Braucht es für externe Mitarbeiter eine andere Einwilligung?

Lesezeit: 2 Minuten

Eine Schule möchte ein Jahrbuch herausgeben und darin auch Fotos der Sekretärinnen, der Hausmeister und von Mitarbeitern eines kommunalen IT Dienstleisters, der die Schul IT betreut, veröffentlichen. Die folgende Frage kam dabei auf:

„Die zuständige Kollegin des Jahrbuch-Teams fragte daher nun nach einer Datenschutzerklärung speziell für die Mitarbeiter des Schulträgers. Gibt es hier eine Datenschutzerklärung vom Kreis, die wir zu diesem Zweck verwenden können?“

Das Jahrbuch wird von der Schule erstellt. Sie ist also die datenverarbeitende Stelle und damit Verantwortlicher. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten wird immer gegenüber dem Verantwortlichen abgegeben. Von daher nutzen alle Personen, welche in das Jahrbuch aufgenommen werden eine Einwilligung der Schule. Der Schulträger, welcher Dienstherr der Mitarbeiter im Schulsekretariat ist, hat aus datenschutzrechtlicher Sicht mit dieser geplanten Verarbeitung nichts zu tun. Die Informationen bezüglich der geplanten Datenverarbeitung können deshalb auch nicht von ihm kommen, sondern müssen von der Schule vorgelegt werden.

Für ein Jahrbuch werden Fotos der Personen in der Schule benötigt. Wenn beispielsweise von den Schülern bereits Fotos vorliegen, etwa für die Nutzung in der Schulverwaltung, kann man diese Fotos durchaus nutzen, sollte dafür jedoch eine Einwilligung, die für den Zweck der Veröffentlichung in einem Jahrbuch ausgelegt ist, einholen. Falls bereits eine Einwilligung für einen sehr ähnlichen Verarbeitungszweck vorliegt, etwa die Erstellung einer Festschrift, dann braucht es keine gesonderte Einwilligung mehr. Allerdings müssen die Betroffenen über eine Zweckänderung informiert werden.1siehe auch Art. 13 Abs. 3 DS-GVOBeabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.“
Sehr weit ausgelegt, bräuchte man hiernach nicht einmal eine ausdrückliche Einwilligung einholen, auch wenn der Verarbeitungszweck deutlich vom ursprünglichen abweicht, wie am Anfang des Abschnitts beschrieben. Hier muss die Schule letztlich selbst entscheiden, wie man verfährt. Eine Information ist auf jeden Fall erforderlich, und diese sollte vorweg erfolgen.
Dieses würde ihnen dann auch die Möglichkeit eröffnen, der geplanten Zweckänderung zu widersprechen.

In der Regel werden die für die Erstellung des Jahrbuchs benötigten personenbezogene Daten gelöscht, sobald der Verarbeitungszweck erreicht, der Druck des Buches abgeschlossen ist. Davon ausgenommen sind Daten, welche der Schule bereits vorlagen, etwa Name und Klassenzugehörigkeit. Diese Daten werden aus dem Programm gelöscht, mit welchem das Jahrbuch erstellt wurde, nicht jedoch aus der Schulverwaltung. Dort gelten weiterhin die schulrechtlichen Aufbewahrungs- und Löschfristen. Gleiches würde auch für Fotografien gelten, welche die Schule bereits auf der Grundlage einer anderen Einwilligung verarbeitet.

Ein Beispiel für eine anlassbezogene Einwilligung für die Erstellung eines Jahrbuchs:

Lehrer- und Funktionskonten immer mit #2FA sichern

Lesezeit: 6 Minuten

Lehrkräfte haben in Schule immer auch Zugriff auf die personenbezogenen Daten von Schülerinnen und Schülern und deren Erziehungsberechtigten. Für die Arbeit im Verwaltungsbereich und im Unterricht sollten sie zwei verschiedene Konten haben, und diese sollten vor unberechtigtem Zugriff geschützt sein. Oftmals entsprechen aus praktischen Gründen die Anmeldenamen der E-Mail Adresse eines Nutzers, auch wenn aus Datenschutzgründen ein Anmeldename zu empfehlen wäre, welcher sich nicht einfach erraten bzw. ableiten lässt. Die Zugriffssicherheit eines Nutzerkontos ist an vielen Schulen damit bereits an einer Stelle beeinträchtigt. Umso wichtiger ist der Schutz durch ein Geheimnis, das Passwort. Dieses sollte definitiv nicht einfach zu erraten sein. Was aber, wenn der Nutzer das Passwort auf der Umschlagseite im Lehrerkalender notiert, um es immer parat zu haben? Das kommt öfter vor, als man denkt. Schüler können so sehr einfach Passwörter ihrer Lehrkräfte ausspähen. Vor allem bei Plattformen, welche über das Internet erreichbar sind, kann solches Verhalten schnell zum Sicherheitsrisiko werden, wenn der Zugangs ausschließlich durch ein Passwort gesichert wird.

Ein Fall Passwort Diebstahl von November 2018 (im August 2019 in der Presse) zeigt einmal mehr, wie wichtig es ist, sich zum Schutz von Nutzerkonten nicht auf ein Passwort alleine zu verlassen. Im angesprochenen Fall waren an einem Darmstädter Gymnasium Lehrer Passwörter für Office 365 über ein fingiertes E-Mail gestohlen worden. Durch diesen Phishing Angriff waren die Zugangspasswörter von etwa 20 – 30 Lehrkräften in falsche Hände geraten und den Dieben stand der Zugriff auf die Konten und die darin verarbeiteten personenbezogenen Daten offen.

Wie kann eine Schule den Schutz von Lehrer- und Funktionskonten verbessern?

Sichere Passwörter

Zunächst einmal sollten Passwörter selbst sicher sein. Im Fall des Gymnasiums von Darmstadt hätte dieses alleine zwar nicht geholfen, doch trotzdem soll hier kurz darauf eingegangen werden, wie man an der Schule für sichere Passwörter sorgen kann.

Vorgabe von Passwortrichtlinien

Passwörter sollten eine durch das System bzw. die Plattform oder das Programm vorgegebene Komplexität haben. Sie müssen deshalb trotzdem nicht schwierig zu merken sein. Über eine Vorgabe zum Aufbau von Passwörtern in Form einer Passwortrichtlinie lässt sich verbindlich regeln, wie lang ein Passwort mindest sein muss und welche Art von Zeichen enthalten sein müssen. In größeren Plattformen lassen sich diese Vorgaben als Passwortrichtlinien definieren. Die Plattform vergleicht vom Nutzer angelegte Passwörter anhand dieser Richtlinie und weist Passwörter, welche der Richtlinie nicht entsprechen, zurück.2Siehe hierzu auch die Empfehlungen des BSI zum Thema Passwörter. Eine Passwortrichtlinie sollte auch vorgeben, dass ein Passwort nie für mehr als eine Anwendung oder Plattform genutzt werden darf.

