Dienstgeräte – iPads – Datensicherung

Lesezeit: 14 Minuten

 

Auch wenn es in diesem Beitrag darum geht, wie die Verfügbarkeit der auf einem dienstlichen iPad verarbeiteten personenbezogenen Daten gewährleistet werden kann, lassen sich die Aussagen zu einem großen Teil auf Windows Notebooks und, falls es den Fall gibt, Linux Notebooks, übertragen.

An vielen Schulen werden seit Ende 2020 iPads als Dienstgeräte ausgerollt. Die Geräte sollen zentral verwaltet und in bestehende Strukturen eingebunden werden. Als Dienstgeräte sind iPads zur Verarbeitung von personenbezogenen Daten aus der Schule vorgesehen, soweit dieses im Rahmen der dienstlichen Tätigkeiten von Lehrkräften erforderlich ist. Wie die iPad eingesetzt werden sollen, bestimmt die geplante Nutzung durch die Schule. Werden personenbezogene Daten durch die Schule verarbeitet, so ist gemäß VO-DV I §2 Abs. 1 Satz 11Das Zitat stammt aus der Entwurfsfassung der VO-DV I, die eine Anpassung an die DS-GVO darstellt und von daher auch genauso in die finale Version übernommen werden wird. auf den dafür genutzten Geräten

„über die Konfiguration die Vertraulichkeit, Integrität, und Verfügbarkeit gemäß Art. 32 in Verbindung mit Art. 5 DSGVO“

zu gewährleisten.

Um die Verfügbarkeit zu gewährleisten, muss das genutzte System, hier das iPad, nicht nur gegen unbefugte Zugriffe abgesichert und das Betriebssystem immer auf dem aktuellsten Stand sein, um Datenverluste durch fremde Einflüsse auszuschließen, es muss auch eine Backup Strategie geben, um die Daten im Fall eines Geräteverlustes oder Hardware-Schadens weiterhin verfügbar zu haben.

Bei Geräten unter iOS ist das eine Herausforderung, denn die iCloud kann aus verschiedenen Gründen hierfür nicht genutzt werden, auch wenn sie von ihrer Funktionalität her mit automatischem Backup eigentlich die ideale Lösung wäre.

Um welche Daten geht es?

Je nach Funktion der Lehrkraft und den damit verbundenen Aufgaben, verarbeiten Lehrkräfte verschiedene Arten von personenbezogenen Daten. Hier soll es nur um personenbezogene Daten gehen, soweit sie auf dem iPad selbst verarbeitet und auch gespeichert werden. Wird beispielsweise ein LMS wie Logineo NRW LMS genutzt, liegen die dort im Unterricht und in der häuslichen Vor- und Nachbereitung verarbeiteten personenbezogenen Daten, wie etwa Feedback und Bewertungen auf dem Server und brauchen nicht auf dem iPad gespeichert zu werden.

pädagogische Daten

Darunter fallen Inhalte aus dem Unterricht mit Bezug zu einer Person. Das können über die AirDrop Funktion eingesammelte Lernprodukte der Schüler sein, wie ein BookCreator Buch oder ein über Pages erstelltes Dokument. Denkbar sind auch Fotos, welche die Lehrkraft von Lernartefakten erstellt.

pädagogische Dokumentation

Umfasst alle Daten, die eine Lehrkraft sammelt und auf deren Grundlage dann am Ende eines Halb- bzw. Schuljahres Zeugnisse erstellt werden, vor allem Notenlisten. Hinzu kommen Notizen, Diagnosen, Dokumentation, die im Rahmen eines AO-SF Verfahrens entsteht, Versäumnislisten und ähnlich.

schulinterne Verwaltung

Zu von Lehrkräften verarbeiteten personenbezogenen Daten, die dem Bereich der schulinternen Verwaltung zuzuordnen sind, gehört die Kommunikation mit Eltern etwa bezüglich erzieherischer Einwirkungen gemäß § 53 Abs. 2 SchulG NRW, Benachrichtigungen gemäß § 50 Abs. 4 SchulG, Halbjahresnoten der Fächer, zeugnisrelevante Leistungsangaben, Zeugnisbemerkungen und Zeugnisse selbst.

Was muss gesichert werden?

Nicht alle der oben aufgeführten Daten müssen auch von der Lehrkraft selbst gesichert werden. Wenn Schüler Lernprodukte auf einem iPad erstellen, können sie diese auch selbst in einem eigenen Bereich auf einem Server speichern. Das könnte ein Schulserver sein, ein NAS in der Schule, eine NextCloud, eventuell auch Logineo NRW, sofern es für Schüler Zugänge und ausreichend Kapazität gibt. Sammeln Lehrkräfte Lernprodukte von Schülern zur Benotung ein, sollte darauf geachtet werden, dass eine Kopie bei den Schülerinnen und Schülern verbleibt. So brauchen sich die Lehrkräfte selbst nicht um eine Sicherung dieser Daten kümmern. Bei der Arbeit mit LMS liegen die von Schülern erstellten Lernprodukte innerhalb der Plattform und müssen nicht separat durch die Lehrkräfte gesichert werden. Personenbezogene Daten aus der pädagogischen Dokumentation sollten in regelmäßigen Abständen gesichert werden. In Zeiten, wo sehr viele neue Daten hinzu kommen, sollte die Sicherung häufiger erfolgen. Gleiches gilt auch für personenbezogene Daten aus der schulinternen Verwaltung, die auf einem dienstlichen iPad verarbeitet werden. Da es sich bei diesen um wichtigere und oftmals auch sensiblere Daten handelt, sollten sie häufiger gesichert werden. Ob und wie von den Lehrkräften erstellte Unterrichtsmaterialien gesichert werden, liegt in ihrem eigenen Ermessen.

Welche technischen Möglichkeiten gibt es?

iPad – technische Voraussetzungen

Was die Datensicherung bei iPads erschwert, ist die Art und Weise wie iOS Daten verwaltet. Viele Apps speichern die von ihnen erstellten Daten in eigenen abgetrennten Bereichen, die über das seit einigen Versionen von iOS verfügbare Dateien-App nicht zugänglich sind. Sie können in der Regel jedoch über Teilen an andere Apps, darunter auch die Dateien-App, übergeben werden. Das macht eine Sicherung von Daten umständlich, weil es so beispielsweise nicht möglich ist, alle zu sichernden Dateien automatisch in einem Ordner zu sammeln, der dann mit einem Server synchronisiert oder auf einen solchen kopiert wird.

Um Daten, die unmittelbar auf einem iPad verarbeitet werden, zu sichern, müssen diese in Kopie außerhalb des Gerätes verfügbar sein. Technisch gesehen gibt es dazu mehrere Möglichkeiten:

  • Das iPad wird mit einem externen Dienst verknüpft und darüber werden automatisch oder manuell Backups erstellt, die in einem Verzeichnis des Dienstes gespeichert werden.
  • Das iPad wird mit einem externen Dienst verknüpft und synchronisiert Daten automatisch mit einem Verzeichnis dieses Dienstes.
  • Der Nutzer erstellt lokale Kopien und übermittelt diese manuell an einen externen Speicher (per Upload, E-Mail, …).

Geeignete Möglichkeiten

Logineo NRW

Die Landesplattform Logineo NRW kann zur Sicherung von Daten eines iPads genutzt werden. Da die WebDAV Schnittstelle deaktiviert ist, besteht keine Möglichkeit, zu sichernde Dateien für eine Synchronisation einfach in einen Ordner auf dem iPad zu legen, der über diese Schnittstelle mit Logineo NRW verknüpft ist. Entsprechend lässt sich Logineo NRW auch nicht über WebDAV fähige Apps ansprechen. Dateien müssen händisch via Browser in das Loginio NRW Verzeichnis kopiert werden. Auch ein Zugriff auf den Daten-Safe ist vom iPad aus via Browser möglich. Nutzung Logineo NRW ist eine mögliche Lösung, leider aber recht umständlich. Wer nur sehr wenige Dateien zu sichern hat, kann mit dieser Lösung auskommen.

NextCloud

Die aktuell wohl beste Lösung, um die Daten von Dienst-iPads zu sichern, dürfte die NextCloud sein. Sie ist extrem sicher, gut zu nutzen und hat ein eigenes App2Alternativ zum Zugang über das NextCloud App lässt sich die NextCloud auch über andere Apps via WebDAV einbinden.. Darüber hinaus lässt sie sich mit einem OnlineOffice kombinieren, so dass es auch möglich ist, erstellte Dokumente direkt in der Cloud anzusehen und zu bearbeiten, auch kollaborativ. Ein weiterer Punkt, in welchem die NextCloud vielen anderen Plattformen überlegen ist – sie hat einen Mülleimer. Werden Dateien versehentlich gelöscht, so landen sie im Mülleimer und lassen sich für 180 Tage ohne Probleme wiederherstellen. 3Die Speicherdauer kann durch den Administrator angepasst werden. Der Mülleimer kann Schulleitungen und Lehrkräften eine große Angst nehmen – was wenn man versehentlich alles löscht? Um Dateien in der NextCloud zu sichern, werden diese vom App, mit welchem sie erstellt und bearbeitet wurden, mit der NextCloud App geteilt. Damit landen sie im NextCloud Ordner auf dem iPad und werden dann direkt in die NextCloud geladen. Einige Apps wie z.B. Apple Pages lassen es zu, den NextCloud Ordner auf dem iPad direkt als Speicherort auszuwählen. Bei Bedarf ist es möglich, Dateien auch für eine Offline Nutzung auf dem iPad in lokaler Kopie zu halten. Veränderungen werden dann bei einer Verbindung mit dem Internet in die NextCloud synchronisiert.

