Schlagwort: IT Sicherheit

Veröffentlicht am

Dienst iPad End of Life?

Lesezeit: 8 Minuten

Seit der Ausstattungsinitiative des Landes NRW im Juli 2020 sind iPads als Dienstgeräte für Lehrkräfte weit verbreitet.1Siehe auch https://www.news4teachers.de/2020/06/nrw-investiert-100-millionen-euro-fuer-200-000-lehrer-rechner-also-500-euro-pro-geraet/ Diese Zuwendung des Landes, welche Schulträger bei der Digitalisierung ihrer Schulen durch die Ausstattung der Lehrkräfte mit digitalen dienstlichen Endgeräten unterstützen sollten, war eine einmalige und begrenzte Aktion, die weder Mittel für Ersatz von defekten Geräten noch für die Ausstattung von Lehrkräften vorsah, welche nach der ursprünglichen Ausstattung neu an eine Schule kamen. Eine Nachfolge der Ausstattungsinitiative ist bisher nicht genauso wenig in Aussicht wie eine dauerhafte gesetzliche Regelung der Zuständigkeiten bei der Ausstattung von Lehrkräften mit dienstlichen Endgeräten. Das wird jetzt zunehmend zum  Problem, denn die seit 2020 Mit einer Zweckbindungsfrist von vier Jahren beschafften Geräte kommen in die Jahre. Unabhängig von der Ausstattungsinitiative des Landes hatten einzelne Schulträger bereits in den Jahren zuvor Lehrkräfte mit iPads ausgestattet, teils zur Nutzung als Dienstgerät, manchmal aber auch nur als Anzeigegerät in Kombination mit einer digitalen Tafel oder einem Projektor.

In diesem Beitrag soll es um die Frage gehen, wie zu verfahren ist, wenn ein Gerät, hier ein dienstlich genutztes iPad, sein End of Life (EOL) erreicht. EOL meint hier das Ende des Supports mit Funktions- und vor allem Sicherheitsupdates für das Gerät durch den Hersteller, Apple.

Für Schulen und Schulträger stellt sich die Frage, wie geht man mit der Situation um, was ist zu tun, wenn ein iPad EOL erreicht hat und wer ist hier eigentlich verantwortlich?

Informationen zum EOL von Apple Produkten

Für jede Generation von Geräten sichert Apple Support für mehrere Jahre zu, macht dabei aber keine verbindlichen Angaben, für wie viele Jahre der Support erfolgen wird. Nach dem Support Ende, welches erfahrungsgemäß bei 5+ Jahren liegt2Siehe hierzu https://techjunkies.blog/digital-life/support-ende-ipad-ipados-updates/, empfängt das Gerät keine regelmäßigen Updates mehr, weder Updates des Betriebssystems, iPad OS, noch Sicherheitsupdates. Bei besonders kritischen Sicherheitslücken erhalten iPads aber auch nach Überschreiten von 6 Jahren gelegentlich doch noch entsprechende Sicherheitsupdates.

Wie lange unterstützt Apple seine Geräte tatsächlich?

Wie oben bereits angedeutet, gibt es von Apple keine auf eine bestimmte Jahreszahl festgelegte Aussagen zur Dauer Supports bei iPads. In einem Dokument zur Langlebigkeit als Design Merkmal von Apple Geräten von Juni 2024 heißt es:

Apple hat eine nachweisbare Erfolgsbilanz bei der Bereitstellung weit verbreiteter und langlebiger Betriebssysteme, die weit über den historischen Branchenstandard hinausgehen, sowie Funktionsupdates für Betriebssysteme, die bis zu 6 Jahre nach der ursprünglichen Veröffentlichung der jeweiligen Geräte herauskamen. […]

Doch selbst wenn ein Apple-Produkt nicht mehr auf das neueste Betriebssystem von Apple aktualisiert werden kann, bemühen wir uns, wichtige Sicherheitsupdates für unsere Kund:innen bereitzustellen.”

Als Beispiel für ein Sicherheitsupdate wird ein Update von März 2024 für ein im Jahr 2015 eingeführtes Gerät mit iOS 15 und damit rund 9 Jahre altes Gerät angeführt. Apple wirbt mit der Langlebigkeit seiner digitalen Endgeräte, macht aber keine auf eine feste Jahreszahl festgelegte für alle Geräte geltende verbindliche Aussage dazu, wie lange Funktions- und Sicherheitsupdates bereitgestellt werden. Über die Faktoren, welche bei Apple darüber entscheiden, wie lange ein Gerät regelmäßige Updates erhält und wann ein Gerät über diesen Zeitraum hinaus Sicherheitsupdates erhält, kann nur spekuliert werden. Die Verkaufszahlen eines Gerätemodells und die Anzahl der noch in Gebrauch befindlichen Vertreter dieses Modells dürften eine wesentliche Rolle spielen. Im iPad Benutzer Handbuch gibt Apple eine Übersicht, welche iPad Modelle von der aktuellen Version iPadOS 26 unterstützt werden. Dazu gehören laut Wikipedia beispielsweise das

  • Pad (8. Generation) (Home-Button) – Verkauf ab September 2020
  • iPad (9. Generation) (Home-Button) – Verkauf ab September 2021
  • iPad (10. Generation) – Verkauf ab Oktober 2022

Das iPad (7. Generation) (Home-Button) – Verkauf ab September 2019 wird von iPadOS 26 nicht mehr unterstützt und hat am 26. Januar 2026 zeitgleich mit neueren Geräten ein Update auf die Version 18.7.4 erhalten, mit welchem Fehler behoben und Sicherheitslücken geschlossen wurden3Siehe hierzu https://support.apple.com/de-de/1001003. Ob es in Zukunft ein erneutes Sicherheitsupdate für iPads der 7. Generation geben wird,bleibt offen. Der aktuelle Stand der Sicherheitsupdates ist dokumentiert unter Apple Security Releases.

Screenshot der Apple Seite zu den Sicherheitsupdates
Screenshot von der Apple Seite zu den Sicherheitsupdates 01.02.2026

Rechtliche Aspekte

Bei der Betrachtung des EOL Problems sind in rechtlicher Hinsicht zwei Fragen relevant.

  • Welche Voraussetzungen müssen iPads als Dienstgeräte erfüllen, um darauf personenbezogene Daten zum Zweck der Aufgabenerfüllung verarbeiten zu können?
  • Wer ist zuständig für die Einhaltung der Vorgaben und die technische und organisatorische Umsetzung?

Rechtliche Vorgaben

Welche Voraussetzungen dienstliche digitale Geräte erfüllen müssen, damit auf ihnen personenbezogene Daten verarbeitet werden dürfen, regelt § 2 Abs. 1 VO-DV I.

“(1) Die automatisierte Verarbeitung der personenbezogenen Daten ist zulässig auf dienstlichen digitalen Geräten und in Netzwerken, wenn jeweils über die Konfiguration die Vertraulichkeit, Integrität und Verfügbarkeit gemäß Artikel 32 in Verbindung mit Artikel 5 der Datenschutz-Grundverordnung gewährleistet sind.

Eine entsprechende Formulierung findet sich auch in den FAQ zur Förderrichtlinie:

Bei der Einbindung der Geräte muss deren Nutzungszweck in der Schule berücksichtigt werden und welche Informationen zukünftig mit ihnen verarbeitet werden sollen. Abgeleitet daraus ergeben sich spezifische Anforderungen für die Einhaltung der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit).

Damit ist klar, welche Voraussetzungen ein dienstlich genutztes iPad erfüllen muss, wenn darauf personenbezogene Daten verarbeitet werden sollen. Vertraulichkeit, Integrität und Verfügbarkeit müssen gewährleistet sein. Sicherheitslücken im Betriebssystem eines iPads können dazu führen, dass eine oder mehrere dieser Voraussetzungen nicht mehr gewährleistet sind.

  • Vertraulichkeit bedeutet dabei, das iPad muss so sicher sein, dass nur berechtigte Personen auf die verarbeiteten personenbezogenen Daten Zugriff haben.
  • Integrität bedeutet, die Schutzmechanismen des iPads müssen gewährleisten, dass keine unbefugten Personen personenbezogene Daten, die auf dem Gerät verarbeitet werden, verändern können.
  • Verfügbarkeit heißt, dass Daten auf einem Gerät sicher gespeichert und bei Bedarf zuverlässig zugänglich sind, ohne dass sie durch Fehler oder unbefugte Eingriffe verloren gehen.

Zuständigkeiten

Für eine Vertraulichkeit, Integrität und Verfügbarkeit gewährleistende Konfiguration ist der Schulträger zuständig. Die Förderrichtlinie legt ihm  in der Richtlinie unter 1.1 entsprechende Pflichten auf.

Ziel ist es, Schulträger bei der Digitalisierung ihrer Schulen durch Ausstattung der Lehrkräfte mit digitalen dienstlichen Endgeräten sowie Schulen bei der rechtssicheren Arbeit mit personenbezogenen Daten nach den Vorgaben der §§ 120 bis 122 des Schulgesetzes NRW und der Verordnung für die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I) und der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO-VD II) zu unterstützen.”