Kontrolle der Passwortkomplexität

Einige Plattformen erlauben es, die Komplexität von Passwörtern durch einen Administrator überprüfen zu lassen. Hierzu werden vom System Passwörter hervorgehoben, welche zwar der Richtlinie entsprechen, dabei aber nur eine geringe Komplexität haben. Die eigentlichen Passwörter werden dabei, um den Schutz der personenbezogenen Daten des Nutzers zu wahren, nicht angezeigt, sondern nur das Ergebnis aus der Bewertung mittels eines Algorithmus. Ermittelt der Administrator ein schwaches Passwort, kann er über das System den Nutzer zum Erstellen eines neuen Passwortes beim nächsten Anmelden auffordern.

Nutzung eines Passwortmanagers

Eine einfache Möglichkeit, sehr komplexe Passwörter zu erstellen, die man sich nicht merken muss, sind sogenannte Passwortmanager. Darunter versteht man Anwendungen, welche die Login Informationen geschützt aufbewahren. Viele dieser Anwendungen nehmen weitere wichtige Informationen auf, die vor fremdem Zugriff geschützt werden sollen. Funktionsreiche Passwortmanager erlauben eine Nutzung von verschiedenen Endgeräten aus. Der Passwortsafe der Anwendung liegt dazu entweder in einer Cloud des Anbieters oder einem anderen über das Internet zugänglichen Speicher. Geschützt wird der Passwortsafe durch ein Masterpasswort. An Geräten mit Fingerabdrucksensor kann der Zugriff auf den Passwortsafe auch damit zusätzlich geschützt werden. Neben dem Erstellen von sicheren Passwörtern erlauben viele Passwortmanager auch das automatische Ausfüllen von Login Informationen beim Besuch von Webseiten oder Öffnen von Apps, die einen Login bzw. Entsperren erfordern. Auch Browser enthalten (einfache) Passwortmanager und bieten so beim Erstellen neuer Logins eine Speicherung zum bequemen Login an. Von der Nutzung der in Browser integrierten Passwortmanager wird generell abgeraten, zumindest wenn es um die Speicherung der Zugangsdaten von Websiten mit persönlichen Daten geht.

So gut und nützlich Passwortmanager auch sind, sie haben einen Schwachpunkt, das Masterpasswort. Dieses muss deshalb sehr komplex sein und besonders gut geschützt werden.3Bei Programmen, welche eine Sicherung des Passwortsafes über ein biometrisches Datum wie einen Fingerabdruck zulassen, kann das Masterpasswort so komplex gestaltet werden, dass es nur schwierig auswendig zu lernen ist. Man kann es dann in einem Safe auf Papier hinterlegen. Achtung! Viele Passwortmanager fordern das Masterpasswort nach einem Neustart des Programms oder Endgerätes an, bevor die Nutzung etwa des Fingerabdrucks wieder aktiviert wird. Das kann im Unterricht dann zum Problem werden, wenn man dann das Masterpasswort nicht zur Hand hat.

Zwei-Faktor-Authentifizierung (2FA)

Das beste Passwort schützt in dem Moment nicht mehr, wo es in fremde Hände fällt. Eine weitere Möglichkeit, den Zugriff auf sensible Daten zu schützen, ist die Absicherung mit einem zweiten Geheimnis. Man spricht hier von einer Authentifizierung mit zwei Faktoren, wobei der erste Faktor das eigentliche Passwort ist, man zum Login erstellt hat. Teilweise wird diese Art der Absicherung eines Logins auch als two-step verification (2-Schritt Verifizierung) bezeichnet. Der zusätzliche Schutz der 2FA besteht nicht alleine im zweiten Faktor bzw. Schritt, sondern auch darin, dass keine Notwendigkeit besteht, sich ein weiteres Passwort zu merken. Es gibt auch kein Passwort, welches Fremde ausspähen können.4Im Prinzip ist es durchaus möglich, bei einigen Verfahren  der Erzeugung bzw. Übermittlung des zweiten Schlüssels, diesen abzufangen und zu missbrauchen. Dieses ist jedoch technisch aufwändig und im Bereich Schule eher unwahrscheinlich. TAN Listen würden ebenfalls in die Kategorie der 2FA fallen und diese könnten ausgespäht werden. Sie sind mittlerweile aber kaum noch zu finden und kommen in schulischen Anwendungen nicht zum Einsatz. Ein weit verbreitetes Verfahren für 2FA ist die Erzeugung eines Passwortes bzw. Schlüssels für jeden neuen Login als ein Einmal-Passwort (engl. one-time password, OTP). Da das Thema 2FA sehr komplex ist und verschiedene Verfahren kennt, sollen hier nur die gängigsten für den schulischen Einsatz relevanten Verfahren kurz beschrieben werden.

OTP Token

OTP Token gibt es von verschiedenen Herstellern. Sie kosten etwa ab 12 € aufwärts, wenn sie in größeren Stückzahlen abgenommen werden. Die Token haben eine Schlüsselnummer, welche bei der Anwendung oder Plattform zunächst im Konto des Benutzers registriert werden muss. Ab dem Zeitpunkt, wo 2FA aktiviert ist, wird beim Login nach korrekter Eingabe des Passwortes ein OTP abgefragt. Dieses wird auf Knopfdruck vom Token erzeugt und muss händisch eingegeben werden, um den Login abzuschließen.

Bildquelle: Wikipedia, Mateusz Adamowski, CC BY 1.0
Authenticator App

Die Erzeugung eines Einmal-Passwortes für 2FA ist auch über sogenannte Authenticator Apps möglich. Ein Beispiel dafür ist die App Google Authenticator. Auch wenn diese App von Google zur Verfügung gestellt wird, kann sie einmalige Passwörter für verschiedene Anwendungen und Plattformen liefern. Wie ein OTP Token muss die Authenticator App dazu zunächst mit dem Nutzerkonto gekoppelt werden. Im Zuge der Registrierung erhält die App von der Plattform einen geheimen Schlüssel, den sie sicher speichert. Die Übermittlung kann z.B. per SMS erfolgen oder über einen QR Code. Nach erfolgreicher Registrierung der App an der Plattform, ist der Zugang durch 2FA gesichert. Nach dem Login mit dem Passwort, wird das OTP abgefragt. Das App wird am Smartphone gestartet und ein Passwort erzeugt, welches dann händisch eingegeben wird, z.B. am Computer. Die Eingabe muss innerhalb eines vorgegebenen Zeitfensters erfolgen, da die erzeugten Passwörter  zur Sicherheit einen Zeitcode mitbekommen und nur begrenzte Gültigkeit haben.

