Fax bietet keine ausreichende Sicherheit für sensible Daten

Lesezeit: 1 Minute

Dass auch Fax ein Datenschutz Thema sein kann, ist vermutlich den wenigsten bewusst. Immerhin gilt Fax bisher als zuverlässig, sicher und echt. Mit dem Wandel der Kommunikationstechnologie zu IP basierten Systemen, hat sich auch die Technologie verändert, über welche Faxe übermittelt werden. Beim Endanwender hat sich nichts geändert, doch wie auch beim Telefonieren wurde die zugrundeliegende Technik auf Digitaltechnik umgestellt. Alles läuft jetzt quasi durch das Internet. Entsprechend wies jetzt die Landesbeauftragte für Datenschutz und Informationsfreiheit von Bremen in ihrem 1. Jahresbericht 1 Download Link zum 1. Jahresbericht als PDF auf die sich dadurch ergebenden Sicherheitsprobleme bei der Übermittlung von personenbezogenen Daten per Fax hin.

„Nach Ermittlung des Schutzbedarfs der zu übermittelnden Daten und einer Analyse der Risiken der Verarbeitung sind für Übertragungsverfahren Sicherheitsmaßnahmen wie beispielsweise die in Artikel 32 Absatz 1 Buchstabe a Datenschutzgrundverordnung (DSGVO) explizit genannte Verschlüsselung zu ermitteln und umzusetzen. Hierbei ist zu beobachten, dass die Übermittlung per Fax inzwischen wie die Übermittlung durch eine unverschlüsselte E-Mail bewertet werden muss, weil beide Verfahren inzwischen IP-basierte Telekommunikationsnetze nutzen.“

Die DS-GVO verpflichtet Verantwortliche, bei einer Übermittlung von personenbezogenen Daten dem Schutzbedarf und den möglichen Risiken angemessene Maßnahmen zu treffen, um die Sicherheit der Verarbeitung bzw. Übermittlung zu gewährleisten. Bei E-Mails kann dieses z.B. durch Verschlüsselung erfolgen. Fax bietet solche Möglichkeiten nicht und sollte aus diesem Grund nicht zur Übermittlung von personenbezogenen Daten mit einem erhöhten Schutzbedarf genutzt werden.

Eine Übermittlung per Fax ist nicht sicherer als eine ungesicherte Übermittlung per E-Mail. Schulen und Schulämter sollten dieses in Zukunft unbedingt beachten, denn gerade zwischen diesen werden oft höchst sensible Informationen über Fax ausgetauscht.

Verarbeiten – Speichern – Unterricht – Lehrergeräte

Lesezeit: 3 Minuten
„Die für die Verarbeitung zugelassenen Daten ergeben sich aus der Anlage 3.“2§2 Satz 3 VO-DV I

Welche personenbezogenen Daten Lehrkräfte in NRW mit Genehmigung der Schulleitung auf ihren privaten Endgeräten verarbeiten dürfen, ist durch Anlage 3 der VO-DV I recht genau eingegrenzt.

Datensatz bei Genehmigung der Verarbeitung personenbezogener Schülerinnen- und Schülerdaten auf privaten ADV-Anlagen der die Schülerinnen und Schüler unterrichtenden Lehrerinnen und Lehrer“3Satz 1 Anlage 3 VO-DV I

Anders als bei den personenbezogenen Daten, welche in der Verwaltung verarbeitet werden dürfen, sind die hier zugelassenen Daten eng begrenzt. Es wird von einem Datensatz gesprochen, der verarbeitet werden darf. Im Kommentar zum Schulgesetz von 2015 wird davon gesprochen, dass durch die Regelung in der VO-DV I ein Export  in die privaten Endgeräte der Lehrkräfte ermöglicht wird.

„… besonderen Regelung, damit bestimmte Daten in einem begrenzten Umfang für dienstliche Zwecke aus der Schule exportiert und in privaten ADV-Anlagen der Lehrkräfte verarbeitet werden dürfen.“4 SchulG NRW-Kommentar, März 2015, Katernberg

Nicht mehr zeitgemäß

An der Stelle wird deutlich, dass die Vorgaben des Schulgesetzes NRW und der anhängigen Verordnungen in diesem Bereich längst nicht mehr zeitgemäß sind. Warum?

Die Vorgaben in der VO-DV I sollen sicherstellen, dass die personenbezogenen Daten von Schülern und Eltern ausreichend geschützt sind und dass Lehrkräfte deshalb nicht alle nach dem Schulgesetz NRW für eine Verarbeitung zugelassenen personenbezogenen Daten auf ihren privaten Endgeräten verarbeiten und dadurch einem zusätzlichen Risiko aussetzen. Beim Begriff Verarbeiten hat der Gesetzgeber hierbei jedoch wohl vor allem an eine Speicherung auf den Geräten gedacht. Darauf deuten auch die Löschfristen hin, welche für personenbezogene Daten aus der Schule auf privaten Endgeräten deutlich eingeschränkt sind. Sie dürfen dort nur maximal ein Jahr gespeichert werden, gerechnet ab dem Ende des Kalenderjahres, nachdem eine Lehrkraft einen Schüler zuletzt unterrichtet hat. Die Schule hingegen bewahrt die Daten von Schülern 5 Jahre und länger auf.

Verarbeitung ist der Sammelbegriff für sämtliche Vorgänge, die mit oder ohne automatisierte Verfahren mit personenbezogenen Daten erfolgen5Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“ Art. 4 Nr. 2 . Wie der Beitrag Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW hoffentlich zeigen konnte, macht die Verwendung dieses Begriffes schon Probleme, wenn es um die Nutzung des Date-Safe von Logineo NRW mit personenbezogenen Daten geht, welche nicht in Anlage 3 aufgeführt sind. Sie dürften dem Wortlaut der VO-DV I nach zur Zeit auch von privaten Endgeräten aus nicht im Daten-Safe verarbeitet werden, da bereits die Bildschirmanzeige ein Verarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO darstellt.