Gemäß den Aussagen in den FAQ (siehe oben) leiten sich aus den Rechtsvorgaben der Richtlinie “spezifische Anforderungen für die Einhaltung der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit)” ab. D.h. mit anderen Worten, der Schulträger ist verpflichtet, dafür zu sorgen, dass diese Anforderungen von den iPads eingehalten werden.

Laut den FAQ zur Förderrichtlinie ist der Schulträger auch Eigentümer der Geräte: Die Geräte werden den Lehrerinnen und Lehrer unentgeltlich für die Dauer der dienstlichen Aufgabenerledigung zur Verfügung gestellt (Nr. 4.1. RiLi Lehrerendgeräte). Die Verteilung der Endgeräte obliegt der Verantwortung des
 Schulträgers. Eigentümer der Geräte bleibt der Schulträger.” Er kann damit nach Ablauf der Zweckbindungsfrist von 4 Jahren, die gemäß der Förderrichtlinie mit der Lieferung an den Schulträger beginnt4Die FAQ machen hier eine andere Aussage und rechnen ab “Bekanntgabe des Förderbescheides”. . und laut FAQ “spätestens am 31.07.2025” endet, frei über die Geräte verfügen.

Die Schulleitung ist ebenfalls in der Verantwortung.

In § 1 Abs. 1 VO-DV I heißt es entsprechend:

Für die Schule stellt die Schulleiterin oder der Schulleiter, für die Schulaufsichtsbehörde die Leiterin oder der Leiter der Behörde durch technische oder organisatorische Maßnahmen sicher, dass der Schutz der verarbeiteten Daten gemäß Artikel 32 in Verbindung mit Artikel 5 der [DS-GVO] gewährleistet ist und die Löschungsbestimmungen eingehalten werden.”

In Verbindung mit § 2 Abs. 1 VO-DV I bedeutet dieses: sobald die die dort definierten Vorraussetzungen – die “Einhaltung der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit)” – nicht mehr gegeben sind, dürfen auf einem dienstlichen iPad keine personenbezogenen Daten mehr verarbeitet werden. Die Schulleitung als Verantwortlicher im Sinne der DS-GVO kann dann nicht mehr den Schutz der Verarbeitung gewährleisten und darf eine Verarbeitung auf dem betroffenen Gerät nicht weiter zulassen.

Wann ist der kritische Punkt erreicht?

Da es von Apples Seite keine konkreten Aussagen zur Support Dauer für einzelne Generationen von iPads gibt, kann letztlich nur anhand der von Apple veröffentlichten Updates entschieden werden. Erscheinen für iPads neue Updates und die in der Schule als Dienstgeräte genutzten Geräte erhalten es nicht, ist zu prüfen, ob es für die Geräte relevant ist. Es geht hier primär um die Sicherheitsupdates und sekundär um Updates zur Fehlerbehebung.

Die Übersicht über die Sicherheitsupdates ist die erste Anlaufstelle, da die Sicherheitsupdates entscheidend sind für die Einhaltung der Informationssicherheit. Wie oben bereits beschrieben, hat beispielsweise das iPad der 7. Generation im Januar 2026 ein Sicherheitsupdate erhalten wie auch neuere Geräte. Damit ist es vorerst in der sicheren Zone bis das nächste Sicherheitsupdate erscheint.

Erscheint ein neues Sicherheitsupdate und berücksichtigt das Dienst iPad nicht, ist der kritische Punkt mit großer Wahrscheinlichkeit erreicht. Es wäre zwar theoretisch möglich, dass das Dienst iPad dieses Update nicht braucht, da es ausschließlich Sicherheitsupdates betrifft, welche in Verbindung mit einer neueren iPadOS Version oder neuerer Hardware auftreten. Ein Beispiel wäre ein Sicherheitsupdate, welches einen KI-Prozessor des iPad (Neural Engine) betrifft, den es aber in älteren Modellen noch nicht gibt. Schulen werden allerdings kaum in der Lage sein, eigenständig zu beurteilen, ob ein iPad ein bestimmtes Update benötigt oder nicht, weiterhin die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten.

Der kritische Punkt kann auch erreicht werden, wenn es für das betroffene iPad-Modell zwar ein Sicherheitsupdate gibt, das Gerät dieses jedoch mangels Speicherplatz nicht installieren kann. Das ist häufig der Fall bei Geräten mit sehr geringem Speicherplatz, wie etwa den Geräten mit 32 Gigabyte.

Welche Optionen sind verfügbar?

Wie geht man nun mit der Situation um, wenn die in der Schule genutzten Dienst iPads das zuletzt veröffentlichte Sicherheitsupdate nicht mehr erhalten haben oder nicht mehr installieren können?

Bei Sicherheitsupdates geht es primär um Sicherheitsrisiken, welche sich aus einer Nutzung des Internets und von Online gebundenen Diensten und Apps ergeben können. Nur sehr wenige Sicherheitsupdates betreffen die Sicherheit des Gerätes im Offline Bereich (z.B. Sicherheit des Touch ID-Fingerabdrucksensors). Man könnte also pragmatisch gedacht, iPads auch ohne Sicherheitsupdates weiter nutzen, wenn sie im Flugmodus genutzt werden und keinerlei Online Verbindung mehr aufbauen können, aus denen Risiken entstehen könnten. Diese Möglichkeit würde spätestens dann enden, wenn ein das Gerätemodell betreffendes Sicherheitsupdate veröffentlicht wird, welches die Offline Sicherheit der Geräte betrifft. Das Problem hierbei ist, dass ein Lehrer iPad ohne Internetzugang kaum brauchbar ist.

Solange Lehrkräfte über das Dienst iPad keine personenbezogenen Daten verarbeiten und es nur im Unterricht nutzen, um Inhalte auf einem Anzeigegerät anzuzeigen, ist das unproblematisch, da in diesem Fall § 2 Abs. 1 VO-DV I nicht greift. 

Exkurs Schülergeräte

Schüler iPads sind dann unproblematisch, wenn es sich um unpersonalisierte Koffergeräte handelt. Dezidierte Vorgaben wie § 2 Abs. 1 VO-DV I  für Lehrer Geräte gibt es hier nicht. Trotzdem wäre eine Nutzung, aus welcher durch ungepatchte Sicherheitslücken Risiken entstehen können, auch bei Schülerinnen und Schülern nicht vertretbar. Dies wäre je nach Nutzung der Fall, vor allem wenn es sich um personalisierte iPads handelt, die an Schülerinnen und Schüler entliehen sind.


Handlungsmöglichkeiten

  • Die Schulleitung erteilt den Lehrkräften wieder die Genehmigung zur Verarbeitung von personenbezogenen Daten auf privaten Endgeräten. Das Genehmigungsformular ist das alte von 2018. Es stimmt allerdings an einigen Stellen nicht mehr. Die Auf der dritten Seite unter “3. Art der verarbeiteten Daten und Dokumente” aufgeführten personenbezogenen Daten gemäß Anlage 3 VO-DV I, welche verarbeitet werden dürfen, haben sich erweitert. Man orientiert sich also nicht am Genehmigungsformular, sondern an der Anlage 3 der VO–DV I. Mit dieser Genehmigung überbrückt man die Zeit, bis neue Geräte bereitgestellt werden. Bis dahin dürften noch einige viele Monate ins Land gehen. Geld für die Beschaffung von Geräten wird es vermutlich frühestens 2026 geben.
  • Die zweite Option wäre, dass der Schulträger auf eigene Kosten Geräte beschafft. Das kommt in diesem Fall jedoch nicht infrage. (Man kann argumentieren, soviel man will, dass der Dienstherr, das Land, für die Ausstattung mit Geräten zuständig ist, doch damit setzt man das Land nicht unter Druck und es ändert nichts. Das Spiel wurde vor den Geräten aus der Ausstattungsinitiative über Jahre erfolglos gespielt. Die Rechtslage der finanziellen Zuständigkeiten ist aktuell nicht geklärt, wie auch im Jahr 2018, als ein Gutachten von 2018 sehr deutlich auf die fehlenden gesetzlichen Regelungen hinwies.5Wer nicht das ganze Dokument lesen will, schaut direkt auf Seite 52, wo es eine Zusammenfassung der Ergebnisse gibt.
  • Es gibt noch eine dritte Option. Hat man noch gut funktionierende, zum Ende des Förderzeitraums beschaffte, jüngere iPads für Schülerinnen und Schüler, so besteht die Möglichkeit einige davon zu Lehrergeräten zu machen. Das ist möglich, da die Zweckbindung bei diesen Geräten gemäß der Förderrichtlinie ebenfalls nach vier Jahren erlischt, die Geräte in das Eigentum des Schulträgers übergehen und dieser darüber verfügen kann, wie er für richtig hält. Es soll auch Geräte geben, die lange gelagert wurden, bevor sie zum Einsatz kamen, bzw. Geräte, die selten durch Schülerinnen und Schüler genutzt wurden.