Security Key

Die sogenannten Security Keys, im Bild von französischen Hersteller Yubico und von Google, müssen ebenfalls an der Plattform im Nutzerkonto registriert werden. Die Nutzung setzt hier eine physikalische Verbindung zwischen dem Key und dem Endgerät voraus, über USB, Bluetooth oder NFC. Je nach Verfahren werden die Kopfdruck oder bei Berühren des Keys erzeugt und direkt an die  Plattform übertragen. Auch bei diesen Verfahren ist die Gültigkeit der einmalig erzeugten Passwörter in der Regel zeitlich begrenzt.

Flickr, Tony Webster, CC-BY 2.0.

 

SMS und andere

Auch SMS  werden für 2FA Verfahren genutzt. Im schulischen Bereich dürfte dieses Verfahren jedoch eher nicht zu finden sein. Bei diesem Verfahren muss zunächst die Mobilnummer im Nutzerkonto der Plattform registriert werden. Gleiches dürfte für Verfahren gelten, die mittels App und von der Plattform angezeigtem QR Code arbeiten oder mit Kartenlesern und Scheckkarten.

2FA in Abhängigkeit von Plattform & Endgerät!

Will man die Zugänge von Lehrkräften durch 2FA besser sichern, sollte man vorher genau recherchieren, welches Verfahren die Plattform, um die es geht, unterstützt. Neben OTP gibt es beispielsweise auch noch U2F (Universal 2 Factor Authentication). Nicht jeder Anbieter hat die Nutzung von allen Formen von 2FA implementiert. Je nach Anbieter kann sich auch das Verfahren der Registrierung des Mediums unterscheiden, welches den 2. Schlüssel erzeugt. Setzt dieses etwa das Einlesen eines QR Codes voraus, scheiden Geräte ohne Kamera aus. Und nicht jede der oben vorgestellten Möglichkeiten unterstützt jedes 2FA Verfahren. So sind einige Security Keys in der Lage OTP zu erstellen, andere nicht. Die meisten Anbieter empfehlen bestimmte Hardware oder Apps für eine 2FA an ihrer Plattform. Daran sollte man sich orientieren. Zu berücksichtigen ist unter Umständen auch die Hardware der eingesetzten Endgeräte, also PC, Laptops, Tablets usw.. Welche Schnittstellen sind vorhanden? Gibt es USB oder USB-C Anschlüsse? Sind diese Anschlüsse aktiviert oder gesperrt?

Sicherheit geht vor Bequemlichkeit

Auch wenn die Nutzung von 2FA Verfahren zusätzlichen Aufwand für den Nutzer bedeutet, so sollte die Sicherheit eindeutig vorgehen. Wie Fälle aus der Vergangenheit und der Fall des Darmstädter Gymnasiums zeigen, sind auch sichere Passwörter keine Garantie für einen verlässlichen Schutz von Zugängen. Gelangen Passwörter durch die Unachtsamkeit oder Diebstahl in fremde Hände, können Dritte personenbezogene Daten auslesen, löschen, manipulieren oder gar veröffentlichen. Immer wenn es um Zugänge geht, bei denen sensiblere personenbezogene Daten verarbeitet werden, sollten die Konten von Lehrkräften und Funktionsträgern durch 2FA zusätzlich geschützt werden. Bei einem LMS, einem Schulserver oder einer Plattform wie Office 365 oder G Suite for Education muss ein solcher Schutz für Lehrerkonten nicht unbedingt erforderlich sein. Sobald auf der Plattform jedoch auch Leistungsbewertungen verarbeitet werden, sollten die Zugänge der Lehrkräfte zusätzlich abgesichert werden. Auch Plattformen mit Klassenbuchfunktion und der Verwaltung von Fehlstunden brauchen einen zusätzlichen Schutz. Dieser Schutz ist vor allem dann wichtig, wenn über einen Browser zugegriffen werden kann. Apps auf Mobilgeräten müssen meist zusätzlich im Nutzerkonto der Plattform autorisiert werden, so dass hier der Schutz über den Zugangschutz zum Endgerät selbst und ein einfaches Passwort gewährleistet werden muss. Lehrkräfte mit Administrationsrechten sollte für diese Funktion immer ein separates Konto haben und der Zugang dazu sollte zusätzlich über 2FA gesichert werden.

Empfehlung:
Nutzerzugänge von Lehrkräften zu Plattformen, in welchen sensiblere personenbezogene Daten verarbeitet werden, sollten immer mit 2FA gesichert werden.

Maßnahmen zum Schutz von Zugängen sollten im Sicherheitskonzept der Schule dokumentiert sein. Siehe dazu auch Sicherheitskonzept.

Stand 08/2019

Schulen sollten ein Sicherheitskonzept haben und umsetzen

Lesezeit: 3 Minuten

In den Schulferien gelang es Unbekannten aus einem Gymnasiums im niedersächsischen Gehrden Computer zu entwenden. Nach einem Bericht der Hannoverschen Allgemeinen Zeitung vom 13.08.2019 waren die Unbekannten in einen Bereich der Schule gelangt, welcher eigentlich nicht für die Öffentlichkeit gedacht ist. Dort konnten sie an zwei Computer gelangen, aus welchen sie die Festplatten ausbauten und mitnahmen. Es wurden so

„Datenträger mit persönlichen Daten von Eltern aus einem besonders gesicherten Bereich gestohlen.“

Dieser Beschreibung nach wird es sich bei den Rechnern um Verwaltungsrechner gehandelt haben, die entweder in der Verwaltung selbst oder in einem Serverraum standen.

Vielleicht wäre der Vorfall in der Schulzeit nicht möglich gewesen. In den Ferien, wenn Handwerker im Schulgebäude sind, die IT Techniker in verschiedenen Räumen arbeiten und Reinigungskräfte die Klassenräume für das neue Schuljahr vorbereiten, stehen schon einmal Türen auf, die sonst verschlossen gehalten werden. Ob hier Täter einen Plan hatten und ihre Chance abgepasst haben oder ob es einfach eine Tat aus dem Zufall heraus war, ist schwer zu sagen, letztlich aber auch nicht entscheidend. Wesentlich wichtiger ist, dass hier das Sicherheitskonzept der Schule, falls ein solches vorlag, nicht umgesetzt wurde. Aus dem Beitrag, soweit er außerhalb des Abo Bereichs einzusehen war, geht leider auch nicht hervor, ob und wie die Daten geschützt waren. Insgesamt macht der Vorfall deutlich, dass Schulen vorsorgen müssen durch geeignete technische und organisatorische Maßnahmen, dass

  1. ein solcher Vorfall nicht möglich ist und
  2. dass, falls es doch passiert, der Schaden begrenzt werden kann.