Anders als Logineo NRW hat die NextCloud keinen speziellen Daten-Safe. Das ist allerdings kein Defizit.4Siehe dazu auch weiter unten den Abschnitt „Braucht es einen Daten-Safe?“ Die NextCloud bietet umfangreiche Sicherheits Features, um die gesamte Cloud so sicher wie den Daten-Safe zu machen, wenn nicht sicherer. Dazu nutzt man mehrere Features der NextCloud:

  • verpflichtende Nutzung von Zwei-Faktor-Authentifizierung (2FA)
  • Sicherung des Zugriffs der App mit App Passwort und Sicherung des Zugriffs auf das App mit Code und Touch/ FaceID
  • Vorgabe von Passwortregeln
  • Unterbinden des Filesharing nach außen oder zu Nutzern in anderen Nutzergruppen
  • ein sauberes Rechte- und Rollenmanagement, um Zugriff nach Aufgaben der Personen zu steuern
  • Ransomware Schutz
  • Antivirus Schutz
  • Begrenzung des Uploads von Dateien auf bestimmte Dateitypen
  • Aktivierung der serverseitigen Verschlüsselung für eine Verwaltungs NextCloud. 5Siehe auch Verschlüsselung in der NextCloud. Reduziert die Leistung etwas, aber da eine für pädagogische Dokumentation und schulinterne Verwaltung genutzte NextCloud nicht Zugriffszahlen hat wie eine Unterrichtsinstanz sollte das kein Problem sein.
Mehrere Schulen in einer NextCloud?

Wäre es möglich, wenn der Schulträger mehreren Schulen eine gemeinsame NextCloud Instanz zur Verfügung stellt, in welcher diese ihre personenbezogenen Daten von den dienstlichen iPads sichern? Auch wenn die NextCloud sehr sicher ist und Administratoren über Gruppen einen NextCloud so einrichten können, dass Nutzer verschiedener Schulen einander nicht sehen und auch keine Dateien austauschen können, so sollte von dieser Möglichkeit abgesehen werden. Die NextCloud ist nicht mandantenfähig6zur Begriffserklärung siehe https://de.wikipedia.org/wiki/Mandantenf%C3%A4higkeit und kann verschiedene Schulen nicht wirklich sauber von einander trennen. Käme es im Bereich einer Schule zu einem Sicherheitsproblem, so wäre die Wahrscheinlichkeit, dass dieses auch die anderen Schulen innerhalb dieser NextCloud treffen könnte deutlich größer als hätte jede Schule ihre eigene NextCloud auf dem gleichen Server. Es empfielt sich von daher, eine Instanz aufzusetzen und in Absprache mit den Schulen vorzukonfigurieren, und sie anschließend für die verschiedenen Schulen zu klonen.

Die Schule betreibt ihre NextCloud selbst

Eine NextCloud auf einem kleinen Server aufzusetzen, ist nicht schwierig. In vielen Schulen gibt es Lehrkräfte, die das können. Trotzdem sollte man eine NextCloud professionell hosten lassen, wenn man sie für die Verarbeitung von personenbezogenen Daten aus der Schule nutzen möchte, vor allem, wenn es um wichtige Daten geht wie die aus der pädagogischen Dokumentation und der schulinternen Verwaltung. Den Betrieb einer NextCloud in die Hände von IT-Profis abzugeben, heißt auch Verantwortung abgeben.7Im Sinne des Datenschutzrechts ist und bleibt die Schulleitung Verantwortlicher, doch wenn man einen Profi-Hoster beauftragt, kann man davon ausgehen, dass Technik und Sicherheit stimmen. Betreibt man die NextCloud in der Schule selbst, muss man für alles selbst eine Lösung finden. Sollte es zu einem Datenschutzzwischenfall kommen, der durch Technik oder Sicherheit bedingt ist, dürfte die Schule im Streitfall deutlich schlechter dastehen als wenn sie einen Profi beauftragt hat. Professionelle Hoster, die ihr Handwerk verstehen, sind in der Lage, eine NextCloud sicher zu konfigurieren, für Backup zu sorgen und Lastspitzen aufzufangen. Mit einer NextCloud auf einem kleinen Server im Schulkeller ist das nur schwierig möglich. Mit dem Betreiber der NextCloud muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Anbieter, die NextCloud im Programm haben, gibt es viele. Unter NextCloud Partner sind offiziell vom Entwickler der Open Source Cloud gelistete Anbieter aufgeführt. Ein auf Schulen spezialisierter Anbieter ist EduDocs. Auch die kommunalen Dienstleister haben mitunter NextCloud im Portfolio. Einige Anbieter führen die NextCloud unter anderen Namen. Die regio-it bietet sie beispielsweise als ucloud an.8Hinweis: regio IT bietet die ucloud in verschiedenen Varianten an. Es gibt die für Firmen und Verwaltungen – ucloud und für den Unterricht – ucloud4schools. Eine Unterrichtsinstanz ist nicht für die Nutzung mit Daten aus der pädagogischen Dokumentation und der schulinternen Verwaltung gedacht. Man wird hier eine zweite Instanz benötigen, eine ucloud für Firmen/ Verwaltungen. Alternativ nutzt man die ucloud4schools ausschließlich mit Lehrkräften.

Dienstlicher USB Stick

Von iPads aus kann mittlerweile auf USB Sticks gesichert werden. Dazu sind jedoch USB Sticks erforderlich, welche einen mit Lightning kompatiblen USB Anschluss haben oder man benötigt einen zusätzlichen Adapter von Lightning auf USB. Um den Sicherheitsanforderungen zu genügen, sollte die Speicherung von personenbezogenen Daten aus der pädagogischen Dokumentation und schulinternen Verwaltung auf einem USB Stick durch Verschlüsselung geschützt sein. Die größte Sicherheit bieten hier USB Sticks mit einer Hardware Verschlüsselung.9Siehe dazu auch den Beitrag zu sicheren USB Sticks. Allerdings unterstützen iPads diesen Typ von USB Sticks nicht. Als Ausweg bleibt nur die Möglichkeit, Dateien selbst zu verschlüsseln oder sie mit einem Passwort vor unberechtigtem Zugriff zu schützen. Einige Apps, wie z.B. TeacherTool bringt eine eigene, robuste Verschlüsselung für Backup Dateien mit. Für Apps, die selbst keine Möglichkeit bieten, mit ihnen erstellte Dateien zu verschlüsseln, kann ergänzend ein Verschlüsselungs App genutzt werden. Beispiele dafür sind dafür sind BoxCryptor (kommerzieller Anbieter) und Cryptomator (open source, spendenbasiert) mit welchen Dateien betriebssystemübergreifend verschlüsselt werden können. USB Sticks stellen eine Möglichkeit dar, wichtige Daten vom iPad extern zu sichern. Sie stellt aber nicht mehr als einen Behelf dar. Eine gute und praktikable Lösung, die allen Sicherheitsansprüchen genügt, sieht jedoch anders aus.

NAS in der Schule

Netzfestplattenspeicher wie etwa von Synology oder Qnap kommen mit eigenen Apps10Beispiel Synology DiskStation: DS File App und DS Cloud App, die ähnliche Funktionalitäten bieten wie etwa NextCloud App. Über DDNS Dienste lassen sich die kleinen Datei Server sogar über das Internet ansprechen. Anders als bei einer in einem Rechenzentrum gehosteten Cloud Lösung wie etwa NextCloud, ist ein NAS in vielen Fällen nicht gegen Ausfälle von Strom und Hardware gesichert. Der Zugriff hängt auch von der Internetverbindung des Schulgebäudes ab. Sie haben zudem den Nachteil, dass sie relativ klein sind und dadurch leicht aus der Schule gestohlen werden können, sofern es nicht möglich ist, sie an einem sicheren Ort in der Schule aufzustellen. Viele Schulen haben diese Möglichkeit nicht. Ein NAS ist durchaus eine Lösung, die für kleine Schulen Sinn machen kann, wenn für eine Sicherung des NAS selbst, etwa über Spiegelung auf eine zweite Einheit, und eine Absicherung gegen Stromausfälle und Diebstahl gesorgt wird.

