NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale1300.000 Bedienstete der Bundesverwaltung nutzen die NextCloud statt Dropbox oder Google Drive.. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Nordrhein Westfalen entspricht.2Wer hier mehr Informationen haben möchte, kann mich gerne kontaktieren. Da ich immer auf der Suche nach guten, datenschutzkonformen Lösungen bin, habe ich den Anbieter bei der Konzeption einer Lösung für Schulen in NRW, die sich ein wenig an Logineo NRW orientiert, in meiner Freizeit beraten. Disclaimer: Meine Beratung erfolgte rein idealistisch. Ich habe keinerlei finanzielle Vorteile von einer Nennung des Anbieters. Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.
Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.3Als Zugabe gibt es noch eine Vorlage für ein Nutzungskonzept Nutzungskonzept für NextCloud – EduDocs.docx Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.
Ist auf einer solchen Infrastruktur auch die Verarbeitung von Leistungsdaten möglich? Ich denke da an die Notenfindung durch mehrere Lehrer*innen.
Die Verarbeitung von Leistungsdaten ist möglich, ja. Voraussetzung dafür ist, dass die Schule mit dem Anbieter der NextCloud einen Vertrag zur Auftragsverarbeitung abschließt, egal ob es sich um einen kommunalen Dienstleister handelt oder einen Anbieter wie EduDocs. Außerdem sollte man die Möglichkeiten zur Absicherung der NextCloud nutzen und beispielsweise 2-Faktor Authentifizierung und Brute Force Protection aktivieren. Eine Vollverschlüsselung der kompletten NextCloud ist möglich, sollte jedoch nicht erforderlich sein. Man könnte stattdessen die Datenbanken verschlüsseln. Beim Anbieter bzw. dem von diesem genutzten Rechenzentrum sollte man darauf achten, dass dieser bzw. dieses auf jeden Fall die ISO 27001 Zertifizierung hat. Wenn man eine NextCloud zur Verarbeitung von Leistungsdaten nutzt, sollte diese Instanz nicht mit Schülern im Unterricht genutzt werden (d.h. es sollte keine Schülerzugänge geben auf dieser Instanz). Für Unterrichtszwecke sollte die Schule eine separate NextCloud haben.
In NRW wäre entsprechend VO-DV I die eine Verarbeitung von Leistungsdaten in einer NextCloud auch von privaten Endgeräten aus möglich, wenn für diese eine Genehmigung der Schulleitung vorliegt.