Das Schulgesetz NRW und die VO-DV I tragen der Tatsache, dass heute zunehmend online gearbeitet wird, noch keine Rechnung. Anders als vor wenigen Jahren können Dokumente mittlerweile online bearbeitet werden. Sie müssen dazu nicht länger auf dem Endgerät gespeichert werden, wie das z.B. bei lo-net oder anderen einfachen Plattformen der Fall war. Dort musste eine Datei zunächst auf den Rechner heruntergeladen werden, um sie anzusehen und zu bearbeiten, bevor sie dann wieder in der bearbeiteten Version hochgeladen wurde. Moderne Plattformen erlauben sowohl die Anzeige wie auch die Verarbeitung online. Wenn dieses im Browser erfolgt, findet nur eine temporäre Speicherung im Arbeitsspeicher statt. Diese stellt jedoch keine dauerhafte Speicherung im Sinne der DS-GVO dar.6Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24

Dem muss die Schulgesetzgebung Rechnung tragen. Sie muss deutlich unterscheiden zwischen personenbezogenen Daten aus der Schule, welche mit Genehmigung durch die Schulleitung auf privaten Endgeräten verarbeitet werden dürfen, einschließlich einer Speicherung auf dem Gerät, und solchen, welche verarbeitet werden dürfen, jedoch unter Ausschluss einer Speicherung.

Was ist zu tun?

Der bisher in Anlage 3 aufgeführte Datensatz wird unverändert beibehalten für eine uneingeschränkte Verarbeitung einschließlich einer Speicherung auf dem Gerät. Zusätzlich aufgenommen werden sollten in die VO-DV I jedoch weitere Daten bzw. Kategorien von Daten, für welche eine eingeschränkte Verarbeitung, welche eine Speicherung auf dem Endgerät ausdrücklich ausschließt, über den Browser zulässig ist.7Neben dem Zugriff über einen Browser könnten auch Software und Apps zuässig sein, welche keine Daten lokal ablegen können. Dazu gehören würden Daten, für welche schon jetzt eine Bearbeitung im Daten-Safe von Logineo NRW vorgesehen ist. Mit aufgenommen werden müssten unbedingt auch sämtliche personenbezogenen Daten, welche zur Nutzung von Lern Management Systemen (LMS), Lernplattformen und Classroom Management Systemen (CMS) erforderlich sind.8Welche personenbezogenen Daten dort verarbeitet werden dürfen, ist dann Bestandteil anderer Regelungen. Dieses ist dringend erforderlich, um der Tatsache Rechnung zu tragen, dass im Unterricht zunehmend Online-Plattformen genutzt werden. Dort erfolgt sämtliches Lernen und Arbeiten online über den Browser und es ist erforderlich, dass Lehrkräfte die Möglichkeit erhalten, in der Plattform von Schülern erarbeitete Materialien einzusehen, um Feedback zu geben und Bewertungen vorzunehmen, oder um durchgeführte Abfragen auszuwerten. So wie traditionell Lehrkräfte die Hefte von Schülern mit nach Hause nehmen, macht es die Arbeit mit Online-Plattformen erforderlich, die von Schülern bearbeiteten Materialien auch zu Hause in der Plattform durchsehen zu können. Das alles ist, momentan von privaten Endgeräten aus rein rechtlich nicht möglich, da diese Daten nicht zu dem in Anlage 3 detaillierten Datensatz gehören.

Mit Dienstgeräten würde sich die beschriebene Erfordernis einer zeitgemäßen Anpassung der schulischen Gesetzgebung nicht ergeben. Da es gegenwärtig illusorisch ist, mit einer zeitnahen Ausstattung aller Lehrkräfte mit Dienstgeräten zu rechnen, sich nun aber immer mehr Schulen und Lehrkräfte auf den Weg machen, digitale Medien in den Unterricht zu integrieren, was vor allem in weiterführenden Schulen den Einsatz von Online-Plattformen einschließt, braucht es die beschriebene Anpassung der datenschutzrechtlichen Vorgaben im Schulgesetz und anhängigen Verordnungen zur Datenverarbeitung. Auch die Verarbeitung von personenbezogenen Daten, welche nicht auf privaten Endgeräten gespeichert werden dürfen, macht diese Änderung deshalb erforderlich.

 

Der Privatbereich von Schülern im Unterricht

Lesezeit: 3 Minuten

Dieser Tweet einer Mutter erregte jetzt bei Twitter die Gemüter, wurde mehr als dreihundertmal kommentiert, retweeted, und von knapp 2.000 anderen Nutzern mit einem Like versehen.

Kann man als Lehrkraft im Unterricht bei Schülerinnen und Schülern eine derartige Abfrage durchführen? Wie verträgt sich das mit dem Datenschutz?

Das Thema ist schwierig und es ist nicht einfach, eine pauschale Aussage zu treffen. Die Biologie Lehrkraft meint es sicherlich gut, wenn man sich in der Klasse mit dem Thema „Gesunde Ernährung“ auseinandersetzt und die Kinder dafür sensibilisiert. Allerdings sind Ernährungsgewohnheiten schon eine sehr persönliche Angelegenheit, die Aufschluss über weitaus mehr zulassen. Ob eine Familie Bio Produkte kauft oder nicht, muss nichts mit einem vorhandenen oder mangelnden Bewusstsein für gesunde und nachhaltige Ernährung zu tun haben, sondern kann auch mit der finanziellen Situation zusammenhängen. Als Lehrer oder Lehrerin möchte man gerne Lernanlässe mit lebensweltlichen Bezügen gestalten. Macht doch mal ein Foto von eurem Zimmer. Erzählt doch mal von den Berufen eurer Eltern. Manche scheinbar belanglose Frage kann ein Kind dazu nötigen, Dinge aus dem Privatbereich der Familie zu offenbaren, die es selbst bloßstellen oder den Eltern nicht recht sind, aus welche Gründen auch immer.