E-Mail

Ist auf dem iPad ein dienstliches E-Mail Konto eingerichtet, können Dateien, die mit den verschiedenen Apps erstellt und bearbeitet werden, über den Teilen Dialog an ein E-Mail App übergeben werden. Alternativ können Dateien über einen Webmailer aus der Dateien App geladen werden. Dann können sie z.B. an das Konto des Absenders verschickt und auf einem stationären Rechner, der für die Verarbeitung von personenbezogenen Daten aus der Schule eingerichtet ist, im Lehrerzimmer oder einem Lehrerarbeitszimmer, wieder abgerufen und lokal in einem Verzeichnis der Lehrkraft auf einem Netzlaufwerk auf einem Server der Schule gespeichert werden. Von Nachteil ist hierbei, dass die Lehrkräfte Zugang zu einem solchen Rechner haben müssen. 11Es ist vorstellbar, dass die Zahl dieser Rechner zukünftig abnimmt, da die Lehrkräfte jetzt Dienstgeräte haben und dadurch in den Augen des Schulträgers weniger Bedarf für derartige Geräte besteht. Wenn die Möglichkeit besteht, mag das Verfahren für Lehrkräfte geeignet sein, die nur sehr wenige Daten zu sichern haben. Das Verfahren ist umständlich und setzt voraus, dass das genutzte dienstliche E-Mail Konto ausreichend sicher ist, da die Anhänge der E-Mails je nach Einstellung auch längere Zeit auf dem E-Mail Server liegen können.

Alternative Software für das lokale Backup eines iPads

Es gibt alternativ zu iTunes Software, mit welcher es für Lehrkräfte möglich ist, ein Backup des kompletten iPads oder auch nur von ausgewählten Dateien zu erstellen. Die könnte auf Rechnern im Lehrerzimmer installiert werden und Lehrkräfte würden ihr iPad mit dem Rechner über ein Kabel verbinden und den Backup Prozess auf ein Netzlaufwerk durchführen. Nachteil bei dem Verfahren ist, dass das Backup nur in der Schule selbst möglich ist und man Zugang zu einem der meist knappen Lehrerarbeitsplätze benötigt. Außerdem dürfte die Beschaffung bzw. Lizenzierung von progammmen DearMob iPhone Manager.12Ein Bericht bei Heise zum Programm auch eine Kostenfrage sein.

Schulserver

Mit Schulserver sind in diesem Fall Server gemeint, welche direkt in der Schule betrieben werden. Oft handelt es sich um Windows- oder Linux-basierte Server, die einen Fileserver für Unterrichtszwecke bereitstellen, teilweise mit Zusatzfunktionen für das Verteilen und Einsammeln von Dateien oder die Steuerung Schülerberechtigungen im Unterricht. Nicht jeder dieser Server ist für die Sicherung von personenbezogenen Daten von dienstlichen iPads geeignet. Aus Sicherheitsgründen sind viele innerhalb der Schule betriebene Server nicht direkt über das Internet zu erreichen. Das gilt vor allem für Server, auf denen die Daten aus der schulinternen Verwaltung gespeichert werden. Dienstliche iPads werden an den meisten Schulen vermutlich nur in Ausnahmefällen, etwa bei Schulleitungen oder Personen, die zur erweiterten Schulleitung gehören, in das Netz der schulinternen Verwaltung eingebunden. Für Lehrkräfte kommt dieser Server damit für die Datensicherung nicht in Frage. Auch ein pädagogisch genutzter Server kommt nicht in Frage, wenn Schüler Zugriff darauf haben. Was bleibt, wäre ein speziell für Lehrkräfte eingerichteter Server, der entsprechend den dort verarbeiteten personenbezogenen Daten abgesichert ist. Herkömmlich für Lehrkräfte in Schule genutzte Sever sind für den lokalen Zugriff über fest installierte Lehrerarbeitsplätze eingerichtet und nicht für einen mobilen Zugriff innerhalb der Schule oder eine Anbindung ans Internet, um den Zugriff von zu Hause aus zu ermöglichen, da dieses zusätzliche Sicherheitsmaßnahmen erfordert. Viele dieser Server verfügen nicht einmal über eine geeignete Schnittstelle, um iPads einen Zugriff auf das Dateisystem zu erlauben. Da in Schule verfügbare Server zu unterschiedlich sind, kann hier keine generelle Aussage dazu gemacht werden, wie geeignet ein solcher Server letztendlich ist, um die Voraussetzungen in Bezug auf Sicherheit zu erfüllen, die es braucht, damit Lehrkräfte dort ihre dienstlichen iPads sichern können.

Nicht geeignete Möglichkeiten

Private Lösungen

Der einfachste Weg die wichtigen Daten eines Dienst-iPads zu sichern, wäre an vielen Schulen vermutlich die Nutzung privater Technik (Netzwerk-Festplatte im Router, USB Stick oder eine Cloud wie Dropbox oder OneDrive). Diese Möglichkeit scheidet jedoch aus, da damit in Bezug auf die Sicherheit der Verarbeitung von personenbezogenen Daten aus der Schule nichts gewonnen wäre. Für die Nutzung privater Endgeräte wäre eine Genehmigung erforderlich und Clouds, welche Schulen nicht offiziell nutzen, können grundsätzlich nicht für die Verarbeitung von personenbezogenen Daten aus der Schule genutzt werden.

Es kommt immer wieder die Frage auf, ob es nicht möglich sei, Daten aus der Schule in einer privat genutzten Cloud wie Dropbox zu sichern, wenn man sie dort verschlüsselt ablegt? Argumentiert wird damit, dass es sich bei verschlüsselten Daten für den Betreiber der Cloud nicht mehr um personenbezogene Daten handele. An der Stelle gibt es verschiedene Meinungen. Siehe dazu auch den Beitrag „Lehrer Apps und Cloud Speicher„. Auch wenn die Daten durch die Verschlüsselung nicht verwertbar sind, sollten sie nur in einer Cloud gespeichert werden, welche mit Vertrag zur Auftragsverarbeitung von der Schule betrieben wird. Der Grund dafür ist einfach. Gelangen die verschlüsselten Daten aus einer privat genutzten Cloud in falsche Hände und werden einige Jahre später dank stärkerer Rechner und besserer Algorithmen ausgelesen, steht man als Lehrkraft rechtlich eindeutig schlechter da, als wenn sie aus einer von der Schule betriebenen Cloud gestohlen wurden.

iCloud

Es gibt mehrere Gründe, die gegen eine Nutzung von iCloud zur Sicherung von personenbezogenen Daten aus den Bereichen der pädagogischen Dokumentation und schulinternen Verwaltung, wie Lehrkräfte sie verarbeiten, sprechen. Die Speicherung von Daten in iCloud ist nicht auf die EU begrenzt. Die Daten aus der Schule können überall gespeichert werden, auch in den USA. Da Apple ein US Unternehmen ist, unterliegen sie, ob sie in den USA verarbeitet werden, in der EU oder einem anderen Land außerhalb der EU13Siehe Siehe https://images.apple.com/education/docs/Data_and_Privacy_Overview_for_Schools.pdf – dort „Internationale Datentransfers“ der Jurisdiktion der USA. Apple bietet in seinem Apple School Manager Vertrag (ASM) die Standard Vertragsklauseln an und Schulen schließen bei Erstellung eines ASM einen Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO ab, doch nach dem Ende des EU-US Privacy Shield ist eine Übermittlung von personenbezogenen Daten in die USA nur mit zusätzlichen Garantien und bei Verwendung von geeigneten technischen Maßnahmen wie Verschlüsselung zulässig. Man kann iCloud Backups verschlüsseln. Allerdings ist auch hier umstritten, ob diese Maßnahmen ausreichen. Mit bedenken muss man auch die Nutzungsbedingungen der iCloud. Dort gibt es eine Passage, die eine geschäftliche/ dienstliche Nutzung ausschließt: „Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist.14Quelle: https://www.apple.com/at/legal/internet-services/icloud/de/terms.html. Das Dokument richtet sich nicht nur an privaten Nutzer, sondern auch an solche mit einer managed Apple ID aus der Schule. Es schließt keine unterrichtliche Nutzung aus, doch die Verarbeitung von Noten, Zeugnissen etc. dürfte von den Nutzungsbedingungen her nicht gedeckt sein.

