Lehrer Apps und Cloud Speicher

Lesezeit: 5 Minuten

Viele Lehrkräfte nutzen schon seit Jahren Computer zur Vorbereitung von Unterricht wie auch zur Verwaltung von Noten. Excel Tabellen und analoge Lehrerkalender mit Notenteil werden heute zunehmend durch Apps auf Mobilgeräten abgelöst. Neben den großen Plattformen für die digitale Organisation des Schulalltags mit digitalem Klassenbuch, Stunden- und Vertretungsplan, Absenzenverwaltung u.s.w. gibt noch einen Markt für Apps und Plattformen, die sich an Einzelnutzer richten. Diese Angebote richten sich vor allem an Lehrkräfte, an deren Schulen es noch keine große Plattform gibt oder wo eine solche aus anderen Gründen nicht eingeführt werden kann oder soll. Apps und Plattformen für Einzelnutzer gibt es heute für alle Desktop und mobilen Betriebssysteme. Um diese soll es im Folgenden gehen. Die meisten Aussagen lassen sich jedoch auch auf die großen Plattformen übertragen, die für eine schulweite Nutzung konzipiert sind.

Mangels Dienstgeräten nutzen Lehrkräfte Apps zur Verwaltung von Noten, Absenzen, Versäumnislisten und ähnlich momentan überwiegend auf ihren privaten Endgeräten, d.h. Tablets, Smartphones, Notebooks oder auch stationären Rechnern. Wie die Anbieter für die großen Schulplattformen werben auch die Anbieter von Apps und Plattformen für Einzelnutzer mit Sicherheit und Einhaltung der DS-GVO. Trotzdem sollten Lehrkräfte bei der Auswahl eines Anbieters sehr genau hinsehen, ob sie bei der Nutzung der Plattform die rechtlichen Vorgaben aus der Schul- und Datenschutzgesetzgebung einhalten können, denn hier geht es um personenbezogene Daten von Schülerinnen und Schülern.

Genehmigung

In der Regel setzt die Verarbeitung von personenbezogenen Daten aus der Schule auf einem privaten Endgerät eine Genehmigung der Schulleitung voraus. Das ist streng genommen auch der Fall, wenn die Daten pseudonymisiert in das digitale Notenbuch eingetragen werden, denn auch dann handelt es sich noch immer um personenbezogene Daten1Die Lehrkraft, welche die Daten einträgt, kann sie auch einzelnen Schülern zuordnen., und diese unterliegen den Vorschriften aus den  schul- und datenschutzrechtlichen Vorgaben des jeweiligen Bundeslandes.

Speicherort der Daten

Beim Speicherort hängt viel davon ab, wo genau die personenbezogenen Daten abgelegt werden. Speichert das App oder Programm die Daten lokal auf dem Gerät selbst oder erfolgt die Speicherung der Daten in eine Cloud? Letztere Möglichkeit nutzen einige Anbieter, um Lehrkräften einen einfachen und komfortablen Weg zu bieten, die im App eingetragenen Daten zu sichern und bei Nutzung des Apps auf mehreren Geräten die Daten zwischen den Geräten zu synchronisieren. Manche Anbieter ermöglichen damit zusätzlich einen Zugriff über ein Webinterface, welches mit einem Browser von einem beliebigen Rechner aus angesteuert wird. Was bei den großen Schulplattformen in der Regel kein rechtliches Problem darstellt, kann bei Apps und Plattformen, die sich an Einzelnutzer richten, durchaus zu einem werden. Wann das der Fall ist, ist das Hauptanliegen dieses Beitrags und das wird im Folgenden erklärt.

Lokale Speicherung

Solange ein App Daten nur lokal ablegt und die Sicherheit der verarbeiteten Daten auf dem Endgerät durch entsprechende technische Maßnahmen des App Anbieters, Sicherheitseinstellungen auf dem Gerät, Backups und verantwortungsvolles Handeln des Nutzers gewährleistet ist, ist die Nutzung aus Sicht des Datenschutzes eher unbedenklich.2In NDS schätzt man das anders ein. Dort ist eine lokale Speicherung von personenbezogene Daten auf privaten mobilen Endgeräten (Smartphones und Tablets) seit Anfang 2020 nicht mehr zulässig. Apps, die keine Speicherung in einer offiziellen Cloud zulassen, können damit von Lehrkräften in NDS nicht mehr genutzt werden. Siehe dazu auch RdErl. d. MK v. 1. 1. 2020 – 15-05410/1-8 Abs. 1.1 Satz 4 „Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig. Zu berücksichtigen ist für eine Bewertung jedoch auch noch das für eine Datensicherung genutzte Verfahren. Dazu mehr weiter unten.