Man braucht bezüglich der mit solchen Abfragen verbundenen Problematik nicht einmal auf die Europäische Datenschutz Grundverordnung (DS-GVO) schauen, wie dies in einigen kommentierenden Tweets geschah. Auch das Schulgesetz NRW äußert sich zu einer solchen Erhebung von Daten.9In den Schulgesetzen der anderen Bundesländer werden sich entsprechende Formulierungen finden.

In §2 Abs. 2 der VO-DV I heißt es:

„(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. […] Auch mit Einwilligung dürfen unzumutbare, nicht zweckdienliche oder sachfremde Angaben nicht erhoben werden.“

Wenn es um die Ernährung und den Einkauf von Bio Produkten geht, dann betrifft dieses auch die Eltern. Man sollte sich in Schule grundsätzlich davor hüten, Abfragen bei Schülern zu machen, welche die Eltern betreffen, egal ob es dabei um das Alter der Eltern geht, ob und warum sie arbeitslos sind, oder welche Eltern getrennt leben. Im Fall der geplanten Beratung zur Ernährung werden einige Eltern die eingeforderten Informationen als unzumutbar empfinden. Dieses Recht haben sie. Fraglich ist zudem, ob die Informationen wirklich zweckdienlich sind? Um beim Beispiel zu bleiben. Es wäre auch möglich, im Biologieunterricht ein Beratungsschema zu erarbeiten, mit welchem die Schüler zu Hause die Ernährung in ihrer Familie unter die Lupe nehmen können, um die Eltern hinterher zu beraten. Das Ziel, die Kinder für eine gesunde und nachhaltige Ernährung zu sensibilisieren, wäre auch hiermit erreicht.

Obige Abfrage aus dem Biologieunterricht ist nicht nur problematisch, weil sie die Verhältnisse im Elternhaus betrifft und für einige Eltern nicht zumutbar ist, sondern auch, weil es sich um eine verbindliche Abfrage handelt, eine Hausaufgabe, bei welcher der Schüler möglicherweise noch sanktioniert wird, wenn zur nächsten Stunde keine Liste vorgezeigt wird. In einem Kommentar zum SchulG NRW wird folgende Empfehlung gegeben:

„Insgesamt haben die Lehrkräfte dafür Sorge zu tragen, dass personenbezogene Daten im Unterricht nur im Rahmen des Erforderlichen verarbeitet und ansonsten vermieden werden. Hier ist neben dem notwendigen pädagogischen Fingerspitzengefühl auch eine besondere datenschutzrechtliche Sensibilität geboten. Im Zweifel sollten die Eltern in der Klassenpflegschaftssitzung und/ oder durch Elternbriefe über möglicherweise datenschutzrelevante Inhalte einer geplanten Unterrichtseinheit oder -reihe informiert werden, so dass sie die Möglichkeit haben, etwaige Einwände rechtzeitig vorzutragen.“10Quelle: Wingen, SchulG NRW-Kommentar, März 2015, Katernberg

Es wäre sicherlich übertrieben, wenn man den Privatbereich von Schülerinnen und Schülern komplett aus dem Unterricht ausklammern würde. Wenn Schüler von sich aus Informationen aus dem Privatbereich im Unterricht offenbaren, ist das etwas Anderes, als wenn sie durch eine Hausaufgabe oder Antwortkette, zu der jeder etwas beitragen muss, zur Preisgabe von solchen Informationen genötigt werden. Vor allem ältere Schüler können recht gut einschätzen, ob und was sie von sich preisgeben wollen. Solange klar ist, dass alles auf Freiwilligkeit und ohne Nachteile bei Nichtbeantwortung abläuft und das Kind über den Umfang der Informationen selbst entscheidet, die es preisgeben möchte, kann man informell im Klassengespräch über eher allgemeine Dinge reden wie Hobbys, Lieblingssportler, Vorlieben und Freizeiterlebnisse und ähnlich. Bei jüngeren Schülern, vor allem in der Grundschule, fehlt dieses Urteilsvermögen oft noch völlig. Lehrkräfte müssen deshalb hier wesentlich umsichtiger handeln. Schriftliche Befragungen sollten besonders vorsichtig angegangen werden, etwa durch eine vorherige Absprache mit den Eltern und eine Anonymisierung der Abfrage. Grundsätzlich sollte man immer überlegen, ob es nicht andere Wege gibt, um zum gleichen Ziel zu gelangen. Sensible Bereiche aus dem Privatleben sollten im Unterricht besser meiden.

Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW

Lesezeit: 4 Minuten

Manchmal können einzelne Worte entscheidend sein. Beim Datenschutz hängt von Formulierungen in rechtlichen Vorgaben deshalb eine Menge ab. Ein Beispiel dafür ist die VO-DV I, welche regelt, welche Daten eine Schule verarbeiten darf und, in diesem Zusammenhang besonders interessant, welche personenbezogenen Daten Lehrkräfte mit Genehmigung der Schulleitung auf privaten Endgeräten verarbeiten dürfen.11siehe hierzu Anlage 3 der VO-DV I Entscheidend ist hier das Wort verarbeiten. So heißt es in §2 Abs. 2 Satz 1 VO-DV I von Februar 2017:

„Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten ADV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.“

Eine entsprechende Formulierung findet sich auch in der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule, die im Februar 2018 zum ursprünglich geplanten Einführungstermin von Logineo NRW erschien:

„Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig.“

Die Wahl des Wortes Verarbeitung macht je nach Perspektive durchaus Sinn. Als die Verordnung erlassen wurde, ging es darum, durch den Begriff Verarbeitung eine Eingrenzung vorzunehmen. Es sollte damit sichergestellt werden, dass die in der Anlage aufgeführten personenbezogenen Daten aus der Schule nur auf dem durch eine Genehmigung zugelassenen Gerät selbst gespeichert, angesehen, verändert, kopiert usw. werden dürfen, nicht jedoch in der Cloud oder auf anderen Geräten, sofern für diese keine Genehmigung vorliegt.