IServ

Ist nicht für die Verarbeitung von personenbezogenen Daten aus der pädagogischen Dokumentation und der schulinternen Verwaltung gedacht, da die Daten auf dem Server unverschlüsselt vorliegen. Eine Notlösung wäre hier die Nutzung eines Verschlüsselungsapps wie BoxCryptor oder Cryptomator. Beide verschlüsseln die Daten Ende-zu-Ende. Dadurch werden die zu schützenden Dateien nie unverschlüsselt auf dem Server abgelegt. Man würde dazu ein Verzeichnis anlegen, mit welchem das iPad über WebDAV verbunden wird. Die verschlüsselten Dateien werden dann dort abgelegt. Trotzdem bleibt jedoch das Problem, dass das Verzeichnis selbst, in welchem die verschlüsselten Dateien abgelegt werden, nicht verschlüsselt ist und die verschlüsselten Daten damit entwendet werden könnten.

itslearning

Die Plattform des norwegischen Anbieters ist für pädagogische Zwecke gedacht. Entsprechend wird der Vertrag zur Auftragsverarbeitung auch für die Verarbeitung dieser Kategorien von personenbezogenen Daten abgeschlossen15Kategorien personenbezogener Daten
Der Auftragsverarbeiter verarbeitet personenbezogene Daten, die über den Service durch den Verantwortlichen (oder auf seine Anweisung) übermittelt, gespeichert, importiert, gesendet oder empfangen werden. Der Umfang der zu erfassenden Daten liegt im alleinigen Ermessen der nutzenden Personen. Die Daten umfassen die folgenden Kategorien:
– Kontaktinformationen (Name, Benutzername, Klassen- / Gruppenzugehörigkeit.)
– Kommunikation (Nachrichten zwischen Benutzern, Diskussionen, Kommentare zu Beiträgen, Benachrichtigungen.)
– Kursmaterialien
– Bewertungen (keine Benotung)
_ Kalendereinträge und Ereignisdaten
– Dokumente, Präsentationen, Videos, Bilder, Hausaufgaben, Aufgaben, Nachrichten

Quelle: AVV itslearning
Das bedeutet, dass selbst wenn die Plattform ausreichend sicher wäre, eine Verarbeitung von personenbezogenen Daten aus den Bereichen pädagogische Dokumentation und schulinterne Verwaltung nicht zulässig wäre. Fraglich ist zudem, ob itslearning technisch in der Lage ist, den Unterrichtsbereich mit Schülerzugriff ausreichend abzugrenzen, und ob die Plattform ausreichende Sicherheit bieten würde. Da von itslearning aus auch Dokumente in Microsoft Office Online bearbeitet werden können, besteht hier ein weiteres Problem, auch wenn bearbeitete Dokumente nur temporär in Office Online landen und auf itslearning Servern gespeichert werden.

Microsoft OneDrive/ Google Drive

Die Cloud Lösungen der US Anbieter gelten als extrem sicher, wenn es um Hackerangriffe und ähnlich geht. Anders als bei IServ werden ruhende Daten auf den Servern der US Anbieter verschlüsselt gespeichert und sind damit vor unbefugten Zugriffen sicher. Das Problem liegt hier an anderer Stelle. Es gibt einen Punkt, in dem sind deutsche Aufsichtsbehörden und auch Länder wie Österreich und die Schweiz einig, sofern sie eine Nutzung von Office 365/ Microsoft 365 und G Suite for Education für eine pädagogische Nutzung für möglich halten. Es dürfen dann auch nur pädagogische Daten in den Plattformen verarbeitet werden. Nicht zulässig ist hingegen die Verarbeitung von personenbezogenen Daten aus den Bereichen der pädagogischen Dokumentation und der schulinternen Verwaltung. Selbst wenn diese Daten durch Programme wie BoxCryptor oder Cryptomator Ende-zu-Ende verschlüsselt in die Clouds gesichert werden und dort dann nur die verschlüsselten Dateien liegen, so wäre nicht auszuschließen, dass sie zukünftig durch stärkere Rechner und besser Algrorithmen entschlüsselt werden könnten, sofern sie beispielsweise in den Zugriff von US Ermittlungsbehörden gelangen. Auch wenn die Wahrscheinlichkeit sehr gering ist, dass Daten aus Schulen im Rahmen von Ermittlungen in den Zugriffen von US Ermittungsbehörden gelangen, kann von der Speicherung von personenbezogenen Daten, die über den pädagogischen Bereich hinausgehen, aktuell nur abgeraten werden, selbst wenn sie dort durch den Nutzer verschlüsselt abgelegt werden.

Wie lange sollten Daten auf dem iPad gespeichert werden?

Da mobile Endgeräte deutlich höheren Risiken ausgesetzt sind, sowohl was Hardwareschäden angeht als auch Verlust durch Diebstahl, sollten personenbezogene Daten aus der Schule dort nur so lange wie nötig gespeichert werden. Notenlisten, in welchen Leistungsbewertungen über das Halbjahr gesammelt werden, sollten nach Ende des Halbjahres, spätestens jedoch nach Ende des Schuljahres, vom Gerät entfernt werden, wenn sie abgeschlossen sind und die Zeugnisnoten festgelegt wurden. Es spricht nichts dagegen, diese Daten auf einem Server der Schule auch längerfristig zu speichern, solange dabei die Aufbewahrungs- und Löschfristen nach §9 VO-DV I beachtet werden. Gleiches gilt auch für digitale Notenbücher wie z.B. TeacherTool. Spätestens, nachdem aus der Datenbank des vorherigen Schuljahres die Schüler für das neue Schuljahr übernommen wurden, sollte die alte Datenbank vom Gerät entfernt werden. Eine Sicherung wird auf einem Server der Schule abgelegt. Besonders sensible Daten sollten direkt dann vom iPad entfernt werden, sobald der Verarbeitungszweck erreicht ist. Wird auf dem iPad beispielsweise ein Dokument im Rahmen eines AO–SF Verfahrens erstellt,So sollte dieses vom Gerät gelöscht werden, nachdem ist fertig gestellt und digital an die schulinterne Verwaltung übermittelt oder direkt ausgedruckt wurde. Eine Kopie sollte auf dem Schulserver weiterhin vorhanden sein. Auf dem iPad erstellte Text Zeugnisse sollten dort gelöscht werden, sobald die Zeugnisse gedruckt worden sind und die Frist verstrichen ist, in welcher noch mögliche Korrekturen anfallen können.

Zu beachten ist beim Löschen von Dateien von einem iPad, dass vorher gegebenenfalls eine Kopie auf einem Server der Schule abgespeichert werden muss. Bei Systemen wie NextCloud, wo es immer eine automatische Kopie der Dateien auf dem iPad in der Cloud gibt, wird auch diese gelöscht, wenn man die Datei auf dem iPad entfernt.

Braucht es einen Datensafe?

Logineo NRW verfügt über einen sogenannten Daten-Safe. Das ist ein besonders abgesicherter Bereich, der nur durch Eingabe eines weiteren Passworts erreichbar und in seinen Funktionen so eingeschränkt ist, dass nur Berechtigte auf die dort gespeicherten personenbezogenen Daten Zugriff erhalten können. Bei Logineo NRW macht der Daten-Safe Sinn, da die Landes-Cloud keine Zwei-Faktor-Authentifizierung (2FA) unterstützt. Wer in den Besitz des Passworts einer Lehrkraft gelangt, erhält unmittelbar Zugriff auf alle im normalen Bereich gespeicherten Daten. Deshalb gibt es den Daten-Safe mit einem zusätzlichen Passwort und eingeschränkten Funktionen. Plattformen mit einem sehr starken Sicherheitskonzept, wie dieses beispielsweise bei der NextCloud der Fall ist, benötigen keinen zusätzlichen Daten-Safe, um dort auch besonders sensible Daten zu speichern. Sind sie ausreichend sicher konfiguriert, können dort alle Daten gespeichert werden.

 

Stand 02/2021

Dienstgeräte für Lehrkräfte – Umsetzung der Richtlinie

Lesezeit: 5 Minuten Hinweis! Dieser Text ist noch nicht vollständig. Details sind noch in der Ausarbeitung. Sobald der Text abgeschlossen ist, verschwindet dieser Hinweis. Es folgen noch Hinweise, wie den verschiedenen Vorgaben, die sich aus der Richtlinie und den FAQ ergeben, durch Schulträger so umgesetzt werden, können, dass Lehrkräfte mit den Dienstgeräten im schulischen Alltag ihren Aufgaben nachkommen können. 

Das Land stellt den Lehrkräften über die Schulträger Dienstgeräte zur Verfügung. Rechtliche Vorgaben, wie dieses von den Schulträgern umzusetzen ist, gehen aus der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen hervor. Ergänzende Angaben zur Richtlinie ergeben sich aus einer FAQ (Fragen und Antworten zur Förderung von dienstlichen Endgeräten für Lehrkräfte). Diese hat durchaus verbindlichen Charakter. Wie die Schulträger die Vorgaben der Richtlinie im Detail umsetzen, bleibt ihnen überlassen. Auch wenn es nur indirekt aus Richtlinie und FAQ hervorgeht, so sollte die Umsetzung der Richtlinie in Absprache mit den Schulen erfolgen.