Weitere Punkte

Kann man Geräte nach dem EOL nicht doch noch weiter nutzen?

Man kann iPads auch nach dem Ende der Support-Updates durchaus weiter nutzen, wenn sie noch funktionieren, nur sollte man sie eben nicht mehr zur Verarbeitung von personenbezogenen Daten nutzen, zumindest nicht, wenn sie weiterhin mit Internetzugang genutzt werden. Deaktiviert man den Zugriff auf das Internet und verarbeitet weiter personenbezogene Daten auf den Geräten, muss allerdings sichergestellt sein, dass die Verfügbarkeit der Daten gewährleistet ist. Dafür müssten die auf den Geräten verarbeiteten Daten regelmäßig über einen USB-Stick oder eine externe Festplatte, welche man mit einem passenden Adapter mit dem iPad verbindet, gesichert werden.

Und was, wenn Sicherheitsupdates für die dienstliche Nutzung keine Relevanz haben?

iPads sind grundsätzlich sehr sicher, auch wenn sie nicht alle Updates erhalten haben. Viele Sicherheitsupdates betreffen sehr eingegrenzte und spezielle Risiken, die im Kontext einer Nutzung als dienstliches iPad zur Verarbeitung von personenbezogenen Daten eher nicht relevant sind. Solange das iPad nicht ein Update benötigt, welches ein sehr breites Risiko adressiert, welches auch für die dienstliche Verarbeitung von personenbezogenen Daten ein Risiko darstellen würde, sind mögliche Risiken für die verarbeiteten Daten extrem gering und man könnte eine weitere Nutzung des Gerätes vertreten. Das würde jedoch bedeuten, dass man die veröffentlichten Updates und die beschriebenen Sicherheitslücken, welche sie adressieren, sehr genau verfolgen und analysieren muss, um von Update zu Update zu entscheiden, ob eine weitere Nutzung der Geräte vertretbar ist. Die entscheidende Frage ist hier dann jedoch, wer übernimmt die Beurteilung der Updates und vor allem, wer trägt dabei die Verantwortung?

Kann man die Sicherheit nicht durch Einschränkungen über das MDM verbessern?

Die Sicherheit verbessern kann man durch bestimmte Einschränkungen, die dann in der Regel auch die Funktionalität einschränken, ganz sicher. Aber wer trägt die Verantwortung, dass das auch alles ausreicht, die Sicherheit zu gewährleisten?

Wie sieht es mit Laptops aus?

Da je Lehrkraft lediglich maximal 500 Euro zur Verfügung standen, wurden überwiegend günstigere Laptops besorgt, die mit dem Windows Betriebssystem ausgestattet waren. Im Juli 2020 waren derartige Computer noch mit Windows 10 ausgestattet. Windows 11 stand ab Oktober 2021 zur Verfügung, konnte jedoch nur auf Geräten installiert werden, welche die Hardware-Voraussetzungen mit sich brachten. Der kostenlose Support für Windows 10 endete am 14. Oktober 2025. Microsoft hat mittlerweile angekündigt, den kostenlosen Support bis zum 14. Oktober 2026 zu verlängern. Bis dahin sind kostenfreie Updates für Geräte mit Windows 10 über das ESU-Programm verfügbar.6Siehe auch https://www.verbraucherzentrale.de/wissen/digitale-welt/apps-und-software/support-fuer-windows-10-endet-das-muessen-sie-wissen-105980 ESU steht für Extended-Security-Updates. Die beschriebene Option steht in dieser Form allerdings nicht für Dienstgeräte mit einer Education-Lizenz zur Verfügung. Schulträger können die Extended-Security-Updates jedoch für eine sehr geringe Gebühr erwerben.7siehe z.B. https://www.cotec.de/microsoft-windows-10-extended-security-per-device-700257-0107768 Gemäß der Förderrichtlinie sind Schulträger nicht verpflichtet, diese Kosten zu tragen, zumal die Zweckbindung der Geräte ohnehin abgelaufen ist.

Windows Laptops mit Windows 10, die als Dienstgeräte genutzt werden, und seit Mitte Oktober letzten Jahres 2025 keine Updates mehr erhalten, können demnach genau wie iPads, deren EOL erreicht ist, nicht mehr oder nur noch mit großen Einschränkungen zur Verarbeitung von personenbezogenen Daten genutzt werden.

Stand 02/2026

Datenschutzvorfall – und nun?

Lesezeit: 11 Minuten

Worum geht es?

Ein Datenschutzvorfall kann eine sehr ernste Sache mit weitreichenden Folgen sein. Wie zahlreiche Beispiele zeigen, kann es jede Schule betreffen.

Zu den Beispielen, die es in die Medien geschafft haben gehören aus dem Jahr 2023 der Cyberangriff auf die SIT, einen kommunalen Dienstleister in Südwestfalen, durch den viele Schulen zumindest vorübergehend nicht auf ihre Daten zugreifen konnten, wie auch der Datenverlust auf Schüler iPads von Abiturienten in Koblenz, ein Cyberangriff auf HeinekingMedia, den Anbieter eines digitalen Schwarzen Brettes, der Verlust von Chatinhalten und Nutzerdaten in einem schulischen Messenger an einer Bad Reichenhaller Schule durch einen Cyberangriff oder ein Ransomware Angriff auf Schulverwaltungsserver in Karlsruhe. Ende 2022 standen beispielsweise die Zugangsdaten zu Office von Nürnberger Schülern im Darknet. 2024 kam es bei dem Schulmitteilungs App ‚Stay Informed‘ zu einer Datenschutzverletzung, welche die personenbezogenen Daten von Personen an mehreren tausend Schulen betraf. Die Liste ließe sich nach lange fortführen und die Zahl der Vorfälle, die keine Schlagzeilen gemacht haben, ist noch deutlich größer.

Datenschutzverletzung

In Veröffentlichungen ist anstatt von einem Datenschutzvorfall meist von einer Datenschutzverletzung die Rede, da dieser Begriff sich in ähnlicher Form so auch in Art. 4 Nr. 12 DS-GVO findet.

4. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;”

Von einer Datenschutzverletzung redet man also, wenn personenbezogenen Daten aus der Zuständigkeit des Verantwortlichen:

  • verloren gehen,
  • Unbefugten zur Kenntnis kommen,
  • unbefugt gelöscht oder verändert werden.

Beeinträchtigt sind dabei die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Dabei ist unerheblich, welche Ursache die Datenschutzverletzung hat, ob sie absichtlich oder zufällig verursacht wurde, ob durch die Schule und ihre Angehörigen, einen Dienstleister oder Fremde, ob durch Softwarefehler, Hardwareversagen oder Naturkatastrophen.

In der schulischen Praxis geht es, wie die anfangs genannten Beispiele zeigen, um Fälle, in denen z.B.:

  • ein Datenverarbeitungsgerät, auf welchen personenbezogene Daten gespeichert sind oder über welchen der Zugriff auf personenbezogene Daten möglich ist, verlustig geht oder gestohlen wird. Das kann ein (Dienst)Laptop sein, ein Tablet oder auch eine Festplatte, ein USB Speichermedium, ein Server oder anderer Rechner.
  • Dritte über einen Hackerangriff Zugriff auf personenbezogene Daten der Schule erhalten und diese
    • entwenden,
    • veröffentlichen,
    • durch Verschlüsselung dem Zugriff der Schule entziehen.
  • Personenbezogene Daten aus der Schule unbefugten Dritten gegenüber offengelegt wurden, etwa indem
    • sie per E-Mail irrtümlich an einen falschen Empfänger übermittelt wurden,
    • offen zugänglich waren und durch Schüler kopiert oder abfotografiert wurden.
  • eine Schule den Zugriff auf personenbezogene Daten verliert, etwa weil
    • ein für das digitale Klassenbuch genutzter Dienstleister gehackt wurde,
    • das Archiv der Schule mit Zeugnissen und Klassenbüchern einer Naturkatastrophe zum Opfer fiel,
    • der Schrank, in welchem die Schülerakten aufbewahrt werden, bei einem Feuer vernichtet wurde.

Da ein Datenschutzvorfall jede Schule treffen kann, selbst wenn sie nur mit einem Minimum an digitalen Tools in Verwaltung und Unterricht arbeitet, ist es entscheidend, dass sowohl Schulleitungen als Verantwortliche wie auch Lehrkräfte als Datenverarbeitende in der Lage sind, einen solchen Vorfall zu erkennen und richtig zu reagieren, um den Schaden möglichst einzugrenzen und den datenschutzrechtlichen Vorgaben zu genügen, die in einem solchen Fall greifen.

10 Punkte

Die folgenden 10 Punkte stellen dar, was es bei einer Datenschutzverletzung zu beachten bzw. zu erledigen gibt. Ihre Reihenfolge kann je nach Fallkonstellation abweichen und gegebenenfalls sind nicht alle Punkte relevant.