Verarbeitung findet sich als ein grundlegender Begriff in allen Datenschutzgesetzen und ist in der DS-GVO in Art. 4 Nr. 2 definiert.

Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Diese Definition ist sehr weit und umfasst, je nach Auslegung, „jeden Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten steht.“12Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11 So fallen auch sämtliche technischen Vorgänge innerhalb eines Computers darunter, bei welchen personenbezogene Daten beteiligt sind, auch das Anzeigen am Bildschirm, und ohne dass ein Nutzer die angezeigten Daten in irgendeiner Form aktiv verändert.13„Auch wenn die Daten etwa im Cache eines Browsers nur kurzzeitig zwischengespeichert werden, stellt dies ebenso eine Verarbeitung dar wie die bloße Anzeige einer Datei auf einem Bildschirm oder die Weitergabe eines mobilen Speichermediums.“ Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11

Entsprechend ist auch folgenden Aussage von Ende Januar 2019 aus Richtung Ministerium bezüglich der Zulässigkeit des Online-Zugriffs auf nicht in Anlage 3 aufgeführte personenbezogenen Daten stimmig14Die Quelle dieser Aussage ist mir bekannt, soll hier jedoch nicht genannt werden, um mögliche Probleme zu vermeiden.:

„Da die Verarbeitung von Gesundheits- und Verhaltensdaten im Rahmen der Erstellung von Fördergutachten nicht genehmigungsfähig ist- diese Daten werden in Anlage 3 VO-DV I nicht gelistet – können sie mit Personenbezug nicht auf Privatgeräten erstellt werden. Auch nicht online, da dazu ja in der Regel die Anzeige auf einem Monitor erforderlich ist.

Warum ist das Wort Verarbeitung so wichtig?

Es ist wichtig, denn mit diesem einen Wort steht und fällt das Konzept das Daten-Safe in Logineo NRW.

Nach Anlage 3 der VO-DV I sind Daten, die dort nicht explizit aufgeführt sind, von der Genehmigung ausgenommen und dürfen von daher unter keinen Umständen auf einem privaten Endgerät verarbeitet werden. Zu diesen Daten zählen z.B. Wortzeugnisse und Gutachten im Rahmen eines AOSF Verfahrens oder Notizen, welche sich Förderpädagogen bei Unterrichtsbeobachtungen machen, wenn es um Fördergutachten geht. Im Alltag bereitet diese Einschränkung Lehrkräften mangels Alternativen enorme Probleme, da oft weder Dienstgeräte noch ausreichend Computer Arbeitsplätze in der Schule zur Verfügung stehen.

Hier kommt nun der sogenannte Daten-Safe von Logineo NRW ins Spiel.

In der Rahmenmediennutzungsordnung zur Landesplattform heißt es:

„Besonders schützenswerte Daten/Dokumente werden in dem durch ein weiteres Passwort gesicherten „Daten-SAFE“ der Verwaltungscloud gespeichert.“

Der Daten-Safe erlaubt nicht nur eine Speicherung, sondern auch eine Bearbeitung von Dokumenten. In Teil B Datensicherheit der aktuellen Version der Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten15Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II – abgerufen 01.03.2019 heißt es deshalb:

„Sofern LOGINEO NRW eingesetzt wird und erreichbar ist: Bearbeitung und Speicherung von Dokumenten, die sensible personenbezogene Daten (z.B. Wortzeugnisse) enthalten, ausschließlich über den Online-Editor von LOGINEO NRW.“

Dieser Formulierung nach soll der Daten-Safe es Lehrkräften ermöglichen, bei Vorliegen der Genehmigung, die oben genannten sensiblen personenbezogenen Daten, die unter keinen Umständen auf einem privaten Endgerät verarbeitet werden dürfen, von selbigem Gerät aus im Online-Editor des Daten-Safes zu bearbeiten und zu speichern.16In einer Präsentation von 2017 zu Logineo NRW hieß es zum Daten-Safe unter anderem auch „Der Online-Editor ermöglicht die Arbeit mit privaten digitalen Endgeräten.“ und „Es steht ein Online-Editor zur Verfügung, sodass Dokumente mit besonders schützenswerten Daten nicht auf schulischen oder privaten Endgeräten gespeichert werden müssen.“ Quelle: SlideShare Das Konzept des Daten-Safe in Logineo NRW geht davon aus, dass zur Bearbeitung, welche auch eine Anzeige einschließt, keine Speicherung auf dem Endgerät erforderlich ist. Es wird in älteren Dokumenten zum Daten-Safe auch von einer virtuellen Umgebung gesprochen. Die sensiblen personenbezogenen Daten befinden sich nur vorübergehend im Browser Cache, was nicht mit einer permanenten Speicherung gleichzusetzen ist. 17Diese Einschätzung wird auch von Experten geteilt. Siehe dazu Eßer in Eßer, Kramer, v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling, Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24. Entsprechend ist Logineo NRW gedacht als „Eine Basis-IT-Infrastruktur, als ein geschützter virtueller Arbeitsraum zur rechtskonformen Datenverarbeitung mit einer zentralen Benutzerverwaltung und grundlegenden Modulen zur Kommunikation, Organisation und Recherche für digitale Lernmittel, kann eingeführt werden.18Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule Nr. 1 Satz 3

Während es im Text der VO-DV I um Verarbeitung geht, wird beim Daten-Safe von Bearbeiten und Speichern gesprochen, zwei Formen der Verarbeitung. Damit ergibt sich ein Problem für das Nutzungskonzept des Daten-Safe unter den Vorgaben der VO-DV I zum aktuellen Stand.

Bearbeitet und speichert eine Lehrkraft nicht in Anlage 3 gelistete, sensible personenbezogene Daten von Schülerinnen und Schülern im Daten-Safe von Logineo NRW, verstößt sie – entsprechend der Auslegung des Wortes Verarbeitung durch das MSB – gegen die Vorgaben der VO-DV I.19Es sei denn die oben zitierte im Teil B der Genehmigung enthaltene Vorgabe, dass diese Daten bei Verfügbarkeit ausschließlich im Online-Editor des Daten-Safe von Logineo NRW bearbeitet und gespeichert werden dürfen reicht bereits als Rechtsgrundlage, um eine Ausnahme von der Vorgabe in der VO-DV I zu schaffen.

