auf Papier. Einige Apps lassen Exporte in verschlüsselte Tabellen, PDF oder Archiv Dateien zu, die dann entweder im Dateisystem abgelegt werden oder sich per E-Mail vom Gerät aus an ein anderes Gerät senden lassen, wo sie dann gespeichert werden. Sobald E-Mail zur Übermittlung genutzt wird, kommt dafür nur ein dienstliches E-Mail Konto in Frage. Auch E-Mail Dienste laufen über externe Server und nur das dienstliche E-Mail Konto erfüllt die Anforderungen, welche Schul- und Datenschutzrecht voraussetzen. Eine Übermittlung über ein privates E-Mail Konto ist nicht zulässig, auch wenn die Übermittlung verschlüsselt erfolgt.
Fazit
Nutzen Lehrkräfte Apps zur Verarbeitung von personenbezogenen Daten von Schülern, dann ist dieses aus datenschutzrechtlicher Sicht am wenigsten probematisch, wenn es dazu keine Speicherung in einer Cloud des Anbieters braucht. Ist das App mit einer Cloud des Anbieters verbunden, dann sollte dafür nach Möglichkeit ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden. Diesen kann nicht die Lehrkraft abschließen, er muss zwischen Schulleitung und Anbieter abgeschossen werden.
Vertritt man die oben beschriebene Ansicht, dass die Speicherung der Daten verschlüsselt erfolgt und der Anbieter keine Möglichkeit hat in Kenntnis der Daten zu kommen und sie damit nicht personenbezogen sind, so könnten Lehrkräfte personenbezogene Daten von Schülern auch in Apps verarbeiten, die mit einer Anbieter Cloud gekoppelt sind, für welche der Anbieter keinen Vertrag zur Auftragsverarbeitung anbietet. Das Gesagte ließe sich auch auf die Nutzung eines privaten E-Mail Kontos zur Übermittlung einer verschlüsselten Sicherungsdatei übertragen. Wichtig ist hierbei eines – es geht bei der Entscheidung, ob die Nutzung eines solchen Anbieters zulässig ist oder nicht – nicht um die der einzelnen Lehrkraft, sondern die der Schulleitung. Lehrkräfte, die hier eigenmächtig entscheiden und einen solchen Anbieter nutzen, müssen im Fall der Fälle mit Rechtsfolgen rechnen.
Stand 02/2021
Ersteinmal wieder vielen Dank für den sehr aufschlussreichen Artikel. Besonders der Abschnitt “Cloudspeicherung” ist mit seinen Fußnoten generell interessant. Weshalb auch verschlüsselte Daten immer noch personenbezogene Daten sind und nicht anonym, war mir so nicht klar.
Hallo,
ich habe ein Frage zur Fußnote 2: Dort schreibst du: “In NDS schätzt man das anders ein. Dort ist eine lokale Speicherung von personenbezogene Daten auf privaten Endgeräten seit Februar 2020 nicht mehr zulässig. Apps, die keine Speicherung in einer offiziellen Cloud zulassen, können damit von Lehrkräften in NDS nicht mehr genutzt werden.”
An welcher Stelle liest du das so heraus? Ich kann das nicht erkennen, nachdem ich mir das hier (http://www.voris.niedersachsen.de/jportal/?quelle=jlink&query=VVND-206000-MK-20200101-SF&psml=bsvorisprod.psml&max=true) angesehen habe. Es werden ja in § 4 die Voraussetzungen für eine Speicherung beschrieben (4.1.1, 4.1.2).
Ich bin zwar in Schleswig-Holstein in diese Thematik involviert, aber man schaut ja über den Tellerrand.
Grüße und vielen Dank für eine Antwort.
Danke für den Hinweis. Da mir der Erlass nicht vorlag, hatte ich diese Aussage wohl etwas zu pauschal verstanden aus den verschiedenen Äußerungen auf Twitter. Die Beschränkung bezieht sich nur auf mobile Endgeräte, Smartphones und Tablets. Für PC und Notebooks gilt das nicht. Wenngleich die Grenzen hier schon fast fließend sind, wenn man beispielsweise ein Notebook oder ein Surface mit LTE betrachtet. Ob ein solches Gerät tatsächlich sicherer ist als ein iOS Gerät, würde ich infrage stellen wollen. Meinen Beitrag werde ich dann direkt mal anpassen.
Sehr informierender Artikel. Ich nutze bei mir nextfiles.de als Cloud-Dienst das auf Nextcloud basiert. Da der Preis einfach sehr günstig ist und alle wichtigen Funktionen hat. DSGVO konform ist es auch.
Ein sehr guter Beitrag, den bei vielen Kollegen bestimmt etwas Licht ins Dunkele bringt! Vielen Dank dafür!
Ich persönlich nutze Luckycloud und sie haben auch spezielle Angebote für Lehrer: https://luckycloud.de/de/blog/schule-nutzt-cloud-speicher
Besonders jetzt, wo wir vermehrt auf digitalen Unterricht umschwenken mussten, hat mir Luckycloud beim verschlüsselten Austausch von Schulmaterialien geholfen. Die Schüler konnten Ihre Aufgaben einfach über einen Upload-Link hochladen.
Und der Auftragsverarbeitungsvertrag Prozess ist auch gar nicht kompliziert: Formular ausfüllen, Vertrag herunterladen und unterschreiben – Fertig!
Monatliche Kosten: 2 € für 10 GB
Also liebe Kollegen, habt Mut zur Digitalisierung! Mit deutschen IT-Unternehmen, die Ihre Server in Deutschland betreiben, könnt ihr nahezu nix falsch machen.
Grüße, Ingo.
Vielen Dank für das Zitat und den Hinweis auf unsere Stellungnahme zur Auftragsverarbeitung. Das Zitat von RA Czap bezieht sich auf 2013/2014, also lange vor der DSGVO. Seitdem hat sich einiges getan. Daher sollte das nicht mehr als Referenz herangezogen werden.
Viele Grüße
Regina
Vielen Dank für Ihren Hinweis. Das Zitat habe ich aus dem Beitrag herausgenommen.
sehr gerne 🙂