Was sollten Schulen tun?

Technische Maßnahmen

  • Türen zu gesicherten Bereichen sollten sich von außen nicht über einen Türgriff öffnen lassen, sondern nur Knöpfe haben. Sie sollten außerdem mit einem Schließer versehen sein, welcher verhindert, dass die Türe offen steht.
  • Festplatten sollten durch eine Vollverschlüsselung durch das Betriebssystem gesichert sein.
  • Über ein an den Funktionen und Aufgaben der Nutzer orientierten Rollen und Rechte Konzept sollten die Zugriffsmöglichkeiten der verschiedenen Nutzerkonten auf die tatsächlichen Erfordernisse eingegrenzt sein.
  • Programme, mit welchen personenbezogene Daten verarbeitet werden, sollten entsprechend Nutzerkonten mit abgestuften Berechtigungen haben. Außerdem sollte der Zugriff auf diese Programme Passwort geschützt sein.
  • Der Zugriff auf Rechner sollte immer über Nutzerkonten erfolgen und entsprechend Passwort geschützt sein.
  • Rechner mit sensiblen Daten sollten je nachdem, wo sie stehen, eventuell zusätzlich mit einem Diebstahlschutz (z.B. Kensington Schloss) gesichert werden.

Organisatorische Maßnahmen

  • Um Datenverlust im Falle eines Diebstahls oder auch physikalischen Schadens durch Defekt, Malware, Feuer- oder Wasserschadens zu vermeiden, sollten Daten immer an verschiedenen Orten gesichert werden. Eine Sicherung sollte sich außer Hauses befinden und eine Sicherung sollte auch logisch oder physikalisch getrennt vom eigentlichen Datenträger existieren.
  • Lehrkräfte und Mitarbeiter sollten zumindest eine einführende Schulung bezüglich Verhaltensregeln zum Schutz der in Schule verarbeiteten personenbezogenen Daten erhalten. Darüber hinaus sollte es regelmäßige Maßnahmen zur Sensibilisierung geben.
  • Über Dienstanweisungen der Schulleitung und Nutzungsvereinbarungen wird sicheres Verhalten klar vorgegeben.
  • Schulleitungen sollten ihrer Pflicht zur Kontrolle bezüglich der Einhaltung datenschutzrechtlicher Vorgaben regelmäßig nachkommen.
  • Mit Firmen, die im Schulgebäude tätig sind und dabei in Bereiche kommen, wo sie Zugang zu personenbezogenen Daten von Schülern und an der Schule beschäftigten Personen erhalten könnten, egal ob es sich um Räume der Verwaltung, Serverräume, PC Räume oder Klassenräume oder ähnlich handelt, sollten Vertraulichkeitsvereinbarungen getroffen werden. Firmen müssen damit verpflichtet werden, ihre Mitarbeiter entsprechend einzuweisen und ihrerseits zu verpflichten. Dazu würde dann auch gehören, dass Türen zu gesicherten Bereichen innerhalb der Schule nie unbeaufsichtigt offen stehen dürfen.

Was, wenn es doch passiert?

Fehler lassen sich nicht immer verhindern. Schulen sind keine hochgesicherten Rechenzentren und Lehrkräfte und Mitarbeiter der Verwaltung und andere in Schule tätige Personen in der Regel keine IT Spezialisten. Sobald bekannt wird, dass es zu einem unberechtigten Zugriff auf personenbezogene Daten aus der Schule gekommen ist, oder die Möglichkeit dazu besteht, muss die Schule entsprechend Art. 33 DS-GVO die zuständige Aufsichtsbehörde informieren. Das sollte innerhalb von 72 Stunden erfolgen. Außerdem sind die Betroffenen entsprechend Art. 34 DS-GVO in Kenntnis zu setzen.

Je nach Fall der Verletzung des Schutzes von personenbezogenen Daten sind außerdem weitere Maßnahmen einzuleiten.

Weiter lesen zum Thema Technische und organisatorische Maßnahmen (mit einer Vorlage für ein Sicherheitskonzept).


Nachtrag: Wie mittlerweile auf Twitter von Basti Hirsch, zu erfahren war, der den Beitrag in der Zeitung lesen konnte:

Laut HAZ-Artikel handelt es sich Daten zur entgeltlichen Schulbuchausleihe, die fünf Jahre aufbewahrt werden müssen und in der Schule ausreichend geschützt und verschlüsselt wurden. Betroffene wurden informiert, laut Einschätzung des LDA waren die Sicherungsmaßnahmen angemessen.

Die Schule scheint also alles weitestgehend richtig gemacht zu haben und der Schaden ist durch ausreichende Sicherheitsmaßnahmen eingegrenzt.

Ransomware auch für Schulen ein Thema

Lesezeit: 5 Minuten

Schon seit längerer Zeit hört man immer wieder von Fällen, bei denen die IT in Firmen, Krankenhäusern und Verwaltungen durch sogenannte Ransomware lahmgelegt wird. Sehr häufig geschieht dieses, indem Mitarbeiter ein E-Mail öffnen, welches eine Schadsoftware enthält. Diese verschlüsselt zunächst die Dateien auf dem Rechner, auf welchem die Schadsoftware  durch das E-Mail gelandet ist. Danach werden alle mit diesem Rechner verbundenen Festplatten und Rechner, auch Server, ebenfalls verschlüsselt, sofern sie nicht über Schutzmechanismen verfügen. In Folge der Verschlüsselung können Mitarbeiter nicht mehr auf die Daten im System zugreifen. Wenn der Angriff durch die Ransomware nicht rechtzeitig entdeckt wurde und auch die Backups verschlüsselt wurden, besteht auch keine Möglichkeit mehr, die durch Verschlüsselung unzugänglichen Daten aus einem Backup wiederherzustellen. In der Regel stellt die Ransomware unmittelbar eine Lösegeldforderung an die Betroffenen. Oft ist diese in Form der virtuellen Währung Bitcoin zu bezahlen, um die Spuren zu verwischen und die Ermittlung der Täter zu erschweren. Wie man mit Bitcoin bezahlt, erklären die Hacker ihren Opfern mittels Anleitungen, oft sogar in Form eines Videos. Wie hoch die Lösegeldforderungen sind, hängt mitunter davon ab, wie die Hacker ihre Opfer einschätzen. In den USA gab es 2019 Fälle, bei denen die Stadtverwaltungen von Kleinstätten gezwungen waren, ein Lösegeld zu zahlen, da sämtliche Verwaltungsdaten ohne Zahlung verloren gewesen wären. Es ging in diesen Fällen um Zahlungen von etwa eine halben Million Dollar.