Verarbeitung – Bearbeiten und Speichern

Der Daten-Safe zielt darauf ab, durch Bereitstellung einer virtuellen Umgebung eine Speicherung und Bearbeitung auf dem Endgerät selbst zu vermeiden. Da aber bereits der Zugriff über den Browser auf nicht in Anlage 3 aufgeführte sensible personenbezogene Daten nach der VO-DV I untersagt ist, da dieser bereits eine Verarbeitung darstellt, kann es also nur eine Lösung geben. Die VO-DV I muss angepasst werden. Es kann dabei nicht ausreichen, einen Erlaubnistatbestand für die Verarbeitung der genannten Daten von einem privaten Endgerät aus über eine in den technischen und organisatorischen Maßnahmen aufgeführte Ausnahme zu legitimieren, wie bisher geschehen. Vor Gericht hätte das im Zweifelsfall vermutlich keinen Bestand. Wäre Logineo NRW im ersten Anlauf, vor dem Zwangsstop, in Betrieb genommen worden, wäre die Nutzung zumindest in Teilen wider die Vorgaben der VO-DV I erfolgt. Interessant, dass keinem der Beteiligten dieses Problem in der Vergangenheit aufgefallen ist.

Zur Zeit befindet sich die VO-DV I in der Überarbeitung. Man darf gespannt sein, ob die „neue“ Version dieses Problem löst.

Die aktuell gültige Version von Anlage 3 VO-DV I (03/2019)

Alles Wortklauberei, möchte mancher jetzt vielleicht sagen. Leider nein, denn mitunter kommt es auf die Wahl des Wortes an.

 

 

 

 

Schule und Schulträger – Verantwortung beim Datenschutz

Lesezeit: 4 Minuten

Das Verhältnis von Schule und Schulträger ist nicht immer einfach. Oft ist man beim Schulträger der Meinung, wo das Geld ist, wird entschieden. Das betrifft die IT Ausstattung, von der Hardware bis zur Software. Schulträger entscheiden in vielen Bereichen und immer wieder über Schule anstatt mit Schule. Verwaltung und pädagogisches Netz werden mal eben mit Office 365 ausgestattet, die Kameras in iPads werden deaktiviert, die Nutzung bestimmter Internet-Dienste gesperrt, Dienstleister mit Support und Administration beauftragt und Schule hat das zu nehmen wie es ist. Kann ein Schulträger das mal eben alles so entscheiden?

Grundsätzlich sollten Entscheidungen, die eine Schule betreffen immer im Einvernehmen zwischen Schulträger und Schule getroffen werden.

Manchmal ist es für beide Seiten hilfreich, wenn man sich die rechtlichen Grundlagen vor Augen führt.

Schulträger als Sachaufwandsträger

Nach §79 SchulG NRW20§ 79 Bereitstellung und Unterhaltung der Schulanlage und Schulgebäude Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen. sind Schulträger als Aufwandsträger für die sächliche Ausstattung verantwortlich. Allerdings ist die  Schule gemäß §76 SchulG NRW vom Schulträger bei Entscheidungen zu beteiligen21Die Schule ist vom Schulträger in den für sie bedeutsamen Angelegenheiten rechtzeitig zu beteiligen. Hierzu gehören insbesondere […] 4. räumliche Unterbringung und Ausstattung der Schule sowie schulische Baumaßnahmen,.

Schule und innere Angelegenheiten

Anders als bei den äußeren Angelegenheiten ist die Schule in Bezug auf die inneren Angelegenheiten nach §3 SchulG NRW eigenverantwortlich22verwaltet und organisiert ihre inneren Angelegenheiten selbstständig. Unter die inneren Angelegenheiten fällt auch die Verarbeitung von personenbezogenen Daten. Entsprechend liegt die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben des Schulgesetzes nach §1 Abs. 3 VO-DV I bei der Schulleitung.

„(3) Für die Schule stellt die Schulleiterin oder der Schulleiter, […] durch technische oder organisatorische Maßnahmen sicher, dass der Schutz der verarbeiteten Daten gemäß § 10 DSG NRW gewährleistet ist und die Löschungsbestimmungen eingehalten werden.“

Das bedeutet, die Schule ist bei sämtlicher Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Erziehungsberechtigten, soweit sie innere Angelegenheiten betreffen, Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO.

Verhältnisse klarstellen

Wenn ein Schulträger, egal ob es das Schulamt ist, der kommunale oder städtische Datenschutzbeauftragte, die IT Abteilung im Rathaus oder ein vom Schulträger beauftragter IT Dienstleister, mit Vorgaben, Anordnungen, Konfigurationen schulischer Soft- und Hardware oder Verboten in Prozesse der Datenverarbeitung in Schule eingreift, dann ist dieses sicherlich in den meisten Fällen wohlwollend gemeint, überschreitet jedoch eindeutig die rechtlichen Zuständigkeiten dieser Stellen. Genau genommen können derartige Eingriffe in die datenschutzrechtlichen Angelegenheiten einer Schule sogar als Verstöße gegen geltendes Datenschutzrecht, vom Schulrecht über Landes- und Bundesdatenschutzgesetzgebung bis zur Europäischen Datenschutz Grundverordnung bewertet werden. Schulen sind in Bezug auf das Datenschutzrecht einzig ihren vorgesetzten Dienststellen, sofern diesbezüglich weisungsberechtigt, und der zuständigen Aufsichtsbehörde gegenüber weisungsgebunden.

Schulträgern und den Personen, Stellen und Dienstleistern, welche für sie tätig sind, ist dieser Sachverhalt oftmals nicht einmal klar.