  1. Feststellen, dass es (möglicherweise) eine Datenschutzverletzung gibt,
  2. Meldung der (möglichen) Datenschutzverletzung an die Schulleitung (Verantwortlicher),
  3. Ermitteln, welche Daten und Personen (möglicherweise) betroffen sind,
  4. Schulleitung informiert behördlich bestellte(n) schulische(n) Datenschutzbeauftragte(n), 
  5. Risikoabschätzung,
  6. wenn möglich Maßnahmen zur Schadensbegrenzung,
  7. gegebenenfalls Meldung an die Aufsichtsbehörde,
  8. gegebenenfalls Benachrichtigung der Betroffenen,   
  9. Dokumentation,
  10. technische und organisatorische Maßnahmen, um vergleichbare Datenschutzverletzungen für die Zukunft auszuschließen.

Datenschutzverletzung – ja/ nein?

Eine Datenschutzverletzung liegt vor, wenn …

  • sicher ist oder eine Wahrscheinlichkeit besteht, dass Daten gegenüber Unbefugten offengelegt wurden bzw. dass eine Möglichkeit besteht, dass Unbefugte Zugriff auf Daten der Schule haben, hatten oder gehabt haben könnten,
  • Daten durch Löschung, Vernichtung, Verschlüsselung, Verlust des Zugangs zu den Daten oder ähnlich nicht mehr verfügbar sind,
  • Daten verändert wurden und die Veränderung nicht erklär- oder nachvollziehbar ist, so dass von einer unbefugten Veränderung der Daten ausgegangen werden muss,

Meldung an Schulleitung

Kommt eine Lehrkraft oder sonstige an der Schule beschäftigte Person zu dem Schluss, dass (möglicherweise) eine Datenschutzverletzung vorliegt, informiert sie die Schulleitung entsprechend den in der Schule abgesprochenen Regeln möglichst unmittelbar. Dabei sollte sie möglichst präzise Angaben machen können zur möglichen Datenschutzverletzung.

Ermittlung betroffener Personen und Daten

Die Schulleitung analysiert nun genauer:

  • welche Arten von Daten betroffenen sind und in welchem Umfang,
  • welche Personen/ Personengruppen/ Klassen/ Kurse,
  • in welcher Art und Weise eine Datenschutzverletzung besteht,
  • wann es zur Datenschutzverletzung kam bzw. wann sie entdeckt wurde,
  • wie lange die Datenschutzverletzung besteht bzw. bestand,

um festzustellen, ob eine Datenschutzverletzung vorliegt oder nicht.

Datenschutzbeauftragten hinzuziehen

Es empfiehlt sich immer, die oder den behördlich bestellte(n) schulische(n) Datenschutzbeauftragte(n) zu informieren und beratend hinzuzuziehen. Das kann auch direkt dann erfolgen, wenn die Schulleitung die Meldung einer Lehrkraft, sonstigen an der Schule beschäftigten Person oder von anderer Seite bekommt.

Risikoanalyse

Steht fest, dass eine Datenschutzverletzung vorliegt, muss eine Risikoanalyse vorgenommen werden, um zu entscheiden, welche Schritte als Nächstes erforderlich sind. Die zuvor zusammengetragenen Informationen zu den Kategorien von betroffenen Personen und Kategorien von Daten sowie die Art und Weise und Dauer der Schutzverletzung müssen dazu in Relation gesetzt werden, um die Eintrittswahrscheinlichkeit eines Schadens ermitteln zu können, wie auch die Schwere eines möglichen Schadens.

  1. Wie schwer ist der mögliche Schaden für die betroffenen Personen?
  2. Wie wahrscheinlich ist es, dass aus der Datenschutzverletzung ein Schaden für die betroffenen Personen entsteht?
  3. Gesamtbewertung und Ergebnis der Risikobeurteilung

(1) Schwere des möglichen Schadens

Hier geht es um die Nachteile, welche Betroffene bezüglich ihrer Rechte und Freiheiten infolge der Datenschutzverletzung möglicherweise erfahren. Während in einigen Fällen die Nachteile unmittelbar offenkundig werden, muss in vielen Fällen abgeschätzt werden, welche Nachteile entstehen könnten, wenn sich die Datenschutzverletzung auswirkt. Beispiele für Schäden sind etwa:1Quelle ist hier das Formular zur Meldung von Datenschutzverletzungen der LDI NRW.

  • Identitätsdiebstahl
  • Betrug
  • finanzielle Verluste
  • Gefährdung des Berufsgeheimnisses
  • Verlust der Kontrolle ihrer personenbezogener Daten Einschränkung von Rechten
  • Diskriminierung
  • Aufhebung der Pseudonymisierung
  • Rufschädigung
  • erhebliche wirtschaftliche Nachteile
  • erhebliche gesellschaftliche
  • Nachteile Gefahr für Leib und Leben

(2) Wahrscheinlichkeit, dass ein Schaden eintritt

Der mögliche Schaden ist nur ein Faktor. Ob dieser Schaden tatsächlich eintritt bzw. wie wahrscheinlich es ist, dass er eintritt, wirkt sich wesentlich auf die Risikobewertung aus. Bestand an einer von der Schule genutzten Plattform über längere Zeit eine Sicherheitslücke, über welche Unbefugte persönliche Daten hätten entwenden können, es sind diese Daten jedoch an keiner Stelle aufgetaucht und es ist auch kein Missbrauch dieser Daten bekannt, ist die Wahrscheinlichkeit eines Schadenseintritts eher gering. Wurden Daten bei einem Ransomware Angriff durch die Hacker entwendet, ist die Eintrittswahrscheinlichkeit eines Schadens meist hoch, da die Erpresser in vielen Fällen Daten veröffentlichen.

Gesamtbewertung

Zur Gesamtbewertung wird mit Hilfe der Bewertungsmatrix die Schwere des möglichen Schadens in Relation zu Eintrittswahrscheinlichkeit gesetzt. Man sieht dann mit einem Blick anhand der Farben, ob ein Risiko oder gar ein hohes Risiko vorliegt. Entsprechend dem Ergebnis ergeben sich die nachfolgenden Schritte.

Wie die folgende Matrix zeigt, muss eine Datenschutzverletzung, selbst wenn Betroffenen potentiell ein großer Schaden entstehen kann, nicht automatisch auch zu einem hohen Risiko führen, wenn die Eintrittswahrscheinlichkeit für einen Schaden lediglich geringfügig ist. Das wäre beispielsweise der Fall,  gestohlene Daten zwar sensible Inhalte haben, der Datenträger, auf dem sie liegen, wie auch die Datenbank, in welcher sie gespeichert sind, sehr gut verschlüsselt sind.

Bewertungsmatrix

Mit der Matrix lässt sich feststellen, ob nur ein geringes Risiko vorliegt, ein Risiko oder ein hohes Risiko. Es gibt verschiedene Varianten dieser Matrix. Einige haben eine feinere Abstufung, etwa mit 5 Stufen.

Meldung an die Aufsichtsbehörde

Gemäß Art. 33 DS-GVO ist eine Meldung an die zuständige Aufsichtsbehörde erforderlich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung,  sofern sie voraussichtlich zu einem Risiko für die Betroffenen führt. In NRW kann dafür ein Formular der Aufsichtsbehörde genutzt werden. Auch in anderen Bundesländern bieten Aufsichtsbehörden vergleichbare Funktionen in ihren Internetauftritten an.

Kommt die Gesamtbewertung aus der Risikoanalyse zu dem Schluss, dass insgesamt nur ein geringes Risiko vorliegt, ist eine Meldung nicht erforderlich.

Information der Betroffenen

Liegt ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vor, kommt gem. Art. 34 DS-GVO zur Meldung an die Aufsichtsbehörde auch noch die Information der Betroffenen selbst hinzu. Wie dieses erfolgt, hängt vom Einzelfall ab. Geht es um eine Datenschutzverletzung, die alle oder nahezu alle Mitglieder der Schulgemeinschaft betrifft, kann die Meldung u.U. über die Schulehomepage in Kombination mit E-Mail oder einer schulischen Mitteilungs-App erfolgen.

Maßnahmen zur Schadensbegrenzung

Nach Möglichkeit wird versucht, den möglichen Schaden, welcher für Betroffene entstehen könnte, zu begrenzen. Welche Maßnahmen wann umgesetzt werden, hängt auch hier vom Einzelfall ab. Wurden beispielsweise die Zugangsdaten zu einer schulischen Plattform gestohlen, wird man in der Plattform die Passwörter zurücksetzen und die Betroffenen informieren, dass sie sich beim nächsten Anmelden neue Passwörter vergeben müssen. Haben Hacker Zugriff auf einen schulischen Server erhalten, wird man diesen vom Netz trennen und herunterfahren. Sind schulische Daten verloren gegangen, wird man sie so weit wie möglich aus anderen Quellen rekonstruieren. Welche Maßnahmen hier in Frage kommen, ist auf der Seite Hilfe ein Cyberangriff der LDI NRW dargestellt.