Wie jetzt aus dem Beitrag Cyberangriffe auf Schulen gefährden Schülerdaten (Neue Westfälische 31.07.2019) zu erfahren ist, waren auch schon Schulen in NRW in den vergangenen Monaten Opfer von Erpressungen durch Hacker. Eigentlich sollten technische und organisatorische Maßnahmen zum Schutz vor derartigen Angriffen selbstverständlich sein, auch in Schulen. Das ist jedoch, wie der Zeitungsbericht deutlich macht, nicht immer der Fall. An den einzelnen Schulen hängt vieles vom KnowHow vor Ort ab, sowohl beim Schulträger und bei beauftragten IT Dienstleistern, wie auch von den finanziellen Ressourcen und daraus resultierend der Ausstattung schulischer Netzwerke.

Wie können sich Schulen vor Ransomware schützen?

Sowohl die Schulgesetze wie auch die Datenschutzgesetzgebung verpflichtet Schulen als verantwortliche Stellen, für den Schutz und die Sicherheit der in der Schule verarbeiteten personenbezogenen Daten zu sorgen.5Siehe auch VO-DV I
§ 2
Verfahren der automatisierten Datenverarbeitung
(1) Die automatisierte Verarbeitung der personenbezogenen Daten ist zulässig auf ADV-Arbeitsplätzen und in Netzwerken, die für Verwaltungszwecke eingerichtet sind, auf sonstigen schulischen ADV-Anlagen und in
sonstigen Netzwerken, wenn jeweils über die Konfiguration die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und
Transparenz gemäß § 10 des Datenschutzgesetzes Nordrhein-Westfalen
gewährleistet sind.
Dazu gehört nicht nur ein Schutz vor unberechtigten Zugriffen, sondern auch ein Schutz vor Verlust der Daten. Wie in den meisten Fällen, wenn es um den Schutz von (personenbezogenen) Daten geht, gibt es auch hier zwei Teilbereiche, in denen man vorsorgen kann.

Technische Maßnahmen

Zum Schutz vor Ransomware ist auf technischer Seite ein Bündel an Maßnahmen erforderlich.

  • Auf allen schulischen Rechnern sollte ein guter und immer aktueller Virenschutz laufen.
  • Das Betriebssystem sollte aktuell sein und alle Sicherheitsupdates sollten eingespielt sein.
  • Da Virenscanner und Betriebssystem Updates nie einen einhundertprozentigen Schutz garantieren können, sollten von wichtigen Daten sollten regelmäßig Backups angelegt werden. Besonders wichtig ist dabei: diese Backups sollten auf Medien abgelegt werden, die physikalisch vom schulischen Netzwerk getrennt sind. Das kann eine externe Festplatte sein, ein USB Stick, eine DVD oder ein Bandspeicher. Das gilt auch für Sicherungen von Server-Verzeichnissen!6Grundsätzlich sollte es immer auch ein Backup geben, welches außerhalb der Schule gelagert wird, da es neben Ransomware auch das Risiko von physikalischer Zerstörung von Datenspeichern in der Schule geben kann, etwa durch Feuer oder Vandalismus.
  • Bei Windows Systemen, die in Schulen am weitesten verbreitet sind, ist das Remote Desktop Protocol (RDP) auch 2019 noch immer ein wichtiger Angriffsweg für Ransomware, um Rechner im Netzwerk zu infizieren. Aus diesem Grund sollte das Remote Desktop Protocol (RDP) auf Windows Rechnern deaktiviert sein.
  • Um in Schule tätigen Personen das Erkennen von möglicherweise gefährlichen Dateianhängen zu erleichtern, sollte auf Windows Systemen die Erweiterungen (Dateiendungen) bei bekannten Dateitypen nicht ausgeblendet werden (Explorer Einstellung).
  • Eine weitere Schutzmöglichkeit besteht darin, Berechtigungen innerhalb der Verzeichnisse des Netzwerks auf die tatsächlichen Erfordernisse zu beschränken. Nicht jeder in Schule muss Zugriff auf alle Bereiche in der Dateiablage haben. Hat eine Person z.B. Schreibrechte in Bereichen, die für sie nicht relevant sind, und sie wird aktiviert einen Ransomware Trojaner, so kann dieser alle Dateien verschlüsseln, für welche sie Schreibrechte besitzt.
  • Um die Gefahr schädlicher Links zu reduzieren, können in einigen E-Mail Clients Links deaktiviert werden. Für Thunderbird gibt es eine Erweiterung (TORPEDO), welche Links überprüft und auf Phishing Gefahren aufmerksam macht.

Schulleitungen sollten sich hier mit ihremSchulträger oder beauftragten IT Dienstleistern in Verbindung setzen und klären, welche technischen Maßnahmen bereits getroffen wurden, um die schulische IT, vor allem im Bereich der Schulverwaltung, entsprechend zu schützen, und wo eventuell zusätzliche Schutzmaßnahmen erforderlich sind.

Organisatorische Maßnahmen

Ransomware ist vor allem erfolgreich, da an Computern Menschen sitzen, auf welche Hacker es abgesehen haben. Benutzer öffnen schadhafte Anhänge, klicken auf unsichere Links oder laden Schadprogramme herunter und öffnen damit Ransomware Tür und Tor zum Zugriff auf einen Rechner und oftmals auch das schulische Netzwerk oder zumindest Teile davon. Begegnen kann eine Schule diesem nur durch eine Schulung und Sensibilisierung der in Schule tätigen Personen. Wichtige Themen sind hierbei:

Sicherer Umgang mit E-Mails

Vor allem wenn E-Mails Anhänge enthalten oder Links, sollte Vorsicht walten.

    • Ist der Absender unbekannt?
    • Kam das E-Mail unerwartet?
    • Wird im E-Mail darauf gedrängt, einen Anhang schnellstens zu bearbeiten oder einen Link unverzüglich aufzurufen?
    • Enthält das E-Mail ungewöhnliche Fehler in Rechtschreibung und Grammatik?
    • Hat der Anhang eine ungewöhnliche Dateiendung?

Im Zweifelsfall versichert man sich bezüglich der Echtheit des E-Mails mit einem Telefonanruf beim Absender. Anstatt Links in E-Mails direkt aufzurufen, gibt man einen Link besser im Browser von Hand ein oder geht über Lesezeichen, wenn es ein Link ist, der öfter genutzt wird. Je nach E-Mail Programm kann man sich die URL des Links auch anzeigen lassen und nachsehen, ob sie mit dem Text im E-Mail übereinstimmt.