Aufgaben - Nutzungszwecke - Verwaltung

Zweck der Dienstgeräte/ Ziel der Ausstattung

Die Ausstattung der Lehrkräfte des Landes NRW mit Dienstgeräten erfolgt gemäß der Richtlinie mit dem Ziel, die Lehrkräfte an den Schulen bei der rechtssicheren Arbeit mit personenbezogenen Daten zu unterstützen. Dieses trägt dem Umstand Rechnung, dass die Anzahl der in Schulen verfügbaren Arbeitsplätze für Lehrkräfte meist begrenzt ist, diese Geräte auch nur selten in den Klassenräumen zur Verfügung stehen, Lehrkräfte einen großen Teil ihrer Arbeit in der Vor- und Nachbereitung von zu Hause aus erledigen und dafür sowohl in der Schule wie auch am heimischen Arbeitsplatz Mangels Alternativen private Endgeräte nutzen müssen. Mit der Bereitstellung von Dienstgeräten sollte die Nutzung privater Endgeräte zur Verarbeitung von personenbezogenen Daten aus der Schule mit all den damit verbundenen Bedenken dann nicht länger erforderlich sein. Es kann damit also nicht im Sinn der Richtlinie sein, wenn Schulträger die Nutzung der von ihnen beschafften und ausgegebenen Dienstgeräte auf die Vorbereitung von Unterricht einschränken und eine Verarbeitung von personenbezogenen Daten aus der Schule auf den Geräten untersagen wollen.1Schulträger, die diesen Weg gehen, verstoßen gegen die Vorgaben der Richtlinie und laufen Gefahr, die Fördergelder an das Land zurückerstatten zu müssen. Auch wenn unter den Zuwendungsvoraussetzungen “personenbezogene Daten” nicht direkt genannt werden, so gehört die Verarbeitung von personenbezogenen Daten unabdingbar zur “dienstlichen Aufgabenerledigung” von Lehrkräften bzw. zu den in den FAQ beschrieben “üblichen Tätigkeiten von Lehrkräften”. 

Es ergibt sich so folgende Kausalität: aus den Aufgaben der Lehrkräfte bestimmen sich die Tätigkeiten der Lehrkräfte, die ihrerseits die Nutzungszwecke der Dienstgeräte und die damit verarbeiteten personenbezogenen Daten bestimmen, sowie die Einbindung der Dienstgeräte in die schulische Infrastruktur. Aus den Aufgaben ergeben sich auch die Berechtigungen der Lehrkräfte, von denen letztendlich abhängig ist, welche personenbezogenen Daten die Lehrkräfte verarbeiten dürfen und zu welchen Netzwerken sie Zugang erhalten. Der Schulträger berücksichtigt bei der Verwaltung der Dienstgeräte diese Abhängigkeiten und stellt durch technische und organisatorische Maßnahmen sicher, dass bei der Verarbeitung von personenbezogenen Daten auf den Dienstgeräten Datenschutz und Datensicherheit gewährleistet sind und Lehrkräfte dabei entsprechend ihrer Aufgaben und den daraus abgeleiteten Berechtigungen nur auf die zur Erfüllung ihrer Aufgaben notwendigen personenbezogenen Daten und Netzwerke Zugriff erhalten.

Die Tätigkeiten von Lehrkräften

Drei übliche Tätigkeiten von Lehrkräften werden in den FAQ aufgeführt. Welche dieser Tätigkeiten die einzelne Lehrkraft ausübt, hängt von den Aufgaben ab, welche sie im Zusammenhang mit ihren Funktionen in der Schule zu erfüllen hat. 

Pädagogische Tätigkeiten

Hier geht es um den Unterricht und die Nutzung der Dienstgeräte bei der Gestaltung und Durchführung von Unterricht. Das reicht von einer Nutzung der Dienstgeräte zur Präsentation von Inhalten über ein Präsentationsmedium (Beamer, Display, Lautsprecher) bis zur Steuerung von Unterricht (Steuerung von Schülergeräten) und der gemeinsamen Arbeit mit Schülerinnen und Schülern in Arbeits-, Kommunikations- und Lernplattformen. Zu den üblichen Tätigkeiten gehören dann beispielsweise das Zuteilen von Aufgaben, die Kontrolle von zurückgegebenen Aufgaben, die Unterstützung bei der Bearbeitung von Aufgaben durch gemeinsamen Zugriff auf die Aufgaben mit Schülern, das Verteilen von Materialien (direkt von Gerät zu Gerät oder innerhalb einer Plattform) und anschließende Einsammeln, die Weitergabe oder Absprache von Terminen. Im Rahmen des Unterrichts geben Lehrkräfte in den genannten Plattformtypen Feedback zu den Arbeiten der Schüler und kommunizieren mit ihnen über Chat, Messenger, E-Mail und andere geeignete Formate. In Zeiten von Distanzunterricht können auch Video- oder Audiokonferenzen als Kommunikationsformate hinzukommen. Zu den pädagogischen Tätigkeiten zählen auch die Überprüfung von Leistungen, die Korrektur Tests und Arbeiten und Leistungsrückmeldungen an die Schüler. Je nach Fach und Unterrichtsgegenstand können auch Aufnahmen in Bild und Ton dazu gehören. Nicht alles davon muss digital über das dienstliche Endgerät der Lehrkräfte abgebildet werden. Die Nutzung der dienstlichen Endgeräte wird hier sehr stark vom pädagogischen Konzept der Schule, der Verfügbarkeit entsprechender Plattformen und Endgeräte für die Schüler und individuellen Unterrichtsstilen der Lehrkräfte bestimmt. Unmittelbar davon hängt auch ab, ob und wie viele personenbezogenen Daten von Schülerinnen und Schülern dabei verarbeitet werden. Bei Schulen, die noch am Anfang der Entwicklung von Unterricht mit digitalen Medien stehen, wird der Anteil von pädagogischen Tätigkeiten der Lehrkräfte, der über ein Dienstgerät erfolgt, eher gering sein. Mit zunehmender Entwicklung von Unterricht mit digitalen Medien und der Ausstattung mit Schülergeräten bis zur eins-zu-eins Ausstattung wird der Anteil an pädagogischer Tätigkeit, bei welcher das Dienstgerät zum Einsatz kommt, einen immer größeren Raum einnehmen.

Pädagogische Dokumentationstätigkeiten

Zu den üblichen Tätigkeiten jeder Lehrkraft zählt auch die pädagogische Dokumentation. Welcher Art diese ist, hängt unter anderem davon ab, welche Funktion eine Lehrkraft an der Schule inne hat. Unterschieden werden kann hier zwischen Fach- und Klassenlehrkräften sowie Förderschulpädagogen. Die Mehrheit der Lehrkräfte gehört der ersten Gruppe an und viele auch der zweiten. Außerdem gibt es noch Lehrkräfte mit weiteren Funktionen wie Jahrgangsstufenleitungen (Beratungslehrkräfte in der gymnasialen Oberstufe) und Schulleitungen, deren Stellvertretung und ggf. weitere mit Schulleitungsaufgaben betraute Lehrkräfte.

Es werden neben der Mitarbeit im Unterricht regelmäßig die Ergebnisse von Leistungsüberprüfungen oder diagnostischen Tests dokumentiert. Lehrkräfte machen sich Notizen, die ihnen bei der Diagnose helfen, um Schüler individuell zu fördern. Im Rahmen von AO-SF Verfahren werden entsprechende Dokumentationen erstellt.

Schulinterne Verwaltung 

Es werden an jeder Schule vermutlich nur wenige Lehrkräfte sein, die regelmäßig personenbezogene Daten innerhalb der schulinternen Verwaltung verarbeiten. Ausnahmen bestehen in der Vorbereitungszeit der Zeugnisse oder von Beratungstagen, wenn Noten eingetragen werden, Klassenlehrkräfte Elternschreiben im Rahmen von § 53 SchulG erstellen oder Vermerke über Schulversäumnisse, Verspätungen und besondere (z.B. im Hinblick auf Maßnahmen gemäß § 53 SchulG relevante) Vorkommnisse im Unterricht erstellen.

Anders ist das bei Mitgliedern der Schulleitung und Lehrkräften mit Aufgaben, die eine Verarbeitung von personenbezogenen Daten aus der schulinternen Verwaltung erfordern.

Geplante Nutzung

Schulen und Schulträger sehen das Thema Dienstgeräte aus sehr unterschiedlichen Blickwinkeln. Während Lehrkräfte die Dienstgeräte möglichst uneingeschränkt für alle Tätigkeiten nutzen wollen, die sie zur Erfüllung ihres Bildungs- und Erziehungsauftrags ausüben, geht es Schulträgern nicht nur darum, die Geräte bereitzustellen, sondern auch sie mit einem vertretbaren personellen und finanziellen Aufwand im Sinne der Richtlinie zu verwalten und dabei Datenschutz und -sicherheit bei der Nutzung durch Lehrkräfte zu gewährleisten.

Da aus der Richtlinie klar hervorgeht, dass Zweck der Ausstattung mit Dienstgeräten die Unterstützung der rechtssicheren Arbeit der Lehrkräfte mit personenbezogenen Daten im Rahmen ihrer üblichen Tätigkeiten ist, sollte bei der Umsetzung der Richtlinie durch die Schulträger die geplante Nutzung in der Schule auch den Maßstab bilden. Schulträger deshalb in erster Linie von den Bedürfnissen der Schulen her denken, und daran orientiert planen, wie sie dieses mit vorhandenen und weiteren, vom Land abrufbaren Ressourcen umsetzen können. Vorrangiges Ziel der Schulträger sollte sein, den Lehrkräften die Dienstgeräte so zur Verfügung zu stellen, dass sie möglichst alle personenbezogenen Daten damit verarbeiten können, welche zur Erledigung ihrer dienstlichen Aufgaben erforderlich sind, und dieses bei gleichzeitiger Einhaltung von Datenschutz und -sicherheit.