Dokumentation

Egal wie sich der Fall einer Datenschutzverletzung entwickelt, einer Dokumentation bedarf es in jedem Fall, also auch wenn es keine Meldung an die Aufsichtsbehörde gibt. Verantwortliche können dann ihr Vorgehen nachweisen, sollte es erforderlich sein. Das kann geschehen, wenn sich nachträglich herausstellt, dass die Risikoanalyse zu einem falschen Ergebnis gekommen ist und doch eine Meldung an die Aufsichtsbehörde oder eine Information der Betroffenen erforderlich gewesen wäre. Genauso kann es sein, dass eine betroffene Person eine andere Auffassung vertritt als die Schule und die Aufsichtsbehörde einschaltet. Um sich die Dokumentation zu erleichtern, kann man auch das Web Formular der LDI NRW zur Meldung einer Datenschutzverletzung nutzen. Dieses führt einen durch die erforderlichen Schritte der Dokumentation. Man speichert es sich dann als PDF. Was die Dokumentation enthalten sollte, stellt die LDI NRW auch auf der Seite Hilfe ein Cyberangriff übersichtlich dar.

72 Stunden

Die Frist von 72 Stunden ist in der DS-GVO eher als Orientierung gedacht. Entsprechend heißt es in Art 33 Abs. 1 Satz 1:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, …

Schulen sollten diese Vorgabe nach Möglichkeit einhalten, auch weil die Aufsichtsbehörde u.U. wichtige Hilfestellungen geben kann, und je nach Datenschutzverletzung kann Zeit ein kritischer Faktor sein. Wichtig ist, dass die Uhr erst tickt, nachdem der Verantwortliche, also die Schulleitung davon erfahren hat.

Maßnahmen im Nachgang

Ist der Fall einer Datenschutzverletzung abgeschlossen, sollte dieser auf jeden Fall aufgearbeitet werden. Welche Maßnahmen sinnvoll sind, hängt vom Einzelfall ab. Ereignete sich der Vorfall bei einem Dienstleister, kann die Schule nicht viel machen, außer eventuell den Dienstleister wechseln, sollte das Vertrauen unwiderruflich beschädigt sein. Bei Datenschutzverletzungen, in welche die Schule oder ihre Mitarbeiter unmittelbar involviert waren, sollte das bestehende Datenschutzkonzept überprüft und gegebenenfalls angepasst werden, um vergleichbare Datenschutzverletzungen für die Zukunft möglichst auszuschließen. Eine Dienstanweisung2Mehr Informationen zur Dienstanweisung finden sich weiter unten im Beitrag. ist, sofern noch nicht vorhanden, eine weitere Möglichkeit für die Zukunft besser aufgestellt zu sein. Ergänzend sollte gegebenenfalls eine Schulung des Kollegiums erfolgen. Je nach Fall kann es sein, dass zusätzliche technische und organisatorische Maßnahmen  eingerichtet und bestehende verbessert werden müssen.

Beispiele

Da jede Risikoanalyse letztlich eine Einzelfallbewertung ist, können hier nur beispielhafte Aussagen gemacht werden, die aber hoffentlich eine Idee geben, worauf es ankommt. Verschiedene Personen können je nach Fall durchaus auch zu voneinander abweichenden Gesamtbwertungen kommen.

  • Ein Eltern E-Mail mit allgemeinen Informationen wurde versehentlich mit offenem Verteiler versandt. Alle Eltern konnten so die privaten E-Mail Adressen aller anderen Eltern sehen.
    • Es ist hier zu einer Verletzung der Vertraulichkeit von personenbezogenen Daten gekommen.
    • Mögliche Nachteile für Betroffene könnten sein: unerwünschte Kontaktaufnahme; Werbe-E-Mails, falls die Adressen entsprechend genutzt werden; Spoofing – ein Empfänger täuscht E-Mails mit der Adresse von anderen Eltern vor, um falsche Informationen zu verbreiten, aufzuwiegeln, …
    • Eintrittswahrscheinlichkeit: die Wahrscheinlichkeit des Missbrauchs durch Eltern dürfte eher gering sein; dass die Verteilerliste an Personen außerhalb der Schulgemeinschaft gelangt, sollte eher gering sein
    • Gesamtbewertung: Es liegt insgesamt ein geringes Risiko vor. Die Schule dokumentiert den Fall und macht keine Meldung an die Aufsichtsbehörde.
    • Maßnahmen: Die Schule weist die Betroffenen jedoch auf die Datenschutzverletzung hin und entschuldigt sich dafür. Außerdem macht sie alle Eltern darauf aufmerksam, dass sie die E-Mail Adressen nicht zur Kontaktaufnahme nutzen dürfen oder weitergeben dürfen und sie löschen sollten. Die Schulleitung erstellt eine Dienstanweisung zum Versenden von E-Mails und führt eine Schulung aller Mitarbeiter durch.
  • Das Dienst-iPad einer sonderpädagogischen Lehrkraft wurde gestohlen. Auf dem Gerät waren Entwürfe für mehrere sonderpädagogische Gutachten und Unterlagen für AO-SF Verfahren, wie auch Entwürfe für individuelle Förderpläne und Textzeugnisse gespeichert.
    • Es geht in diesem Fall um besondere Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DS-GVO und den möglichen Verlust der Verfügbarkeit wie auch der Vertraulichkeit.
    • Mögliche Nachteile für Betroffene könnten sein: Sollten Unbefugte Zugriff auf die Unterlagen bekommen, drohen den Betroffenen möglicherweise Rufschädigung, ein Verlust über die Kontrolle der eigenen Daten, Diskrimierung sowie erhebliche wirtschaftliche und gesellschaftliche Nachteile.
    • Eintrittswahrscheinlichkeit: Da das Gerät zugangsgeschützt ist mit sechsstelligem Code und Fingerabdruck und die Daten auf dem Gerät verschlüsselt sind, ist die Wahrscheinlichkeit, dass Unbefugte an die Daten gelangen sehr gering. Außerdem kann die Schule das Gerät aus der Ferne löschen, sobald es online geht.
    • Gesamtbewertung: Da es, unabhängig von der Anzahl der betroffenen Personen, um besondere Kategorien von Daten geht, ist die Schwere des möglichen Schadens groß. Die Eintrittswahrscheinlichkeit dürfte bei 2 oder 3 liegen. Die Schule meldet den Vorfall an die Aufsichtsbehörde und informiert die Eltern der Betroffenen und die Betroffenen selbst.
    • Maßnahmen: Die Schule setzt das Gerät über das Mobile Device Management (MDM) zurück, so dass alle Daten am Gerät gelöscht werden. Verlorene Inhalte werden, sofern nicht an anderer Stelle gesichert neu erstellt.

Thema Auftragsverarbeiter

Eine Datenschutzverletzung muss nicht in der Schule oder bei einer an der schulischen Datenverarbeitung beteiligten Person wie einer Lehrkraft stattfinden, sondern kann sich auch bei einem Dienstleister ereignen. In einem solchen Fall, etwa beim Anbieter eines digitalen Klassenbuches, eines Schulmessengers, eines pädagogischen Servers, einer Lehr- und Lernplattform oder einer Arbeits- und Kommunikationsplattform, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unmittelbar zu informieren. Verträge zur Auftragsverarbeitung enthalten hierzu entsprechende Klauseln. Ein Beispiel dafür ist die folgende Passage:

6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.3Stammt aus einem Vertragsmuster für öffentliche Stellen, welches die Aufsichtsbehörde Sachsens einmal zur Verfügung gestellt hat.

Sammelmeldung durch einen Auftragsverarbeiter

Arbeitet ein Auftragsverarbeiter wie etwa ein kommunales Rechenzentrum oder ein großer Plattformanbieter für viele Schulen, dann können von einer Datenschutzverletzung bei diesem Dienstleister u.U. auch alle den Dienstleister nutzenden Schulen betroffen sein. In diesem Fall ist es möglich, dass dieser Dienstleister eine gesammelte Meldung bei der zuständigen Aufsichtsbehörde macht. Dieses setzt aber die Einhaltung einiger Formalien voraus. Dazu gehören u.a. die vorherige Information des Verantwortlichen und eine schriftliche Weisung durch denselben an den Auftragsverarbeiter. Weitere Details zum Verfahren finden sich auf der Meldeseite der LDI NRW unter der FAQ “Dieselbe Datenpanne betrifft mehrere Verantwortliche Stellen – Kann eine Sammelmeldung für alle Verantwortlichen erfolgen?”4“Im Falle einer Verletzung des Schutzes personenbezogener Daten bei einem Dienstleister oder Auftragsverarbeiter, die mehrere Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO betrifft, obliegen die Melde-, Benachrichtigungs- und Dokumentationspflichten nach Art. 33, 34 DS-GVO den Verantwortlichen. Es ist jedoch möglich, dass eine Sammelmeldung durch eine zentrale Stelle erfolgt, solange gesichert ist, dass die verantwortlichen Stellen ihren Sitz in NRW haben bzw. der Aufsicht der LDI unterliegen, gemäß Art. 33 Abs. 2 DS-GVO über den Vorfall informiert wurden (sofern eine Auftragsverarbeitung vorliegt), die zentrale Stelle dazu berechtigt haben, für sie die Meldung an die zuständigen Aufsichtsbehörden abzugeben (bspw. in der Form einer Sammelmeldung), bei der Risikobeurteilung beteiligt wurden und bei der Auswahl und Umsetzung von Maßnahmen zur Abhilfe, Abmilderung und Vermeidung eines erneuten Auftretens der Datenpanne sowie der ggf. zu erfolgenden Benachrichtigung der betroffenen Personen einbezogen wurden – insbesondere bezüglich Maßnahmen, die im Einflussbereich der Verantwortlichen liegen. In einer solchen Sammelmeldung müssen die nach Art. 33 Abs. 3 DS-GVO geforderten Informationen differenziert für die einzelnen Verantwortlichen als Anlage beigefügt werden.”