Mittlerweile arbeiten Hacker vielfach sehr zielgerichtet und informieren sich über ihre Opfer.7Aus den USA sind hierzu zahlreiche Beispiele bekannt. Die Organigramme von Schulen und Schulverwaltungen bzw. Kontaktinformationen könnten dabei wertvolle Informationen liefern. Aus ihnen lassen sich nicht nur E-Mail Adressen entnehmen, sondern auch in welchem Verhältnis Personen zueinander stehen. So wäre es für Hacker recht einfach, einer Schulverwaltungskraft eine E-Mail mit der gefälschten E-Mail Adresse der Schulleitung zu senden und einem Anhang, etwa mit der Bitte, das Protokoll dringend noch einmal zu überprüfen. Wer wird da nicht verwundert wissen wollen, was es mit der Bitte auf sich hat. Ob und wann Hacker sich solcher Strategien auch bei Schulen bedienen, ist schwierig abzuschätzen. Trotzdem sollten Mitarbeiter in Schulen über solche und vergleichbare Strategien aufgeklärt werden.

Sicheres Surfen

Eigentlich sollte das ein bekanntes Thema sein, doch nicht jedem ist klar, dass auch auf Websites Ransomware auf Download und Ausführung lauern kann. Deshalb gilt, dubiose Seiten meiden, auch beim Ansteuern von bekannten Seiten immer mal auf die Adresszeile im Browser schauen, ob die URL stimmt und die Verbindung sicher ist.

Installation von Programmen aus unsicheren Quellen

An vielen Schulen ist es nicht gewünscht oder sogar aktiv unterbunden, dass Benutzer Programme eigenständig auf schulischen Rechnern installieren. In Schulen, wo eine Programminstallation möglich ist, sollten Benutzer darauf achten, Programme nur von bekannten, sicheren Quellen herunterzuladen und zu installieren.

Wie reagieren, wenn der Rechner befallen ist?

Sollte es passieren, dass ein Rechner doch von Ransomware infiziert wurde, sollte man diesen Rechner sofort vom Netzwerk abklemmen, wenn möglich, und herunterfahren. Danach müssen die Verantwortlichen informiert werden, so dass ein Fachmann den Schaden eingrenzen und beheben kann.

Ransomware Informations Flyer

Um Mitarbeitern in Schule eine Merkhilfe an die Hand zu geben, gibt es einen Flyer zum Download.8Wer eine bearbeitbare Version für Anpassungen haben möchte, kann diese per E-Mail erfragen.

Download Ransomware Flyer.pdf

NextCloud – Plattform – Datenschutz für Schulen mit Open Source

Lesezeit: 2 Minuten

NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale9300.000 Bedienstete der Bundesverwaltung nutzen die NextCloud statt Dropbox oder Google Drive.. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Westfalen entspricht.10Wer hier mehr Informationen haben möchte, kann mich gerne kontaktieren.  Da ich immer auf der Suche nach guten, datenschutzkonformen Lösungen bin, habe ich den Anbieter bei der Konzeption einer Lösung für Schulen in NRW, die sich ein wenig an Logineo NRW orientiert, in meiner Freizeit beraten. Disclaimer: Meine Beratung erfolgte rein idealistisch. Ich habe keinerlei finanzielle Vorteile von einer Nennung des Anbieters. Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.

Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.11Als Zugabe gibt es noch eine Vorlage für ein Nutzungskonzept Nutzungskonzept für NextCloud – EduDocs.docx Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.

Verpflichtung zur Vertraulichkeit und zum Datenschutz

Lesezeit: 1 Minute

In vielen Schulen übernehmen Lehrkräfte Administrationsaufgaben, sei es im pädagogischen Netz oder in einer durch die Schule genutzten Plattform, egal ob es sich dabei um Office 365 handelt, im Apple School Manager und ein MDM, um Moodle, G Suite for Education, iServ oder eine Nextcloud wie EduDocs.12Die Beispiele sollen deutlich machen, dass es vor allem um Administrationstätigkeiten geht, bei denen personenbezogene Daten in größerem Umfang oder auch sensiblere Informationen verarbeitet werden oder bei denen die dort verarbeiteten Daten Aufschluss über Nutzerverhalten geben. Die Schulleitung muss hier selbst entscheiden, ob sie eine Verpflichtung für notwendig erachtet. Im Zweifelsfall kann eine Verpflichtung nicht schaden. Durch ihre Administrationsrechte erhalten diese Personen die Möglichkeit, auf viele personenbezogene Daten aus der Schule zuzugreifen bzw. diese einzusehen. Selbst wenn die Administrationsrechte nur auf einen Teilbereich beschränkt sind, wie etwa die Nutzerverwaltung, so besteht auch dann immer noch die Möglichkeit, auf möglicherweise sensible personenbezogene Daten Zugriff zu erhalten. Zu den technischen und organisatorischen Maßnahmen nach Art. 5 Abs. 1 lit. f sollte auch eine Verpflichtung zur Vertraulichkeit und zum Datenschutz gehören. Zwar sind Lehrkräfte als Bedienstete des Landes zur Verschwiegenheit verpflichtet, doch trotzdem empfiehlt sich diese Verpflichtung mit einer Belehrung im Vorfeld. Eine Schulleitung stellt so sicher, dass die mit Administrationsaufgaben betraute Person sich im Klaren ist über die mit dieser Rolle einhergehenden Pflichten. Sie kommt so auch ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO 13Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).nach. Zusätzlich stellt diese Verpflichtung eine Gewähr für andere Lehrkräfte an der Schule dar, dass das Kollegiumsmitglied, welches durch seine Administrationstätigkeit nun eine Zugriffsmöglichkeit auf ihre personenbezogenen Daten hat, diese Möglichkeit nicht missbrauchen darf. Der schulische Administrator sollte nach Unterzeichnung der Verpflichtung eine Kopie davon erhalten.

Hinweis: Administratoren des Schulträgers oder von durch diesen beauftragten IT-Dienstleistern werden durch ihre jeweiligen Arbeitgeber entsprechend verpflichtet.