Es gibt für Schulen hier einen einfachen Weg, um Abhilfe zu schaffen, ein Weg, mit dem eine Schule in den meisten Fällen auch einer datenschutzrechtlichen Pflicht nachkommt. Nach §2 Abs. 3 VO-DV I gilt:

„(3) Die Schulen […] sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule […] und ausschließlich für deren Zwecke.“

In der Mehrheit aller Schulen ist der Schulträger mittels seiner eigenen IT Abteilung oder durch einen beauftragten IT Dienstleister mit Support und administrativen Aufgaben für die schulische IT beauftragt.

Immer wenn dabei auch ein Zugriff auf personenbezogene Daten aus der Schule erforderlich oder möglich ist, muss nach Art. 28 Nr. 3 DS-GVO ein Vertrag zur Auftragsverarbeitung geschlossen werden. In diesem sind die Zuständigkeiten zwischen dem Verantwortlichen, hier der Schule als Auftraggeber, und dem Auftragnehmer (Auftragsverarbeiter), eindeutig geregelt. Dazu gehört, dass der Auftragnehmer gegenüber dem Auftraggeber weisungsgebunden ist. Selbiges gilt auch, wenn schulische IT aus dem Schulgebäude ausgelagert betrieben wird. Das ist beispielsweise der Fall, wenn ein Schulverwaltungsprogramm wie SchiLD NRW zentral auf einem Server des Schulträgers oder beauftragten IT Dienstleisters betrieben wird.

Handlungsempfehlung

Letztlich geht es also nur darum, dem Schulträger deutlich zu machen, dass eine Schule bzw. eine Schulleitung ihrer datenschutzrechtlichen Verantwortung nur gerecht werden kann, wenn der Schulträger Eingriffe in die Schulische IT, sofern sie Datenverarbeitungsprozesse oder die technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten betreffen, in Abstimmung mit der Schule vornimmt.23Das gilt natürlich auch in die umgekehrte Richtung, wie die Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule unter 11.6 deutlich macht „Die Schulleiterin oder der Schulleiter hat im Einvernehmen mit dem Schulträger durch organisatorische Maßnahmen den Datenschutz sicherzustellen.

Schulträger verstehen dieses oft besser, wenn man den verantwortlichen Personen vor Augen führt, dass sich datenschutzrechtlich auch die kommunale bzw. städtische Verwaltung in einer vergleichbaren Situation befindet. Auch dort würde man keine Einmischung oder Bevormundung durch externe Stellen oder Personen zulassen (dürfen).

Mit einem zusätzlichen Hinweis auf die Vorgaben aus der Schulgesetzgebung und dem Abschluss der erforderlichen Verträge zur Auftragsverarbeitung sollte dann für alle Beteiligten klar sein, wie es mit der rechtlichen Stellung und den daraus resultierenden Verantwortlichkeiten im Verhältnis von Schule und Schulträger bestellt ist. Verantwortliche aus kommunaler bzw. städtischer Verwaltung verstehen die Sprache von Gesetzen und Verordnungen aus ihrem Berufsalltag sehr gut und bringen, wenn sie um die rechtlichen Verhältnisse wissen, auch mehr Verständnis für die Zuständigkeiten  für schulinterne Datenverarbeitungsprozesse auf.

Auf dieser Basis, sollte eine vertrauensvolle Zusammenarbeit von beiden Seiten aus gut möglich sein. Eine Schule kann auf dieser Grundlage dann auch besser argumentieren, wenn der Schulträger

  • eine Software, die seit Jahren essentiell für interne Abläufe ist, nicht mehr unterstützen möchte und keine Alternative bietet,
  • die Schulverwaltung von einem Server in der Schule auf einen Server im Rathaus umstellen will,
  • Verarbeitungsprozesse an einen Dienstleister auslagern will,
  • für alle sicheren, schuleigenen USB Sticks der Lehrkräfte ein einziges Passwort vorschreibt,
  • alle Schulen auf ein einheitliches Schulverwaltungsprogramm umstellen möchte,
  • im Internetzugang der Schule Ports gesperrt werden, die zur Nutzung eines Online-Angebotes, erforderlich sind,
  • die Kameras in iPads deaktiviert werden,
  • die Mitarbeiter des IT Dienstleisters mitten im Schulbetrieb für Wartungszwecke das schulische Netzwerk lahmlegen,
  • man für die sichere Aufbewahrung von Datenträgern und Festplatten zur Sicherung von Daten nach Jahren noch immer keinen (feuersicheren) Safe erhalten hat,

und dabei die entscheidet als hätte die Schule hier nichts zu sagen.

 

In Sachen Datenverarbeitung ist der Schulträger somit Auftragsverarbeiter und gegenüber der Schule weisungsgebunden. Das bedeutet:

  • Ohne entsprechende Verträge zur Auftragsverarbeitung geht gar nichts.

Datenschutzverstöße und mögliche rechtliche Folgen für eine Schule

Lesezeit: 1 Minute

Es wird immer wieder gefragt, welche rechtlichen Folgen es haben kann, wenn es in der Schule zu einem Datenschutzverstoß kommt oder Vorgaben der DS-GVO bezüglich der Schulhomepage nicht eingehalten wurden. Der Beitrag Mögliche rechtliche Folgen eines Datenschutzverstoß für Schulen schaut deshalb auf die rechtlichen Möglichkeiten, welche für die Aufsichtsbehörde und die Betroffenen bestehen. Wie man dabei sieht, wird die Aufsichtsbehörde kein Bußgeld gegen eine Schule in öffentlicher Trägerschaft verhängen. Das bedeutet aber nicht, dass in der Schule tätige Personen nicht mit rechtlichen Konsequenzen rechnen müssen, vor allem wenn sie vorsätzlich gehandelt haben. Aber auch Unwissenheit schützt vor Strafe nicht und so können auch aus Nichtwissen oder Nachlässigkeit begangene Verstöße gegen das Datenschutzrecht durchaus rechtliche Konsequenzen nach sich ziehen, wenn den Betroffenen ein Schaden hierdurch entstanden ist, und dieser kann auch immaterieller Natur sein.