Die Aufsichtsbehörde meldet sich

Es kann vorkommen, dass Betroffene bei der Aufsichtsbehörde eine Datenschutzverletzung anzeigen. In einem solchen Fall meldet sich die Aufsichtsbehörde. Dies war beispielsweise der Fall als es bei einem von Schulen genutzten Dienstleister eine Datenschutzverletzung in Form einer Sicherheitslücke gab, von welcher einige Schulen nichts mitbekommen hatten. Das Schreiben der Aufsichtsbehörde begann wie folgt:

Unter Bezugnahme auf Art. 58 Abs. 1 lit. a DS-GVO i. V. m. § 27 Abs. 2 DSG NRW fordere ich Sie auf, zu dem dargestellten Sachverhalt Stellung zu nehmen. Ich empfehle Ihnen, die bzw. den Datenschutzbeauftragte(n) Ihrer Behörde zu beteiligen. Die Stellungnahme soll gleichzeitig dazu dienen, dass Sie die Angelegenheit aus Ihrer Sicht erläutern können und mindestens folgende Punkte umfassen:

    • Sind Ihnen die besagten Sicherheitslücken bekannt geworden und wenn ja, wann?
    • Wann wurde die Aktualisierung des Produkts XYZ, die die Sicherheitslücken behebt, für Ihre XYZ-Instanz vorgenommen?
    • Ist es nach Ihrer Einschätzung aufgrund der Sicherheitslücken zu einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO gekommen?
    • Wenn ja, wie schätzen Sie das Risiko für die Rechte und Freiheiten natürlicher Personen ein, das von der Verletzung ausgeht?

Ich weise Sie darauf hin, dass Sie mir gemäß Art. 33 DS-GVO Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt wurde, melden müssen, sofern …

Datenschutzverstoß

Eine Datenschutzverletzung kann auch einen Datenschutzverstoß, also einen Verstoß gegen die Vorgaben der DS-GVO, darstellen bzw. aus einem Datenschutzverstoß herrühren. Aber nicht jeder Datenschutzverstoß ist eine Datenschutzverletzung. Wenn eine Schule nicht über eine Datenverarbeitung gemäß Art. 13 DS-GVO infomiert, ist das ein Datenschutzverstoß, jedoch keine Datenschutzverletzung. Legt die Schule personenbezogene Daten wie beispielsweise Notenlisten für die Zeugniserstellung ungeschützt in einem Verzeichnis auf dem Server ab, auf dem auch die Schulwebsite liegt, ist dieses sowohl ein Datenschutzverstoß als auch eine Datenschutzverletzung.

Dienstanweisung

Es empfiehlt sich für Schulen, den Umgang mit Datenschutzvorfällen bzw. Datenschutzverletzungen über eine Dienstanweisung zu regeln. Das erleichtert allen Beteiligten die Handhabung, wenn es tatsächlich einmal einen Fall geben sollte. Aus der Dienstanweisung sollte hervorgehen, wann von einer Datenschutzverletzung ausgegangen werden muss, welche Maßnahmen eventuell direkt ergriffen werden können, wie die Schulleitung zu informieren ist und wann, und welche Schritte die Schulleitung unternimmt.

Download Vorlage: Dienstanweisung zum Umgang mit Datenschutzverletzungen.docx

Weiterlesen

04/2024

Veröffentlicht am

Wenn Windows 10 – dann unbedingt die Education Version

Lesezeit: 2 Minuten

Im Januar 2020 stellte Microsoft, wie lange vorher angekündigt, endgültig den Support von Windows 7 ein1Microsoft bietet Kunden allerdings noch bis zu  3 Jahre die Möglichkeit, Updates gegen Gebühr zu erhalten. Problematisch ist jedoch, dass mit der Zeit immer mehr Software nicht mehr sicher auf Windows 7 laufen wird, da die Hersteller den Support ihrer Software für das veraltete System einstellen werden. Dazu gehören auch Virenscanner – siehe auch Windows-7-Support-Ende: Rund 500 Millionen PCs unsicher; abgerufen am 01.02.2020. Schulen, welche dieses mittlerweile über 10 Jahre alte Betriebssystem in Verwaltung und pädagogischem Netz nutzten, sind in der Regel direkt auf Windows 10 umgestiegen, um weiterhin sicher arbeiten zu können. Als dann im letzten Jahr Meldungen aufkamen, dass Windows 10 aufgrund der an Microsoft übermittelten Telemetriedaten nicht datenschutzkonform betrieben werden könne, war die Unsicherheit groß. Im nun vorliegenden 9. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2019 wird jetzt Entwarnung gegeben. Eine von der Datenschutzkonferenz beauftragte Arbeitsgruppe unter Leitung des Bayerischen Landesbeauftragten für den Datenschutz führte im Dezember 2019 unter Beteiligung von Microsoft Mitarbeitern eine Laboranalyse von Windows 10 durch. Getestet wurde die Windows 10 Enterprise Edition (Version 1909). Mit Hilfe der von Microsoft offiziell zur Verfügung gestellten Informationen und Tools wurde das System auf das Telemetrielevel “Security” eingestellt.

Im Ergebnis konnte so der Nachweis erbracht werden, dass die Übermittlung von Telemetriedaten an Microsoft erfolgreich unterbunden werden kann.2Wie im Bericht erwähnt, wurden in der Konfigurationeinstellung aus Sicherheitsgründen nicht sämtliche Datenabflüsse unterbunden, auch wenn dieses technisch möglich ist. Siehe Seite 22 im Bericht. Im Bericht lautet das Fazit deshalb:

Vom Ergebnis konnte bei diesem Treffen in unserem technischen Labor festgestellt werden, dass die datenschutzrechtlich kontrovers diskutierten Telemetriedaten bei Einsatz der Enterprise Version (und damit auch bei der Education-Version) im überprüften Szenario deaktivierbar sind.

Der Labortest von Windows 10 Enterprise fand unter kontrollierten Bedingungen statt. Im schulischen Alltag findet die Nutzung jedoch in der Regel in einer verwalteten Umgebung statt, da die Windows PCs Teil eines Netzwerks sind. Deshalb ist die Aussage des Bayerischen Landesbeauftragten für den Datenschutz mit einer kleinen Einschränkung versehen.3Es gibt genau genommen noch eine weitere Einschränkung. Die Aussagen im Bericht beziehen sich nur auf das Thema Telemetriedaten. Etwaige andere Datenschutzprobleme, die bei einer Nutzung von Windows 10 auftreten können, sind dabei nicht berücksichtigt. Damit sichert sich der Bayerische Landesbeauftragte für den Datenschutz rechtlich ab.

Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar.

Man dürfte aber wohl davon ausgehen können, dass bei fachmännisch administrierten Windows 10 Education PCs das Laborergebnis replizierbar ist.

Was bedeutet das für Schulen?

Schulen, die Windows 10 einsetzen oder auf diese Version wechseln wollen, müssen eine Education Version nutzen und zwar in der Version 19094Man sollte davon ausgehen können, dass auch künftige Versionen die gleichen Möglichkeiten bieten werden, die Übermittlung von Telemetriedaten an Microsoft zu unterbinden. und müssen diese mittels der von Microsoft bereitgestellten Informationen und Tools auf das Telemetrielevel “Security” einstellen. Nur dann ist es möglich, die Übermittlung von Telemetriedaten an Microsoft datenschutzkonform zu unterbinden.

Lizenzrechtlich ist es zulässig, Windows 10 Education sowohl im pädagogischen Bereich wie auch der schulischen Verwaltung zu nutzen5Siehe dazu das PDF Microsoft-Berechtigungskriterien für Qualifizierte Nutzer für Forschung & Lehre (EMEA).pdf; abgerufen am 01.02.2020. Dort werden auch “Verwaltungsbüros einer Ausbildungseinrichtung” als berechtigt aufgeführt. .