Cloud Speicherung

Sobald eine Cloud an der Speicherung von personenbezogenen Daten aus dem App beteiligt ist, wird es aus Sicht des Datenschutz deutlich enger. Die externe Speicherung von personenbezogenen Daten aus der Schule setzt immer einen Vertrag zur Auftragsdatenverarbeitung (AVV) zwischen Schule und Anbieter voraus, sofern es sich nicht um eine von der Schule selbst betriebene Lösung handelt3Selbst betrieben meint dabei, dass es sich weder um einen gemieteten Server handelt, noch dass dieser Server von Mitarbeitern des Schulträgers oder eines IT Dienstleisters betreut wird.. Die Erfordernis zum Abschluss eines AVV besteht selbst dann, wenn die Übertragung dieser Daten zwischen App und Cloud Ende-zu-Ende verschlüsselt ist, die Speicherung auf dem Server verschlüsselt erfolgt und der Schlüssel zur Entschlüsselung nur auf dem Endgerät des Nutzers hinterlegt ist4Aus Sicherheitsgründen sollte dieses immer der Fall sein. Es macht auch keinen Unterschied, wenn die App die Nutzung von nicht vom Anbieter betriebenen Cloud Diensten zulässt, etwa in Google Drive, iCloud, Dropbox, OneDrive oder NextCloud. Solange es von Seiten der Schule mit dem Anbieter des Cloud Dienstes keinen AVV gibt, ist eine Nutzung zur Sicherung oder Synchronisierung von personenbezogenen Daten durch Lehrkräfte nicht zulässig, egal um welche Art von genutztem App es sich dabei handelt.

Manche Anbieter argumentieren damit, dass die personenbezogenen Daten durch die Verschlüsselung und die für sie fehlende Möglichkeit zur Entschlüsselung lediglich anonymisierte Daten darstellen, und auf diese fände die DS-GVO keine Anwendung. Das stimmt so leider nicht, denn die verarbeitende Person, hier die Lehrkraft, kann diese Daten entschlüsseln, und das zählt. Die Verschlüsselung ist lediglich eine technische Maßnahme zum Schutz der Daten und selbst auch eine Form der Verarbeitung.5Es wird oft gefragt, warum Lehrer mit Anwendungen mit BoxCryptor oder VeraCrypt sicher verschlüsselte personenbezogene Daten nicht in der privaten Dropbox, Google Drive oder OneDrive speichern dürfen? Es kann sie doch niemand lesen, selbst wenn sie gestohlen werden. Fakt ist, es sind und bleiben personenbezogene Daten. Darüber hinaus gibt es keine Garantie, dass Daten, die heute als sicher verschlüsselt gelten, in Zukunft nicht durch Weiterentwicklungen in der IT Technik – Stichwort Quantum Computing, Künstliche Intelligenz – entschlüsselt werden können.

Zu den nicht zulässigen Cloud Speichern zählen auch die Clouds der Anbieter der Hardware oder des Betriebssystem. Das ist bei iOS Geräten und Macs beispielsweise die iCloud, bei Android Geräten kann es Google Drive oder je nach Hersteller eine eigene Lösung sein, wie etwa bei Samsung. Je nach Einrichtung kann unter Windows z.B. OneDrive ein solcher Cloud Speicher sein. Egal, welcher Cloud Speicher auf einem Endgerät läuft, ob ein System- oder Hersteller-eigener oder ein anderer, wie Dropbox, solange es sich nicht um einen von der Schule offiziell genutzten Cloud Speicher handelt, müssen jegliches automatische Backup und jede Synchronisationsfunktion für die in der Lehrer App verarbeiteten personenbezogenen Daten deaktiviert werden.

Sicherung der Daten

Apps, die nicht mit einer Cloud verbunden sind, benötigen ebenfalls Möglichkeiten, die dort gespeicherten Daten regelmäßig zu sichern. Dazu sind verschiedene Verfahren üblich. Der einfachste Weg ist ein Ausdruck auf Papier. Einige Apps lassen Exporte in verschlüsselte Tabellen, PDF oder Archiv Dateien zu, die dann entweder im Dateisystem abgelegt werden oder sich per E-Mail vom Gerät aus an ein anderes Gerät senden lassen, wo sie dann gespeichert werden. Sobald E-Mail zur Übermittlung genutzt wird, kommt dafür nur ein dienstliches E-Mail Konto in Frage. Auch E-Mail Dienste laufen über externe Server und nur das dienstliche E-Mail Konto erfüllt die Anforderungen, welche Schul- und Datenschutzrecht voraussetzen. Eine Übermittlung über ein privates E-Mail Konto ist nicht zulässig.