Windows 7 Support endet Anfang 2020

Lesezeit: 1 Minute

In einigen Schulverwaltungen laufen noch immer PCs mit dem Betriebssystem Microsoft Windows 7. Dieses wird demnächst nicht mehr unterstützt. Bei Microsoft heißt es dazu24Ende des Supports für Windows 7:

„Ab dem 14. Januar 2020 stellt Microsoft weder Sicherheitsupdates noch technischen Support für Windows 7 zur Verfügung.“

Ein veraltetes Betriebssystem ist auch ein Datenschutz-Thema. In der Schulverwaltung werden personenbezogene Daten von Schülerinnen und Schülern, von Eltern und Lehrkräften verarbeitet, darunter auch sehr sensible Daten. Eine Verarbeitung von personenbezogenen Daten setzt nach §2 Abs. 1 SchulG NRW25(1) Die automatisierte Verarbeitung der personenbezogenen Daten ist zulässig auf ADV-Arbeitsplätzen und in Netzwerken, die für Verwaltungszwecke eingerichtet sind, auf sonstigen schulischen ADV-Anlagen und in sonstigen Netzwerken, wenn jeweils über die Konfiguration die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und
Transparenz gemäß § 10 des Datenschutzgesetzes Nordrhein-Westfalen
gewährleistet sind.
26Eine vergleichbare Vorgabe zu technischen und organisatorischen Maßnahmen findet sich in Art. 32 DS-GVO. voraus, dass durch geeignete technische und organisatorische Maßnahmen der Schutz und die Sicherheit dieser Daten gewährleistet ist.

Mit Windows 7 wird dieses nach dem 14. Januar 2020 nicht mehr möglich sein.27Ausnahme: der Schulträger bezahlt Microsoft für weitere Sicherheitsupdates und technischen Support. Dann ließe sich eine Nutzung unter Einhaltung der Vorgaben des Schulgesetzes NRW und der DS-GVO noch bis 2023 vertreten. Es reicht auch nicht, sich hier auf einen guten Virenschutz zu verlassen. Sobald ein Betriebssystem keine Sicherheitsupdates mehr erhält, steigt mit jedem neu entdeckten Sicherheitsleck das Risiko, dass Dritte ohne Berechtigung Zugriff auf die Daten der Schule erhalten, diese entwenden, verändern oder zerstören können.

Von daher ist es Schulen dringend zu empfehlen, sich mit dem Schulträger in Verbindung zu setzen und das Upgrade auf eine neuere Version des Betriebssystems, bei den meisten Schulen vermutlich Windows 10, frühzeitig zu planen, so dass dieses spätestens in den Weihnachtsferien zum Ende diesen Jahres in Angriff genommen werden kann.28System Administratoren sollten hierbei bedenken, Windows 10 durch entsprechende Maßnahmen ausreichend zu härten, um die Sicherheit des Systems zu erhöhen. Siehe hierzu SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 des BSI

Weitere Informationen: Ende des Supports für Windows 7

 

Datenschutz – ein Quiz mit Kahoot für Fortbildungen

Lesezeit: 1 Minute

Für Fortbildungen von Lehrkräften und zur Sensibilisierung für datenschutzrechtliche Fragen im Schulalltag gibt es nun ein Kahoot Quiz mit 25 Fragen.

Ergänzend dazu gibt es zu jeder Frage Erläuterungen mit den rechtlichen Hintergründen, bezogen auf die Rechtslage in NRW. Der Quiz kann auch in anderen Bundesländern genutzt werden, da die Rechtslage überwiegend ähnlich ist. Die Erläuterungen als PDF und in anpassbaren Versionen.

Sollte sich die Rechtslage durch Anpassungen des Schulgesetzes oder der Verordnungen zur Datenverarbeitung ändern, werden Quiz und Erläuterungen aktualisiert.

 

Datenschutzbeauftragter des Schulträgers weisungsberechtigt gegenüber Schule?

Lesezeit: 2 Minuten

In einer nordrhein-westfälischen Kommune hat der Datenschutzbeauftragte des Schulträgers die Kommunikation zwischen Lehrern und Schülern mittels WhatsApp an allen städtischen Schulen untersagt. Dass schulische Kommunikation mittels WhatsApp ein Datenschutzthema ist, ist keine Frage.  Inwieweit jedoch der Datenschutzbeauftragte des Schulträgers den Schulen gegenüber weisungsberechtigt ist, steht auf einem anderen Blatt. Im Alltag hört man immer wieder, dass es solche Verbote oder Weisungen von dieser Seite gibt. Wie ist damit umzugehen? Ist das rechtens?

In Nordrhein-Westfalen gibt das Schulgesetz in §3 Absatz 1 Satz 2 vor, dass die Schule ihre inneren Angelegenheiten selbst verwaltet29„Sie verwaltet und organisiert ihre inneren Angelegenheiten selbstständig.“ es gibt zwar einen Passus im Schulgesetz, welcher Schulen dazu verpflichtet, den Anordnungen des Schulträgers zu folgen,30„Die Anordnungen des Schulträgers in seinem Aufgabenbereich sind für die Schulleiterin oder den Schulleiter verbindlich.“ §59 Abs. 11 Satz 2  doch gilt dieses nur, soweit es den Aufgabenbereich des Schulträgers betrifft. Und zu diesen gehören nicht die inneren Angelegenheiten der Schule. Soweit es den Bereich digitale Medien betrifft, ist der Schulträger nach §79 SchulG NRW verpflichtet, für eine angemessene Sachausstattung zu sorgen.31„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ Aus schulrechtlicher Sicht liegt in der Schule die datenschutzrechtliche Verantwortung bei der Schulleitung. Die ADO führt hierzu in §26 Abs. 5 Satz 2 aus:

„Sie oder er ist für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich (§ 1 Absatz 3 VO-DV I – BASS 10-44 Nr. 2.1, § 1 Absatz 5 VO-DV II – BASS 10-41 Nr. 6.1).“

Das ist sehr eindeutig. Wenn es um Vorgaben oder Verbote bezüglich des Datenschutzes geht, dann können diese nur von Seiten des Schulministeriums kommen oder einer untergeordneten Behörde mit entsprechenden rechtlichen Weisungsbefugnissen, nicht jedoch vom Datenschutzbeauftragten des Schulträgers.