Auch beim Einsatz von Microsoft 365 (ehemals Office 365), für welches es bisher leider noch keine vergleichbaren Aussagen der Aufsichtsbehörden gibt, ist für Schulen dringend die Nutzung von Education Versionen zu empfehlen. Genau wie bei Windows 10 bieten nur diese Versionen – neben Enterprise Versionen – die umfangreichsten Möglichkeiten, Einfluss auf die Datenabflüsse an Microsoft zu nehmen. Hinzu kommt noch, dass Microsoft bei den Education Versionen zusätzliche Versicherungen abgibt, Nutzungsdaten nicht zur Profilbildung zu Werbezwecken zu verwenden.

Update 1

Vom Dezember 2020 gibt es bei Heise einen Bericht zum aktuellen Stand der Arbeit der DSK – Datenschützer: Windows-10-Nutzer bei Telemetrie nicht aus dem Schneider. Demnach sind die beiden Versionen Home und Pro weiterhin nicht ohne Übermittlung von Telemtriedaten nutzbar. Die Win 10 Pro Version wird auch in schulischen Verwaltungen eingesetzt. Zu empfehlen ist das nicht. Schulen haben es oftmals nicht in der Hand, da der Schulträger oder der von diesem beauftragte IT Dienstleister die Windows Version bestimmt. Hier sollten Schulleiter deutlich Einspruch erheben.

Update 2

Das BSI stellt seine Sicherheitseinstellungen für Windows 10 jetzt öffentlich zur Verfügung.

Die empfohlenen Konfigurationseinstellungen gibt es als direkt in Windows importierbare Gruppenrichtlinienobjekte (GPO) zum Download.

Stand 05/2021

Passwörter und Zugriffsschutz

Lesezeit: 8 Minuten

Wenn es darum geht, personenbezogene Daten zu schützen, dann spielen Passwörter und andere Formen des Zugriffsschutzes eine besonders wichtige Rolle. Untersuchungen zeigen immer wieder, dass gerade dabei sehr viel falsch gemacht wird von Benutzern. In diesem Beitrag soll deshalb mit Blick auf Schule gezeigt werden, wo die Gefahren lauern und wie der Schutz für den Zugang zu Rechnern, Mobilgeräten, Software, Apps und Online-Plattformen verbessert werden kann.

Risiko – Ausspähen von Passwörtern

Gerade in der Schule, wo viele Menschen aufeinander treffen, ist es leicht möglich, andere bei der Eingabe von Passwörtern zu beobachten. Vor allem bei Passwörtern von geringer Komplexität ist es sehr einfach, diese Passwörter bei der Eingabe mit zu lesen und zu merken.

Maßnahme – alternative Authentifizierung

Vor allem Endgeräte wie Computer, Smartphones und Tablets bieten heute die Möglichkeit, alternative Anmeldeverfahren einzurichten. Windows-Rechner erlauben es, je nach Hardware zusätzlich eine Authentifizierung über Fingerabdruck, Security Key und ähnlich einzurichten. Moderne Apple Rechner bieten in der Regel eine Authentifizierung über Fingerabdruck. Gleiches ist auch bei vielen Mobilgeräten möglich. Lehrkräfte sollten diese Möglichkeiten nutzen, um den Zugang zum Gerät zu schützen, wenn sie dieses mit in den Unterricht nehmen. Von der Nutzung von PIN-Nummern und in Entsperrmustern sollte aus Sicherheitsgründen in diesen Umgebungen abgesehen werden.

Maßnahme – 2 Faktor Authentifizierung

Mit zwei Faktor Authentifizierung (2FA) ist die Absicherung eines Zugangs mit einem zweiten Geheimnis gemeint. D. h., es muss nicht nur ein Passwort eingegeben werden oder ein Fingerabdruck, sondern zusätzlich ein zweites Passwort, ein Code oder ein Security Key. Durch diese doppelte Sicherung haben Angreifer keine Möglichkeit, sich Zugang zum Gerät, zur Software oder Online-Plattform zu verschaffen, da ihnen die zweite Authentifizierung fehlt. Die Nutzung von 2FA ist immer dann zu empfehlen, wenn es keine andere Möglichkeit gibt, das Risiko des ausspähen von Passwörtern sicher zu reduzieren und vor allem wenn es um Zugänge zu Geräten oder Anwendungen geht deren Schutz besonders kritisch ist.

Risiko – Datendiebstahl

Werden Passwörter auf Zettel geschrieben, die irgendwo hinterlegt werden, so können diese gefunden und die Passwörter entwendet werden. Bei vielen Lehrkräften war zumindest in der Vergangenheit ein beliebter Ort zur Verwahrung von Passwörtern der Lehrerkalender. Immer wenn Passwörter irgendwo ungeschützt notiert werden, besteht das Risiko, dass andere in ihren Besitz gelangen.

Maßnahme – Passwort-Manager

Eine einfache Möglichkeit, Passwörter sicher zu verwahren, sind sogenannte Passwort Manager oder Passwort Safes. Das sind Programme, die durch ein besonderes Hauptkennwort gesichert sämtliche Passwörter eines Nutzers aufnehmen können. Gute Passwort Manager lassen sich durch alternative Authentifizierungsmethoden wie Fingerabdruck oder sogar durch zwei Faktor Authentifizierung zusätzlich absichern. Passwort Manager speichern nicht nur Passwörter und Benutzernamen, sondern auch die URL der zugehörigen Seite und können dadurch davor schützen, dass Zugangsdaten an gefälschten Seiten eingegeben werden. Darüber hinaus bieten diese Programme auch die Möglichkeit, sichere Passwörter zu erzeugen. Da man sie sich nicht mehr merken muss, können sie sehr komplex sein.

Risiko – Keylogger

Unter einem Keylogger versteht man eine Hardware oder Software, welche in der Lage ist, sämtliche Tastatureingaben aufzuzeichnen und gegebenenfalls an Dritte zu übermitteln. Hardware Keylogger sind kleine USB Stecker mit einem Speicher und teilweise mit einer Funkverbindung, welche zwischen die Tastatur und den Rechner gesteckt werden. Aufgrund der geringen Größe fallen sie nicht ins Auge. Im Unterschied zu Keylogger Software müssen die USB Stecker ausgebaut und ausgelesen werden, wenn sie nicht über Funk auslesbar sind. Für die Personen, welche sie installieren, besteht außerdem ein gewisses Risiko der Entdeckung beim Ein- und Ausbau. Diese Probleme bestehen bei Keyloggern in Form von Software nicht. In der Regel gelangen sie über Schadsoftware auf den Rechner und es gibt sie auch für mobile Endgeräte. Die aufgezeichneten Eingaben können sie über das Internet an ihre Auftraggeber weiterleiten. In der Schule sind an stationären Rechnern mit einer kabelgebundenen Tastatur Keylogger in Form eines USB Stecker das größte Risiko. Sie sind klein, leicht zu beschaffen und kosten nicht viel. Im schulischen Alltag ist es für Schüler vielfach ein Leichtes, einen solchen Stecker am Lehrer PC im Computerraum oder am Pult im Klassen- oder Kursraum anzubringen. Potenziell lassen sich so sämtliche Zugänge der Lehrkräfte abgreifen, die sich an diesen Rechnern einloggen, sofern die genutzten Zugänge nur durch Benutzername und Passwort gesichert sind.

Maßnahme – Kontrolle

Eine einfache Maßnahme besteht in der Sensibilisierung der Lehrkräfte und der regelmäßigen Kontrolle der USB Stecker. Man sollte jedoch bedenken, im Alltag einer Schule wird eine solche Kontrolle jedoch vielfach nicht möglich sein oder schlichtweg vergessen werden. 

Maßnahme – 2FA

Durch eine Zwei Faktor Authentifizierung lässt sich verhindern, dass unbefugte Personen selbst mit einem ausgelesenen Benutzernamen und Passwort keinen Zugang erhalten. Für Windows und MacOS Systeme gibt es die Möglichkeit, die Anmeldung am Gerät selbst zusätzlich mit einem Security Key abzusichern. Auf den Systemen muss dazu eine zusätzliche Software installiert werden, die nach der Eingabe des ersten Passworts den Security Key anfordert. Alternativ kann an einigen Systemen auch mit einem Sicherheitscode gearbeitet werden, der über ein Authenticator App oder ein OTP Generator erzeugt wird.

Risiko – Wiederverwendung

Da es nicht einfach ist, sich Passwörter zu merken, verwenden viele Nutzer ihre Passwörter gerne an verschiedenen Stellen. Mitunter nutzen sie leichte Abänderungen in Form von angehängten Zahlen, etwa Jahreszahlen. Das Problem hierbei ist, sobald die Zugangsdaten zu einer Online-Plattform in fremde Hände gelangt sind, geraten auch Zugänge zu anderen Plattformen, Anwendungen oder Systemen in Gefahr. Gerade in der Schule ist die Gefahr groß, dass die Zugangsdaten von Lehrkräften, wenn sie in falsche Hände gelangt sind, an anderen Anwendungen und Plattformen, welche Lehrkräfte der Schule ebenfalls benutzen, getestet werden. Selbiges gilt auch, wenn Zugangsdaten durch einen Angriff auf eine Online-Plattform in fremde Hände gelangen. Sie werden dann systematisch an anderen Plattformen getestet.