Fazit

Die Nutzung von Apps, mit denen Lehrkräfte personenbezogene Daten von Schülern verarbeiten, setzt voraus, dass zu ihrer Nutzung keine Speicherung in Cloud Diensten erforderlich ist, für welche kein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter abgeschlossen wurde. Wird Lehrkräften selbst der Abschluss eines AVV mit dem Anbieter eingeräumt, so wäre dieser rechtsunwirksam und die Nutzung der App und des damit verbundenen Cloud Dienstes rechtswidrig. Gleiches gilt auch die Nutzung eines privaten E-Mail Kontos zur Übermittlung einer Sicherungsdatei, auch wenn diese Übermittlung an ein schulisches E-Mail Konto erfolgt. Das heißt also anders herum, möchten Lehrkräfte einer Schule eine für Einzelanwender entwickelte App zur Verwaltung von Noten und ähnlichen personenbezogenen Daten ihrer Schüler nutzen und diese App erfordert für Sicherung und/ oder Synchronisation die Einbindung eines externen Servers, so ist dieses nur möglich, wenn die Schule mit dem Anbieter zuvor einen Vertrag zur Auftragsverarbeitung abschließt. Sobald dieser vorliegt, können die einzelnen Lehrkräfte das App bzw. die Plattform rechtskonform nutzen.

6 Antworten auf „Lehrer Apps und Cloud Speicher“

  1. Ersteinmal wieder vielen Dank für den sehr aufschlussreichen Artikel. Besonders der Abschnitt „Cloudspeicherung“ ist mit seinen Fußnoten generell interessant. Weshalb auch verschlüsselte Daten immer noch personenbezogene Daten sind und nicht anonym, war mir so nicht klar.

  2. Hallo,

    ich habe ein Frage zur Fußnote 2: Dort schreibst du: „In NDS schätzt man das anders ein. Dort ist eine lokale Speicherung von personenbezogene Daten auf privaten Endgeräten seit Februar 2020 nicht mehr zulässig. Apps, die keine Speicherung in einer offiziellen Cloud zulassen, können damit von Lehrkräften in NDS nicht mehr genutzt werden.“

    An welcher Stelle liest du das so heraus? Ich kann das nicht erkennen, nachdem ich mir das hier (http://www.voris.niedersachsen.de/jportal/?quelle=jlink&query=VVND-206000-MK-20200101-SF&psml=bsvorisprod.psml&max=true) angesehen habe. Es werden ja in § 4 die Voraussetzungen für eine Speicherung beschrieben (4.1.1, 4.1.2).

    Ich bin zwar in Schleswig-Holstein in diese Thematik involviert, aber man schaut ja über den Tellerrand.

    Grüße und vielen Dank für eine Antwort.

    1. Danke für den Hinweis. Da mir der Erlass nicht vorlag, hatte ich diese Aussage wohl etwas zu pauschal verstanden aus den verschiedenen Äußerungen auf Twitter. Die Beschränkung bezieht sich nur auf mobile Endgeräte, Smartphones und Tablets. Für PC und Notebooks gilt das nicht. Wenngleich die Grenzen hier schon fast fließend sind, wenn man beispielsweise ein Notebook oder ein Surface mit LTE betrachtet. Ob ein solches Gerät tatsächlich sicherer ist als ein iOS Gerät, würde ich infrage stellen wollen. Meinen Beitrag werde ich dann direkt mal anpassen.

  3. Sehr informierender Artikel. Ich nutze bei mir nextfiles.de als Cloud-Dienst das auf Nextcloud basiert. Da der Preis einfach sehr günstig ist und alle wichtigen Funktionen hat. DSGVO konform ist es auch.

  4. Ein sehr guter Beitrag, den bei vielen Kollegen bestimmt etwas Licht ins Dunkele bringt! Vielen Dank dafür!

    Ich persönlich nutze Luckycloud und sie haben auch spezielle Angebote für Lehrer: https://luckycloud.de/de/blog/schule-nutzt-cloud-speicher

    Besonders jetzt, wo wir vermehrt auf digitalen Unterricht umschwenken mussten, hat mir Luckycloud beim verschlüsselten Austausch von Schulmaterialien geholfen. Die Schüler konnten Ihre Aufgaben einfach über einen Upload-Link hochladen.

    Und der Auftragsverarbeitungsvertrag Prozess ist auch gar nicht kompliziert: Formular ausfüllen, Vertrag herunterladen und unterschreiben – Fertig!

    Monatliche Kosten: 2 € für 10 GB

    Also liebe Kollegen, habt Mut zur Digitalisierung! Mit deutschen IT-Unternehmen, die Ihre Server in Deutschland betreiben, könnt ihr nahezu nix falsch machen.
    Grüße, Ingo.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.