Wie sieht es mit den behördlich bestellten schulischen Datenschutzbeauftragten aus?

Im Grunde genommen sieht es nicht anders aus. Auch die vom Schulträger bestellten Datenschutzbeauftragten für die Schulen der Kommune haben keine Weisungsbefugnis gegenüber den Schulen in ihrem Zuständigkeitsbereich. In der VO-DV I §1 Abs. 3 Satz 2 heißt es:

„Die Zuständigkeit der gemäß § 1 Abs. 6 VO-DV II bestellten behördlichen Datenschutzbeauftragten (§ 32 a DSG NRW) besteht auch für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften in Bezug auf die Daten der Schülerinnen, Schüler und Eltern.“

In der Art. 39 DS-GVO sind die Aufgaben eines Datenschutzbeauftragten klar definiert. Dazu gehören unter anderem Unterrichtung und Beratung, Überwachung der Einhaltung der DS-GVO,  Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen, Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung und Zusammenarbeit mit der Aufsichtsbehörde.  Auch Art. 38 DS-GVO, bei dem es um die Stellung des Datenschutzbeauftragten geht, ist keine Rede davon, dass dieser eine Weisungsbefugnis hat.

Fazit

Datenverarbeitung in der Schule, und dazu gehört auch welche digitalen Medien Schüler und Lehrer zur Kommunikation nutzen, liegt zuallererst in der Verantwortung der Schulleitung. Das jeweilige Schulministerium und die Schulaufsichten können im Rahmen der ihnen zur Verfügung stehenden Rechtsmittel (Erlasse, Verordnungen, Dienstanweisungen, …) Schulen datenschutzrechtliche Vorgaben machen, für deren Einhaltung dann die Schulleitung verantwortlich ist. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Einhaltung datenschutzrechtlicher Vorgaben überprüfen, sind jedoch ohne jegliche Weisungsbefugnis gegenüber den Schulen. Datenschutzbeauftragte des Schulträgers, welche für die kommunale Verwaltung zuständig sind, haben in Bezug auf die Schulen keinerlei Zuständigkeit. Entsprechend sind auch Schulträger selbst oder deren kommunale IT-Dienstleister nicht berechtigt, Schulen irgendwelche datenschutzrechtlichen Vorschriften zu machen.

Schulleitungen und Schulträger sind gehalten, einvernehmlich zusammenzuarbeiten. Dazu gehört jedoch keine datenschutzrechtliche Bevormundung durch Personen oder Stellen auf Seiten des Schulträgers, die dazu keinerlei rechtliche Befugnis haben. Es kann auch nicht sein, dass hier eine Seite durch die Hoheit über die Zuweisung finanzieller Mittel versucht, eine Machtbefugnis zu erlangen, die ihr nicht zusteht.

Was tun wenn das Gerät mit Zugang zum digitalen Klassenbuch verschwunden ist?

Lesezeit: 1 Minute

Zum Glück ist nichts passiert, doch wie ein Fall bei Hannover zeigt, kann es heikel werden, wenn das Smartphone mit Zugang zum digitalen Klassenbuch und Zeugnissen von Schülern einer Lehrkraft abhanden kommt.

Eine Lehrerin deponierte dort ihren „Rucksack mit allerlei Wertsachen und einem Handy darin, welches ihr den Zugriff auf sensible Daten wie das digitale Klassenbuch und die Zeugnisse ihrer Schüler sichert“32Quelle: http://www.haz.de/Umland/Burgdorf/Burgdorf-Angeblicher-Diebstahl-in-Fitnessstudio-in-Burgdorf-Schusseligkeit-loest-Polizeieinsatz-aus im Spind im Fitnesstudio. Sie glaubte zunächst der Rucksack samt Inhalt sei gestohlen worden. Wie sich später herausstellte, hatte sie ihn nur in einen anderen Spind gepackt.

Der Fall zeigt aber mehr als deutlich, wo für Lehrkräfte Gefahren lauern können, wenn sie personenbezogene Daten aus der Schule auf einem mobilen privaten Endgerät verarbeiten.

  1. Geräte, über welche personenbezogenen Daten aus der Schule verarbeitet werden, egal ob es Privatgeräte sind oder Dienstgeräte, müssen sicher aufbewahrt werden. Das gilt für die Aufbewahrung in der Schule, zu Hause und vor allem außer Hauses. 33Ein Spind in einem Fitnessstudio zählt sicher nicht zu den Orten, wo man ein solches Gerät aufbewahren sollte.
  2. Geräte, über welche personenbezogene Daten aus der Schule verarbeitet werden, müssen durch technische Maßnahmen gesichert werden. Dazu gehört ein sicherer Zugangsschutz. Bei einem Smartphone könnte das etwa ein Sicherheitscode, der aus mehr als vier Zahlen besteht, sein. Auch die für die Verarbeitung von personenbezogenen Daten aus der Schule genutzten Apps oder Programme müssen durch einen Zugangsschutz gesichert werden. Erfolgt der Zugriff auf ein digitales Klassenbuch oder die Zeugnisverwaltung über den Browser, so dürfen die Zugangsdaten nicht im Browser gespeichert werden.

Sollte es tatsächlich einmal zu einem Verlust kommen, muss die Schule bzw. ein Verantwortlicher umgehend informiert werden, um z.B. im Falle eines Online Zugangs zum digitalen Klassenbuch den Zugang der Lehrkraft sofort zu sperren oder die Zugangsdaten zu ändern. Das sollte auch erfolgen, wenn das Gerät und die Zugänge im Gerät gut gesichert sind.