Maßnahme – verschiedene Passwörter

Es gibt nur einen einzigen Weg, dieses Risiko zu vermeiden. Die Zugänge zu verschiedenen Anwendungen, Systemen, Geräten und Online-Plattformen müssen durch verschiedene Passwörter geschützt werden. Diese Passwörter dürfen nicht voneinander ableitbar sein. Am besten verwendet man hier einen Passwortmanager, welcher starke Passwörter erzeugt und speichert.

Risiko – Erraten

Es ist leichter, sich Passwörter zu merken, wenn sie mit bekannten Personen, Ereignissen, Tieren und ähnlichem verknüpft sind. Deshalb verwenden Nutzer gerne Namen, Geburtsdaten und ähnlich. Dadurch entsteht für die mit diesen Passwörtern geschützten Zugänge jedoch ein enormes Risiko, da sich diese Passwörter entweder erraten lassen oder durch ein wenig Recherche zu ermitteln sind. Das gilt selbst, wenn diese Passwörter durch zusätzliche Zahlen, Sonderzeichen oder ähnlich verlängert werden. Auch wenn einzelne Buchstaben durch Ziffern oder Sonderzeichen ersetzt werden, etwa ein o durch 0 oder ein S durch $, da diese “Tricks” von vielen Menschen genutzt werden.

Vor allem bei Online-Plattformen gibt es Funktionen, die Nutzern helfen sollen, den Zugang bei einem verlorenen Passwort wieder zu erlangen. Dafür gibt es Sicherheitsfragen. Sehr oft sind diese vorgegeben und fragen nach biografischen Informationen. Da die möglichen Antworten so recht begrenzt sind, können Dritte sich das zunutze machen, um sich Zugang zu einem Konto zu verschaffen.

Maßnahme – sichere Passwörter

Hier hilft nur die Verwendung von sicheren Passwörtern. Wie solche aussehen können, wird beispielsweise auf Seiten des Bundesamtes für Sicherheit und Informationstechnik beschrieben. Noch einfacher ist es allerdings, wenn man einen Passwort-Manager verwendet, da dieser komplexe Passwörter nicht nur erstellt, sondern auch noch sicher verwahrt.

Maßnahme – Lügen

Bei Sicherheitsfragen zur Wiederherstellung eines Kontos bzw. zum Wiedererlangen des Zugriffs auf ein Konto sollten nie echte Antworten mit biografischen Informationen gegeben werden. Hier sollte man immer eine erfundene Antwort geben. Damit man sich diese merken kann, sollte sie in einem Passwort-Manager hinterlegt werden.

Risiko – Wörterbuch Attacken

Um sich Zugang zu mit dem Internet verbundenen Rechnern und Online-Plattformen zu verschaffen, nutzen Hacker oft sogenannte Wörterbuch Attacken. Dabei werden sämtliche Wörter aus bekannten Wörterbüchern als Zugangsdaten ausprobiert. Bekannt sind auch die sogenannten Rainbow Tables, riesigen Sammlungen von erbeuteten Passwörtern, die dann ebenfalls systematisch ausgetestet werden, um Zugriff zu erhalten.

Maßnahme – komplexe Passwörter

Auch hier hilft nur eines, Passwörter müssen komplex sein. Wenn sie aus Wörtern aus dem Wörterbuch bestehen, dann müssen es mehrere sein und diese eventuell durch Sonderzeichen verbunden. Noch sicherer ist jedoch die Nutzung eines Passwort-Managers zur Generierung von komplexen Passwörtern mit ausreichend großer Anzahl von Zeichen.

Risiko – Phishing

Die Technik ist alt, jedoch noch immer erfolgreich. Durch E-Mails, gefälschte Websites oder sogar Telefonanrufe werden Nutzer dazu gebracht, ihre Zugangsdaten an Dritte zu verraten.

Maßnahme – Vorsicht

Auch wenn es um Zugänge zu von Lehrkräften genutzten Plattformen geht, ist nicht ausgeschlossen, dass Dritte versuchen, durch Tricks an die Zugangsdaten zu gelangen. Hier hilft nur eine vernünftige Portion Skepsis, wenn in ungewöhnlichen Aktivitäten auf einem schulischen Rechner Zugangsdaten abgefragt werden oder man auf eine schulische E-Mail-Adresse eine entsprechend ungewöhnliche Abfrage erhält. Aus privaten Endgeräten kann man sich zusätzlich durch Software schützen, meist in Form von Internet Security Paketen, welche Websites und E-Mails auf verdächtige Links und Absender untersuchen.

Risiko – Server Hack

Vor allem schlecht gewartete Server werden leicht Beute von Hackern. Werden dann die Zugangsdaten von Nutzern nicht entsprechend gesichert verwahrt, erhalten die Hacker unter Umständen Zugriff auf große Mengen von Benutzernamen und Passwörtern. Diese können sie dann nutzen, um an auf dem Server gespeicherten Konto-Inhalten der Benutzer zu gelangen wie auch um sie an anderen Online-Plattformen zu testen.

Maßnahme – Passwort-Manager

Im Internet gibt es verschiedene Datenbanken, in welchen gestohlene Zugangsdaten hinterlegt werden, sobald sie an irgendeiner Stelle im Internet auftauchen und verfügbar werden. Gute Passwort-Manager gleichen heute diese Datenbanken im Internet mit den vom Nutzer gespeicherten Zugangsdaten ab. Sobald sie dort Zugangsdaten des Benutzers finden, alarmieren sie diesen und fordern zu einer Änderung der Zugangsdaten auf. Handelt es sich bei den kompromittieren Zugangsdaten um solche, die auch an anderer Stelle verwendet wurden, sollte man dringend dort die Zugangsdaten ändern.

Risiko – Abfangen von Passwörtern

Besonders groß sind die Risiken, dass Zugangsdaten abgefangen werden, wenn der Login an Online-Plattformen von ungesicherten WLAN und Computern aus erfolgt. Dritte können dann leicht versuchen, sich in die Kommunikation zwischen zu schalten, um dabei Zugangsdaten zu erbeuten, mit denen sie sich dann selbst Zugang verschaffen.

Maßnahme – nur sichere Zugänge nutzen

Derartige Risiken lassen sich nur vermeiden, indem Logins an schulischen Plattformen weder von ungesicherten WLAN aus noch von öffentlich zugänglichen, ungesicherten Computern aus erfolgt. Als Alternative zum Login aus einem WLAN heraus kann beispielsweise ein Zugang über mobiles Internet genutzt werden. Wer sich etwas besser auskennt, nutzt als Notbehelf ein VPN zur Absicherung der Kommunikation.

Zusammenfassung

Der Schutz von Zugängen zu Systemen, Programmen, Apps und Online-Plattformen, in welchen personenbezogene Daten aus der Schule verarbeitet werden ist für die Sicherheit der dort verarbeiteten Daten besonders wichtig. Aus diesem Grund ist es erforderlich, Zugänge vor allem dann zusätzlich zu schützen, im Idealfall durch eine Zwei Faktor Authentifizierung, wenn darauf von Geräten aus zugegriffen werden soll, welche außerhalb geschützter Räume wie der schulischen Verwaltung genutzt werden. Aber selbst dort ist eine Schule deutlich besser aufgestellt, wenn der Zugang zu Anwendungen und Online-Plattformen verstärkt geschützt wird, wenn dort große Mengen von personenbezogenen Daten, besonders sensible oder kritische Daten verarbeitet werden. Selbiges gilt auch für die Zugänge zu administrativen Konten.

Innerhalb des gesamten Sicherheitskonzeptes der schulischen Verarbeitung von personenbezogenen Daten stellt der Schutz von Zugängen nur einen Bestandteil dar, wie hoffentlich gezeigt werden konnte, jedoch einen wesentlichen.

Download Flyer

Der Flyer fasst die Risiken für den Zugriffsschutz mittels Passwörtern kurz und knapp mit möglichen Maßnahmen dar. Sie können ihn im Lehrerzimmer aufhängen, digital verteilen oder als Grundlage zur Sensibilisierung für das Thema nutzen.

Datenschutz und IT Sicherheit

Lesezeit: < 1 Minute

Datenschutz funktioniert nur, wenn durch technische und organisatorische Maßnahmen sichergestellt ist, dass das System keine Schwachstellen hat. Auf den zu diesem Bereich gehörenden Seiten werden verschiedene Maßnahmen vorgestellt, die eine Schule umsetzen sollte, um den Schutz und die Sicherheit der verarbeiteten personenbezogenen Daten  sicherzustellen.

Außerdem sind die folgenden Seiten und Beiträge für dieses Thema relevant:

Mit Stolz präsentiert von WordPress