Details zur Nutzung …


Einbindung in Netzwerke

In Schulen sind Computer überwiegend statisch in Netzwerke eingebunden und haben darüber Zugriff auf Server, Verzeichnisse, Drucker, das Internet und mitunter auch auf zentral bereitgestellte Anwendungen. Über eine Nutzerverwaltung mit Rechten und Rollen werden Zugriffsrechte gesteuert, so dass Nutzer nur Zugriff auf die personenbezogenen Daten erhalten, welche sie unmittelbar zur Erfüllung der ihnen übertragenen Aufgaben verarbeiten müssen. Stand-alone Rechner, die ohne Einbindung in ein Netzwerk genutzt werden, sind meist für spezielle Aufgaben gedacht und benötigen die Netzwerkeinbindung entweder nicht oder sind nicht in Reichweite eines Netzwerks.

Anders als stationäre Lehrerarbeitsplätze, die fest in ein einziges schulisches Netzwerk eingebunden sind, ist es technisch möglich mobilen Dienstgeräte auf mehr als ein schulisches Netzwerk Zugriff zu geben. Inwieweit dieses in einer Schule erforderlich und sinnvoll ist und sich unter Berücksichtigung von Datensicherheit überhaupt praktikabel umsetzen lässt, ist eine andere Sache.

Wie eine Einbindung der Dienstgeräte erfolgt bzw. in welcher Art sie erforderlich ist, hängt nicht zuletzt auch von den von der Schule genutzten Strukturen ab. Eine Schule, die im Unterricht auf eine komplett webbasierte Plattform setzt, hat andere Anforderungen bezüglich der Einbindung der Dienstgeräte für die unterrichtliche Nutzung als eine Schule, die auf einen lokal betriebenen Schulserver setzt. Nutzt eine Schule einen Schulserver, der zwar lokal betrieben wird, aber auch über eine Weboberfläche erreichbar ist, so gestaltet sich die Situation wieder ganz anders. Gleiches gilt auch, wenn es um Strukturen geht, die für schulinterne Verwaltungsarbeiten genutzt werden.


Weiterer Text folgt hier …


Grundlage für diesen Text sind die oben erwähnte Richtlinie und die dazugehörige FAQ. Um diese besser zu verstehen, wurden aus beiden Texten die Passagen mit Bezug zu den Themen Datenschutz und -sicherheit genauer unter betrachtet und erläutert – Dienstgeräte für Lehrkräfte – Richtlinie und FAQ

Stand 12/2020

Dienstgeräte für Lehrkräfte – Richtlinie und FAQ

Lesezeit: 10 Minuten

Lehrkräfte in NRW werden seit Ende 2020 mit Dienstgeräten ausgestattet. Gelder dazu kommen vom Land bzw. Bund und die Beschaffung, Bereitstellung und Verwaltung erfolgt über die Schultäger. Der Gesetzgeber hat zur Steuerung der Ausstattung eine Richtlinie erlassen und diese später durch eine FAQ ergänzt, mit welcher Fragen, die sich aus der Richtlinie ergeben, beantwortet werden sollen. Beide Texte sind Rechtstexte und entsprechend formuliert. Um sich dem nicht einfachen Thema, wie die Richtlinie umzusetzen ist, anzunähern, sind unten die Teile beider Texte wiedergeben, die Bezug zu Datenschutz und Datensicherheit haben, und mit einer Auslegung versehen.

Die BASS 2020/2021 – 11-02 Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen steckt den rechtlichen Rahmen ab. Aussagen, die eine Relevanz für Datenschutz und Datensicherheit haben, sind in der Tabelle aufgeführt und erklärt.

 

Richtlinie Auslegung
Zusammenfassung über Richtlinie

Das Land Nordrhein-Westfalen gewährt Zuwendungen für die digitale Bildungsinfrastruktur durch eine digitale Ausstattung von Lehrkräften an Schulen in Nordrhein-Westfalen. Ziel ist es, Schulträger bei der Digitalisierung ihrer Schulen durch Ausstattung der Lehrkräfte mit digitalen dienstlichen Endgeräten sowie die Lehrkräfte bei der rechtssicheren Arbeit mit personenbezogenen Daten zu unterstützen.

Durch die Ausstattung mit Dienstgeräten will das Land Lehrkräften ein zusätzliches Werkzeug an die Hand geben, mit welchem sie rechtssicher personenbezogene Daten verarbeiten können.

(Die Formulierung ist ähnlich zum Text der Richtlinie, mit dem einen Unterschied, dass hier die Arbeit der Lehrkräfte mit personenbezogenen Daten betont wird, nicht die der Schulen.)

1 Zuwendungszweck, Rechtsgrundlagen
Abs. 1.1 Ziel ist es, Schulträger bei der Digitalisierung ihrer Schulen durch Ausstattung der Lehrkräfte mit digitalen dienstlichen Endgeräten sowie Schulen bei der rechtssicheren Arbeit mit personenbezogenen Daten nach den Vorgaben der §§ 120 bis 122 des Schulgesetzes NRW und der Verordnung für die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I) und der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO-DV II) zu unterstützen.
Das Land möchte Schulen durch die Ausstattung mit Dienstgeräten unterstützen, dass Lehrkräfte damit die personenbezogenen Daten von Schülerinnen und Schülern, Eltern und Lehrkräften rechtssicher verarbeiten können.

Die personenbezogenen Daten, um welche es dabei geht, werden an dieser Stelle in keiner Weise eingeschränkt. Die Grenzen werden durch §§120 – 122 und VO-DV I/II gesetzt. Darunter fallen alle personenbezogenen Daten, die durch das SchulG legitimiert sind wie auch solche, welche auf der Grundlage einer Einwilligung verarbeitet werden.

Das heißt ganz deutlich, die Dienstgeräte sind für die Verarbeitung von personenbezogenen Daten vorgesehen und können von daher durch die Schulträger auch nicht auf die Unterrichtsvorbereitung ohne personenbezogene Daten eingeschränkt werden. Aus den FAQ geht das auch entsprechend hervor.

4 Zuwendungsvoraussetzungen
Abs. 4.1 Eine Förderung mobiler Endgeräte kann unter folgenden Voraussetzungen erfolgen: Beschaffung schulgebundener mobiler Endgeräte einschließlich der Inbetriebnahme sowie des für den Einsatz erforderlichen Zubehörs (Laptops, Notebooks und Tablets mit Ausnahme von Smartphones), um diese Lehrkräften zur dienstlichen Aufgabenerledigung unentgeltlich zur Verfügung zu stellen.
Nur wenn die beschriebenen Voraussetzungen erfüllt sind, ist eine Förderung der Dienstgeräte möglich.

Die Geräte sind an die Schule gebunden (auch wenn es Geräte des Schulträgers sind). Nur Laptops, Notebooks und Tablets sind zulässig. 

Auch wenn Smartphones nicht förderfähig sind, schließt das keine Mobilgeräte mit Mobilfunknetz (SIM, eSIM) aus.

Die Geräte werden zur dienstlichen Aufgabenerledigung zur Verfügung gestellt, das heißt nicht zur Nutzung für private Zwecke.

“Dienstliche Aufgabenerledigung” umfasst alle Tätigkeiten, welche eine Lehrkraft im Zusammenhang mit der Ausübung ihrer Tätigkeit verrichten muss. Dazu gehört auch die Verarbeitung von personenbezogenen Daten für pädagogische Zwecke wie auch Verwaltungsarbeiten. Das geht auch deutlich aus dem Zuwendungszweck hervor. Damit ist auch klar, dass die “dienstliche Aufgabenerledigung” von Seiten des Schulträgers nicht auf Unterrichtsvorbereitungen ohne jegliche personenbezogenen Daten beschränkt werden kann.

6 Sonstige Zuwendungsbestimmungen
Abs. 6.2 Es ist sicherzustellen, dass die schulgebundenen mobilen Endgeräte sofort verwendet und in die schulische Infrastruktur integriert werden können. 
Die Geräte sind schulgebunden. Das bedeutet, wechselt eine Lehrkraft die Schule, kann sie das Gerät nicht mitnehmen. 

Die Schulträger müssen die Dienstgeräte, sobald sie eingetroffen sind, soweit vorbereiten bzw. konfigurieren, dass sie von den Lehrkräften verwendet werden können. Außerdem sollen sie in die schulische Infrastruktur integrierbar sein. Das meint zumindest, sie können auf das Internet, Anzeigegeräte in den Klassenräumen und auf Drucker zugreifen. Zur schulischen Infrastruktur gehören auch die schulischen Netzwerke.

Der Zuwendungsempfänger verpflichtet sich zu einer zentralen Geräteverwaltung. Der Schulträger muss die Dienstgeräte zentral verwalten. 
Dazu können bestehende Strukturen genutzt werden. Sollten diese nicht oder nicht im ausreichenden Maße vorhanden sein, verpflichtet sich der Zuwendungsempfänger, diese spätestens innerhalb von 24 Monaten zu schaffen. Zur zentralen Verwaltung der Dienstgeräte können bereits vorhandene Verwaltungslösungen (z.B. MDM) genutzt werden. Gibt es diese nicht oder sie reichen nicht aus, muss der Schulträger innerhalb von 24 Monaten eine Verwaltungslösung für die Dienstgeräte schaffen.