Datenschutz im Klassenraum

Lesezeit: 2 Minuten

Ein guter Hinweis von Corinna Lammert auf Twitter. Viele Schulen fungieren während Wahlen als Wahllokale. Das bedeutet, es kommen viele Menschen in die Klassenzimmer, in welchen die Stimmbezirke ihre Wahlurnen aufgestellt haben. Viele dieser Menschen mögen die Kinder kennen, in deren Klassenraum sie ihre Stimme abgeben. Trotzdem haben sie damit kein Anrecht darauf, Einblick in persönliche Informationen aus der Schule zu nehmen. Selbst Informationen, die harmlos erscheinen, können durchaus mehr über eine Person sagen, als man zunächst vermutet. Ein Foto im Klassenraum der 2a kann einem Nachbarn, der das vielleicht nicht weiß, die Information geben, dass ein Kind eine Klassen wiederholt. Entsprechend fordert Frau Lammert richtig:

„Liebe Wahlämter, informiert doch bitte die Schulen, in denen gewählt wird, über notwendige Maßnahmen zum Datenschutz am Wahltag. Korrigierte Tests und Fotowände mit Namen und Geburtstagen dürfen nicht für alle Wähler*innen am Wahltag einsehbar sein.“

Es kommen natürlich auch andere Personen in den Klassenraum, vom Hausmeister bis zu den Reinigungskräften. Diese Personen werden in der Regel durch ihren Arbeitgeber zur Verschwiegenheit verpflichtet. Möglicherweise sensible Informationen sollten jedoch trotzdem grundsätzlich nicht offen herumliegen, so etwa Tests und Klassenarbeiten, vor allem wenn sie bewertet sind, denn es gibt durchaus auch Situationen, in welchen andere Personen in die Klassenräume kommen, etwa Handwerker.

Auch wenn Lehrkräften im hektischen Alltag in der Schule oft die Zeit fehlt am Ende einer Stunde oder des Schultages, Materialien in Schränke und Schubladen zu verstauen, so sollte man Materialien mit möglicherweise sensiblen Informationen zumindest umdrehen oder abdecken, so dass der Inhalt nicht direkt offensichtlich ist. In der Regel reicht dieses bei vielen Materialien als Schutz in der Klasse oder im Lehrerzimmer bereits aus. Wirklich sensible Informationen hingegen sollten nie offen zugänglich bleiben!

Ein Wahltag kommt selten vor und ein Hinweis vorab wäre in der Tat angebracht, denn nicht jede Lehrkraft weiß, dass ihr Klassenraum als Wahllokal dient, vor allem wenn die Lehrkräfte ortsfremd sind. Fotowände in der Klasse könnte man dann eben mit einem Tuch abhängen.

Weitere Informationen zu technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten in der Schule finden sich unter Technische und organisatorische Maßnahmen.

Datenübermittlung an den Schulträger zur Feststellung des Bedürfnisses?

Lesezeit: 2 Minuten

Ein Schulträger bittet eine Grundschule um die Übermittlung einer Liste mit den Namen der Schüler, den von der Schule ausgesprochenen Empfehlungen (für eine weiterführende Schule) und der tatsächlichen Schulwahl.

Darf bzw. muss die Schule dem Schulträger diese personenbezogenen Daten übermitteln?

Grundsätzlich gilt nach §120 Abs. 5 Satz 1 – SchulG NRW

„(5) Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.“

Da der Schulträger für äußere Schulangelegenheiten zuständig ist, ist bei der gestellten Anfrage zweifelhaft, auf welcher Rechtsgrundlage diese erfolgen soll.14„Außerhalb des Auftragsverhältnisses fragt sich, zur Wahrnehmung welcher konkreten Aufgaben des Schulträgers es ggf. überhaupt einer personenbezogenen Übermittlung durch Schulen und Schulaufsichtsbehörden bedarf. Dem Schulträger obliegt nach Maßgabe der §§ 78 ff. SchulG die Wahrnehmung der äußeren Schulangelegenheiten.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Es ist zu vermuten, dass die Anfrage des Schulträger im Zusammenhang mit der Feststellung des Bedürfnisses nach §78 Abs. 5 – SchulG NRW erfolgt ist.

“(5) Die Entwicklung des Schüleraufkommens und der Wille der Eltern sind bei der Feststellung des Bedürfnisses zu berücksichtigen.”

Entsprechend Abs. 2.1 Abschnitt c Satz 4 des Runderlasses  zur Einrichtung und Auflösung von weiterführenden allgemeinbildenden Schulen und Berufskollegs kann der Schulträger zur Feststellung des Bedürfnisses eine Befragung vornehmen.

“Ein geheimes Verfahren im strengen Sinne ist nicht zwingend erforderlich; es muss aber gewährleistet sein, dass Namen und Votum der einzelnen Erziehungsberechtigten vertraulich behandelt und dienstlich geheim gehalten werden.“

Der Schulträger darf also im Rahmen seiner Aufgabenerfüllung nach §78 SchulG NRW Namen der Eltern und Votum als Ausdruck des Elternwillens in Erfahrung bringen. Allerdings setzt diese eine durch den Schulträger selbst durchgeführte Erhebung bzw. Befragung voraus und es geht um die Erziehungsberechtigten, nicht die Kinder. Es gibt in §78 keine Stelle, aus welcher sich ableiten lässt, dass der Schulträger einen rechtlichen Anspruch auf die tatsächliche Schulwahl einzelner Kinder und die von der Schule abgegebene Empfehlung hat.

Der Schulträger benötigt die von ihm angefragten personenbezogenen Daten eindeutig nicht, um seiner Aufgabenerfüllung nach §78 SchulG NRW nachzukommen. Hier würde auch eine anonymisierte Statistik der Schule ausreichen. Alleine dass die vom Schulträger angefragten personenbezogenen Daten der Schüler diesem dienlich oder nützlich sind, reicht als Rechtsgrundlage nicht für eine Übermittlung durch die Schule aus.15„… ist der Datentransfer zur Aufgabenerfüllung der Empfängerin oder des Empfängers nicht erforderlich, sondern lediglich dienlich oder nützlich, dürfen die Daten nur auf der Grundlage wirksamer Einwilligungen der Betroffenen (vgl. unter Erl. 2.2 und 2.3 zu § 120 SchulG) transferiert werden.” – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Wäre die Schule Willens, die angefragten Daten an den Schulträger zu übermitteln, so wäre dieses in diesem Falle nur auf der Grundlage einer Einwilligung der Betroffenen möglich.

Bleibt der Schulträger trotz allem der Meinung, dass die Schule ihm gegenüber verpflichtet ist, die gewünschten personenbezogenen Daten zu übermitteln, so muss er in der Lage sein, eine rechtliche Begründung zu liefern.16„Wenn der Schulträger die Übermittlung von personenbezogenen Daten der Schülerinnen, Schüler und /oder Eltern von der Schule beansprucht, ist es im Übrigen grundsätzlich an ihm, der Schule gegenüber darzulegen und zu begründen, warum er im konkreten Fall bestimmte Daten mit Personenbezug zu seiner Aufgabenerfüllung benötigt.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Dass der Schulträger dazu in der Lage sein wird, ist aufgrund der Rechtslage nicht vorstellbar.

Die Antwort kurz gefasst:

Der Schulträger hat keinen aus dem Schulgesetz NRW ableitbaren rechtlichen Anspruch auf die Übermittlung der von ihm angefragten personenbezogenen Daten von Schülerinnen und Schülern der Schule.