 

Bei den Vorgaben in der Richtlinie bleiben viele Fragen offen. Deshalb hat das MSB ergänzend die Fragen und Antworten zur Förderung von dienstlichen Endgeräten für Lehrkräfte | Bildungsportal NRW veröffentlicht. Hier sind die Angaben bzw. Vorgaben wesentlich umfangreicher und gehen inhaltlich über die Richtlinie hinaus. Viele der beschriebenen Vorgaben lassen sich unter die Vorgabe aus der Richtlinie subsumieren, dass die Dienstgeräte die Schulen bzw. Lehrkräfte bei einer “rechtssicheren Arbeit mit personenbezogenen Daten” unterstützen sollen. Der Begriff rechtssicher zieht eine ganze Reihe von Voraussetzungen nach sich, die in Bezug auf Datenschutz und Datensicherheit erfüllt sein müssen.

 

FAQ Auslegung

9. Sollen die mobilen Endgeräte für Lehrkräfte ins pädagogische Netz oder ins Verwaltungsnetz integriert werden?

Einsatz und Einbindung der dienstlichen Endgeräte

Die dienstlichen Endgeräte sind für die üblichen Tätigkeiten von Lehrkräften vorgesehen, also in der Regel für rein pädagogische Tätigkeiten, aber auch für die pädagogischen Dokumentationstätigkeiten.  Die Intention welche das Land mit der Bereitstellung verfolgt, die Zweckbestimmung (= vorgesehen), ist eine Nutzung der Dienstgeräte für die Tätigkeiten, welche Lehrkräfte üblicherweise ausüben. Das wird dann im Folgen detailliert. An erster Stelle stehen rein pädagogische Tätigkeiten (in der Regel = Ausnahmen sind möglich), also eine unterrichtliche Nutzung z.B. in einem LMS oder einer Arbeits- und Kommunikationsplattform, Verteilen von Materialien an Schüler, Kontrolle von Schülergeräten etc. Das schließt auch die Verarbeitung von personenbezogenen Daten ein, die dafür erforderlich sind (§120 Abs. 5 SchulG NRW). Vorgesehen sind die Geräte auch für pädagogische Dokumentationstätigkeiten. Das meint Noten, Absenzen, Versäumnisse und Notizen über Schüler, Diagnosen, Beobachtungen, auch im Zusammenhang mit einem AO-SF Verfahren.
Auch sind sie für die schulinterne Verwaltung zugelassen. Eine Nutzung der Dienstgeräte ist auch für Verarbeitungstätigkeiten, die der schulinternen Verwaltung zuzuordnen sind, möglich. Das meint die Erstellung von Zeugnissen, Elternschreiben zu Ordnungsmaßnahmen, Erstellen von “Blauen Briefen”, Protokollen, usw.

Die Abtrennung dieser Tätigkeit in einen eigenen Satz deutet darauf hin, dass diese Möglichkeit für die Dienstgeräte zwar eingeräumt, jedoch eher nachrangig gesehen wird. Sie wird, wenn auch eher für Mitglieder der Schulleitung, Lehrkräfte mit besonderen Aufgaben und eventuell Klassenlehrkräfte in Frage kommen.

Sie können grundsätzlich sowohl in alle schulinternen als auch externen Netzwerke eingebunden werden, sofern den Belangen des Datenschutzes durch geeignete technisch-organisatorische Maßnahmen Rechnung getragen wird. Wenn nichts ausdrücklich dagegen spricht (= grundsätzlich), besteht die Möglichkeit (= können), die Dienstgeräte in alle schulinternen Netzwerke einzubinden. Das meint das pädagogische Netzwerk der Schule und das schulinterne Verwaltungsnetzwerk, bedeutet aber nicht automatisch, dass die Dienstgeräte auch in beide Netzwerke eingebunden sein müssen. Sofern nicht dagegen spricht, ist es auch möglich, die Dienstgeräte in Netzwerke außerhalb der Schule einzubinden. Das meint das Verwaltungsnetzwerk des Schulträgers, welches Zugangspunkte (kommunale Verwaltungsrechner) in der schulinternen Verwaltung haben kann. Im Zusammenhang mit der Richtlinie meint externes Netzwerk hier aber vor allem die heimischen Netze der Lehrkräfte. Voraussetzung für die Einbindung der Dienstgeräte in eines oder mehrere der genannten Netzwerke ist, dass dabei der Datenschutz sichergestellt wird. Die dafür erforderlichen technischen und organisatorischen Maßnahmen müssen sich am jeweiligen Netzwerk und den dort verarbeiteten Daten orientieren (= geeignete). Technische und organisatorische Maßnahmen meint hier die Absicherung des Dienstgerätes selbst wie auch den Zugriff auf personenbezogene Daten im jeweiligen Netzwerk. Es geht um Maßnahmen wie Verschlüsselung, Rechte- und Rollenkonzepte, Zugangsschutz zu den Netzwerken etc.

Wenn es möglich ist, durch geeignete technische und organisatorische Maßnahmen zu gewährleisten, dass die Verarbeitung von personenbezogenen Daten auf den Dienstgeräten den Anforderungen des Datenschutzes genügt, dann können sie in jedes der genannten Netzwerke eingebunden werden. Welche technische und organisatorische Maßnahmen dabei erforderlich sind, hängt vom jeweiligen Netzwerk und den verarbeiteten personenbezogenen Daten ab. In der Praxis kann das bedeuten, dass ein Gerät zwar sicher in ein Netzwerk eingebunden werden kann, eine Einbindung in ein weiteres Netzwerk sich damit mit den dazu erforderlichen technischen und organisatorischen Maßnahmen jedoch nicht umsetzen lässt. 

Der Zugang zu einzelnen Netzen hängt von den konkreten, ihren Aufgaben entsprechenden Berechtigungen eines Nutzers bzw. einer Nutzerin ab Zu welchen Netzwerken Nutzer mit dem Dienstgerät letztendlich die Berechtigung zum Zugang haben, wenn die vorgenannten Bedingungen erfüllt sind, hängt von ihren Aufgaben ab, die wiederum von ihrer Funktion in der Schule abhängen, als Fachlehrer, Klassenlehrer, Schulleitung, Beratungslehrer, erweiterte Schulleitung, Oberstufenleitung, Förderschullehrkraft, …
Eine Einbindung dieser dienstlichen Endgeräte in das private Netz der Lehrkräfte am heimischen Arbeitsplatz ist möglich, sofern auch hier den Belangen des Datenschutzes Rechnung getragen wird. Lehrkräfte dürfen ihre Dienstgeräte auch in ihrem heimischen WLAN Netzwerk nutzen, einem schulexternen Netz. Diese Möglichkeit ist jedoch an die Bedingung geknüpft, dass dieses Netzwerk ausreichend sicher ist. Das meint beispielsweise Maßnahmen wie die Einrichtung eines Zugriffschutzes für das WLAN, so dass nur berechtigte Nutzer sich dort anmelden können.
Zu unterscheiden von der Nutzung ist die Verwaltung der Endgeräte. Diese soll zentral durch den Schulträger erfolgen. Hier erfolgt eine klare Trennung zwischen Nutzung und Verwaltung der Dienstgeräte. Für die Verwaltung wird dringend empfohlen (= soll), dass sie zentral durch den Schulträger vorgenommen wird. Es ist also auch möglich, dass sie an den jeweiligen Schulen erfolgt (dezentral) und durch die Schule selbst vorgenommen wird.

In der Richtlinie klingt das jedoch wesentlich strenger “Der Zuwendungsempfänger verpflichtet sich zu einer zentralen Geräteverwaltung.” Die FAQ scheint den Schulträgern hier mehr Möglichkeiten einzuräumen.

Maßnahmen zum Datenschutz und zur Datensicherheit

Die Geräte sollen vom Schulträger zentral konfiguriert und verwaltet werden. Das Ministerium empfiehlt dringend, dass die Konfiguration, das heißt Einrichtung der Dienstgeräte und die anschließende Verwaltung, das meint dauerhafte Betreuung durch den Schulträger zentral erfolgt. Wie im Abschnitt zuvor bleiben damit auch andere Möglichkeiten offen, etwa dezentrale Lösungen.
Die dienstlichen Endgeräte sollen die Lehrkräfte bei der Erfüllung ihres Bildungs- und Erziehungsauftrags in der Schule und am häuslichen Arbeitsplatz unterstützen können und dabei zugleich den Belangen des Datenschutzes und der Datensicherheit umfassend Rechnung tragen, insbesondere mit Blick auf die Verarbeitung personenbezogener Daten. Vom Ministerium wird dringend empfohlen, die Dienstgeräte so einzurichten und mit Bezug auf Datenschutz und -sicherheit abzusichern, dass Lehrkräfte sie in der Schule wie auch am Arbeitsplatz zu Hause zur Verarbeitung von personenbezogenen Daten nutzen können, wie dieses erforderlich ist, um ihrem Bildungs- und Erziehungsauftrag nachkommen zu können. Den Belangen von Datenschutz und -sicherheit soll dabei umfassend Rechnung getragen werden. Mit umfassend ist diese Anforderung sehr hoch angesetzt. 

Es müssen hier zwei Vorgaben gleichwertig erfüllt werden:

  1. die Dienstgeräte sollen ihre Funktion wie beschrieben erfüllen
  2. sie sollen dabei aber auch so konfiguriert sein, dass Datenschutz und -sicherheit gewährleistet sind.
Funktional ist ein dienstliches Endgerät dadurch vergleichbar mit einem stationären Endgerät, welches der Lehrkraft in der Schule zur Verfügung steht.  Wenn die vorgenannten Bedingungen (zentrale Konfiguration und Verwaltung, Datenschutz und Datensicherheit für die Verarbeitung von personenbezogenen Daten) erfüllt sind, dann sind die dienstlichen Endgeräte funktional einem PC in der Schule vergleichbar, der Lehrkräften dort für die Verarbeitung von personenbezogenen Daten zur Verfügung steht, etwa der PC im Lehrerzimmer oder Lehrerarbeitsraum. Das heißt, es können mit Bezug auf die Verarbeitung von personenbezogenen Daten auf dem Dienstgerät alle Arbeiten erledigt werden wie auf dem entsprechenden Lehrer-Arbeitsplatz, der für Verwaltungsarbeiten eingerichtet.

Es gibt, das ist anzumerken, auch Lehrer Arbeitsplätze, die im pädagogischen Netzwerk eingebunden sind und nicht für schulinterne Verwaltungsarbeiten oder pädagogische Dokumentation genutzt werden können. Hier dürfte es jedoch um die Arbeitsplätze gehen, die auch für schulinterne Verwaltungsarbeiten eingerichtet sind.

Die Verarbeitung personenbezogener Daten auf den zentral verwalteten dienstlichen Geräten ist möglich und bedarf keiner gesonderten Genehmigung.  Auf den Dienstgeräten dürfen personenbezogenen Daten ohne eine zusätzliche Genehmigung (wie diese für privaten Endgeräte erforderlich ist) verarbeitet werden.
Es ist durch technische und organisatorische Maßnahmen, u. a. durch verschiedene Rechte und Rollen sicherzustellen, dass die Verarbeitung der personenbezogenen Daten nur durch Berechtigte im Rahmen der ihnen übertragenen Aufgaben erfolgen kann. Diese Passage ist eine Ergänzung zu den oben unter Zugangs zu den einzelnen Netzen gemachten Vorgaben. Neben einer Kontrolle des Zugangs zu den verschiedenen Netzwerken entsprechend der Aufgaben des Nutzers muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass diese dabei auch innerhalb der Netzwerke nur auf diejenigen personenbezogenen Daten Zugriff erhalten, deren Verarbeitung zur Erfüllung der ihnen übertragenen Aufgaben erforderlich ist.
Die getroffenen Maßnahmen sollten unter Berücksichtigung des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik erfolgen. Das MSB empfiehlt, dass die technischen und organisatorischen Maßnahmen, mit denen der Datenschutz bei der Verarbeitung von personenbezogenen Daten auf den Dienstgeräten gewährleistet wird, die Angaben zum IT-Grundschutz des BSI berücksichtigen

8. Wie soll die zentrale Geräteverwaltung umgesetzt werden?

Eine zentrale Geräteverwaltung ist seitens des Schulträgers zu errichten Anders als unter Nr. 9 (siehe oben) ist hier die zentrale Geräteverwaltung für die Dienstgeräte als zwingend vorgegeben, ähnlich wie in der Richtlinie selbst.
Dazu können bestehende Strukturen genutzt werden. Sollten diese nicht oder nicht im ausreichenden Maße vorhanden sein, verpflichtet sich der Zuwendungsempfänger, diese spätestens innerhalb von 24 Monaten ab Bewilligung zu schaffen (Nr. 6.2 RiLi Lehrerendgeräte). Verfügt der Schulträger bereits über Strukturen zur Verwaltung von Geräten, kann er diese dafür verwenden. Ist dieses nicht der Fall, so muss der Schulträger diese innerhalb von 24 Monaten schaffen. 

In Ergänzung ist hier die Vorgabe aus der Richtlinie zu sehen: “Es ist sicherzustellen, dass die schulgebundenen mobilen Endgeräte sofort verwendet und in die schulische Infrastruktur integriert werden können.

Der Schulträger muss zur Not bis zu 24 Monate irgendwie mit einer Notlösung überbrücken, da er die Dienstgeräte den Lehrkräften zur sofortigen Nutzung zur Verfügung stellen soll. Dabei muss er dann auch ohne zentrale Verwaltung dafür sorgen, dass Datenschutz und -sicherheit bei der Verarbeitung von personenbezogenen Daten auf den Geräten durch die Lehrkräfte gewährleistet sind.

In der Praxis könnte das bedeuten, dass nur eine eingeschränkte Nutzung etwa für pädagogische Zwecke möglich ist.

Die Geräteverwaltung kann zentral für jede Schule oder insgesamt für alle Schulen des Schulträgers erfolgen Die Vorgabe zur zentralen Verwaltung der Dienstgeräte wird genauer beschrieben. Es gibt zwei Möglichkeiten, eine zentrale Verwaltung, jedoch getrennt nach den Schulen, oder alternativ eine zentrale Verwaltung für alle Schulen gemeinsam.

Bei Schulen mit iPads wird eine zentrale Verwaltung nach Schulen getrennt am meisten Sinn machen, da die Lehrergeräte bei bekannten MDM nur dann in schulische Strukturen eingebunden werden können, wenn sie im gleichen MDM bzw. am gleichen Standort verwaltet werden.

Beim zentralen Gerätemanagement ist darauf zu achten, dass die Geräteverwaltung möglichst betriebssystemunabhängig ist. Die Schulträger sollen nach Möglichkeit eine betriebssystemunabhängige Geräteverwaltung nutzen. Die Vorgabe ist nicht zwingend und wird vor allem bei Schulträgern, die bereits Geräteverwaltungslösungen eingerichtet haben, nicht umsetzbar sein, außer man gibt bestehende Lösungen auf und wechselt auf andere Systeme.  
Bei der Bereitstellung der Geräte und insbesondere beim zentralen Gerätemanagement sowie der Nutzung der Geräte sind die Vorgaben des Datenschutzes zu beachten. Die Vorgaben des Datenschutzes müssen bei der Bereitstellung und der zentralen Verwaltung der Dienstgeräte berücksichtigt werden. Das meint die Verarbeitung der personenbezogenen Daten der Lehrkräfte selbst, die hier durch den Schulträger erfolgt. Die Lehrkräfte müssen gemäß Art. 13/ 14 DS-GVO über die dabei stattfindende Datenverarbeitung informiert werden und es ist eine Einwilligung in diese Datenverarbeitung bei den Lehrkräften einzuholen.
Bei der Einbindung der Geräte muss deren Nutzungszweck in der Schule berücksichtigt werden und welche Informationen zukünftig mit ihnen verarbeitet werden sollen.  In welche Netzwerke (siehe oben) die Dienstgeräte der Lehrkräfte letztendlich eingebunden werden, hängt davon ab, welche Informationen, und damit auch personenbezogene Daten, darauf verarbeitet werden sollen. Dieses richtet sich, wie an oben beschrieben, auch nach den den Nutzern übertragenen Aufgaben.

Das bedeutet, wenn auf dem Dienstgerät z.B. personenbezogene Daten im Zusammenhang mit einem AO-SF Verfahren verarbeitet werden sollen, so kann dieses Auswirkungen darauf haben, in welche Netzwerke das Gerät einbinden werden kann.

Über den Nutzungszweck der Dienstgeräte in der Schule sollte eigentlich die Schule entscheiden. 

Abgeleitet daraus ergeben sich spezifische Anforderungen für die Einhaltung der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit). Dem IT-Grundschutz des BSI können Umsetzungsempfehlungen entnommen werden (www.bsi.bund.de). Der Nutzungszweck des Dienstgerätes, die Arten von personenbezogenen Daten, die darauf verarbeitet werden sollen, und die Einbindung in Netzwerke geben vor, welche Anforderungen an die Informationssicherheit eingehalten werden müssen.

Ein Dienstgerät, welches dazu genutzt werden soll, personenbezogene Daten im Zusammenhang mit einem AO-SF Verfahren zu verarbeiten, muss in Bezug auf Informationssicherheit andere Anforderungen erfüllen als eines, welches nur für pädagogische Tätigkeiten genutzt werden soll.

Empfehlungen des BSI

Allgemein BSI-Grundschutz-Kompendium

dazu – Umsetzungshinweis INF.9 Mobiler Arbeitsplatz (Edition 2020)

BSI SYS.3.2.3 iOS (for Enterprise)  iOS for Education entspricht iOS for Enterprise funktional

und dazu SYS_3_2_3_iOS_for_Enterprise_2021.pdf

BSI SYS.2.2.3 Clients unter Windows 10

BSI SYS.3.1 Laptops

Stand 12/2020