Bußgeld für einen norwegischen Schulträger wegen Verstoß gegen DS-GVO

Lesezeit: 2 Minuten

Im norwegischen Bergen wurde jetzt ein Schulträger wegen eines massiven Verstoßes gegen die DS-GVO zu einer Geldstrafe in Höhe von umgerechnet 170.000 € verurteilt. In dem Fall geht es um die Zugangsdaten von 35.000 Schülern und Angestellten an den Schulen der Stadt, welche durch unzureichende Sicherheitsmaßnahmen offen zugänglich waren. Mittels dieser Zugangsdaten war es für jedermann möglich, sich in das Computersystem der Schule einzuloggen und Zugriff auf personenbezogenen Daten zu erhalten, darunter auch Noten und Bewertungen durch Lehrkräfte in einer Lernplattform. Die norwegische Aufsichtsbehörde war zu dem Schluss gekommen, dass der Schulträger gegen Art. 5 Abs. 1 lit. f (Grundsätze für die Verarbeitung personenbezogener Daten17„Personenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);“
) und Art. 32 (Sicherheit der Verarbeitung) der DS-GVO verstoßen hat.

Erschwerend kam in diesem Fall hinzu, dass es sich bei den betroffenen Personen vor allem um Kinder handelt. Diese genießen in der DS-GVO einen besonderen Schutzstatus. Außerdem war der Schulträger mehrfach auf die unzureichenden Sicherheitsmaßnahmen hingewiesen worden, auch von der Aufsichtsbehörde. In Orientierung an Art. 83 DS-GVO wurde dann eine Strafe verhängt, die nach Ansicht der Aufsichtsbehörde der Sachlage angemessen, abschreckend und wirksam ist.

Könnte es einen solchen Fall in Deutschland geben?

Möglich wäre ein vergleichbarer Verstoß gegen die DS-GVO in Deutschland durchaus, wenngleich es auch definitiv Unterschiede gäbe. Dass personenbezogene Daten von Schülern und Lehrkräften in dem Maße wie im norwegischen Bergen beim Schulträger verarbeitet werden, ist in Deutschland nur im Rahmen einer Auftragsverarbeitung vorstellbar. Das heißt, die Schule als Verantwortlicher wäre hier in einem solchen Fall rechtlich mit in der Verantwortung. Eine Schule wird sich natürlich auf den Schulträger verlassen und im Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO wird auch festgelegt, dass der Auftragnehmer entsprechend Abs. 3 lit. c „alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;„. Ein Vertrag ist die eine Sache. Rechtlich gesehen muss der Verantwortliche auch sicher sein, dass der Auftragnehmer die Bedingungen erfüllt. Wie sich dieses bei der Verhängung eines Bußgeldes bei einem ähnlichen Fall in Deutschland auswirken würde, bliebe abzuwarten, da es vergleichbare Fälle bisher vermutlich nicht gibt.

Der zweite Unterschied zum norwegischen Fall ist die Verhängung des Bußgeldes18Siehe auch Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen. In Deutschland würde das Bußgeld gegen Personen verhängt und nicht gegen den Schulträger. Da letzteres nur ein Umschichten von Steuergeldern bewirken würde, werden gegen öffentliche Stellen in Deutschland keine Bußgelder verhängt. Wen genau es in Deutschland treffen würde, lässt sich schwer sagen. Wäre es der Bürgermeister oder ein IT Verantwortlicher?

Fazit für Schulen in Deutschland

Wenn man als Schule aus dem Fall eines lernen kann, dann dass die Sicherheit bei der Verarbeitung von personenbezogenen Daten durch entsprechende Maßnahmen höchste Priorität haben sollte. Wer hier nachlässig handelt, setzt eventuell die Rechte und Freiheit von Schülern und Lehrkräften einem unnötigen Risiko aus und riskiert dafür eine Geldbuße und weitergehende rechtliche Konsequenzen.

Quelle: Administrative fine of 170.000 € imposed on Bergen Municipality, Datatilsynet, 12.04.2019

Antolin & Datenschutz

Lesezeit: 2 Minuten

Antolin Raabe

Vor allem an Grundschulen beliebt ist die Online Plattform zur Förderung der Lesekompetenz, Antolin. Betrieben wird die Plattform von der Westermann Verlagsgruppe, und da auf der Plattform Nutzerdaten von Schülern und Lehrkräften erhoben und verarbeitet werden, wird entsprechend Art. 28 DS-GVO ein Vertrag zur Auftragsverarbeitung (AVV)19Aktuell (Stand 11.05.2019) finden sich einige kleine Fehler im AVV. So sind dort beispielsweise die Lehrkräfte nicht berücksichtigt und es fehlen Angaben zu den Löschfirsten durch Westermann selbst, nachdem die Schule einen Benutzer gelöscht hat. angeboten. Diesen müssen Schulen mit Westermann abschließen, um das Angebot datenschutzkonform an der Schule nutzen zu können. Oftmals erwerben Schulträger eine Lizenz für alle ihre Grundschulen. Damit sind sie Vertragspartner/ Lizenznehmer von Westermann. Trotzdem muss jede Schule einen eigenen AVV mit Westermann abschließen.

Wichtig ist dabei, dass die Schulleitung in Person den AVV abschließt und selbst unterschreibt. Dieses kann nicht von Lehrkräften übernommen werden!

Der unterschriebene AVV wird dann an Westermann geschickt, dort gegengezeichnet und ist damit gültig. Die Kopie, welche man zurück erhält, gehört zur Dokumentation des Verfahrens im Verzeichnis der Verarbeitungstätigkeiten. Für dieses braucht die Schule eine Beschreibung der Verarbeitungstätigkeit Antolin.

Außerdem ist es erforderlich, die Einwilligungen der Betroffenen einzuholen, da mit der Nutzung von Antolin personenbezogene Daten verarbeitet werden, deren Verarbeitung nicht auf der Grundlage des Schulgesetzes entsprechend Art. 6 lit. e legitimiert ist. Einwilligen müssen nicht nur die Schüler, sondern auch die Lehrkräfte, da auch deren Daten in Antolin verarbeitet werden, wenn sie als Nutzer dort angelegt werden und anschließend ihre Schüler in der Plattform betreuen. Sie kommentieren, stellen Quiz-Fragen und es fallen Nutzungsdaten an.

Als Hilfe gibt es für Schulen, die Antolin nutzen drei Vorlagen. Diese finden sich sonst auch im Bereich der Downloads.

Schulen, die andere Angebote von Westermann nutzen wie z.B. Zahlenzorro,  Bumblebee oder Grundschuldiagnose können diese Vorlagen leicht anpassen.