Schulen sollten ein Sicherheitskonzept haben und umsetzen

Lesezeit: 3 Minuten

In den Schulferien gelang es Unbekannten aus einem Gymnasiums im niedersächsischen Gehrden Computer zu entwenden. Nach einem Bericht der Hannoverschen Allgemeinen Zeitung vom 13.08.2019 waren die Unbekannten in einen Bereich der Schule gelangt, welcher eigentlich nicht für die Öffentlichkeit gedacht ist. Dort konnten sie an zwei Computer gelangen, aus welchen sie die Festplatten ausbauten und mitnahmen. Es wurden so

“Datenträger mit persönlichen Daten von Eltern aus einem besonders gesicherten Bereich gestohlen.”

Dieser Beschreibung nach wird es sich bei den Rechnern um Verwaltungsrechner gehandelt haben, die entweder in der Verwaltung selbst oder in einem Serverraum standen.

Vielleicht wäre der Vorfall in der Schulzeit nicht möglich gewesen. In den Ferien, wenn Handwerker im Schulgebäude sind, die IT Techniker in verschiedenen Räumen arbeiten und Reinigungskräfte die Klassenräume für das neue Schuljahr vorbereiten, stehen schon einmal Türen auf, die sonst verschlossen gehalten werden. Ob hier Täter einen Plan hatten und ihre Chance abgepasst haben oder ob es einfach eine Tat aus dem Zufall heraus war, ist schwer zu sagen, letztlich aber auch nicht entscheidend. Wesentlich wichtiger ist, dass hier das Sicherheitskonzept der Schule, falls ein solches vorlag, nicht umgesetzt wurde. Aus dem Beitrag, soweit er außerhalb des Abo Bereichs einzusehen war, geht leider auch nicht hervor, ob und wie die Daten geschützt waren. Insgesamt macht der Vorfall deutlich, dass Schulen vorsorgen müssen durch geeignete technische und organisatorische Maßnahmen, dass

  1. ein solcher Vorfall nicht möglich ist und
  2. dass, falls es doch passiert, der Schaden begrenzt werden kann.

Was sollten Schulen tun?

Technische Maßnahmen

  • Türen zu gesicherten Bereichen sollten sich von außen nicht über einen Türgriff öffnen lassen, sondern nur Knöpfe haben. Sie sollten außerdem mit einem Schließer versehen sein, welcher verhindert, dass die Türe offen steht.
  • Festplatten sollten durch eine Vollverschlüsselung durch das Betriebssystem gesichert sein.
  • Über ein an den Funktionen und Aufgaben der Nutzer orientierten Rollen und Rechte Konzept sollten die Zugriffsmöglichkeiten der verschiedenen Nutzerkonten auf die tatsächlichen Erfordernisse eingegrenzt sein.
  • Programme, mit welchen personenbezogene Daten verarbeitet werden, sollten entsprechend Nutzerkonten mit abgestuften Berechtigungen haben. Außerdem sollte der Zugriff auf diese Programme Passwort geschützt sein.
  • Der Zugriff auf Rechner sollte immer über Nutzerkonten erfolgen und entsprechend Passwort geschützt sein.
  • Rechner mit sensiblen Daten sollten je nachdem, wo sie stehen, eventuell zusätzlich mit einem Diebstahlschutz (z.B. Kensington Schloss) gesichert werden.

Organisatorische Maßnahmen

  • Um Datenverlust im Falle eines Diebstahls oder auch physikalischen Schadens durch Defekt, Malware, Feuer- oder Wasserschadens zu vermeiden, sollten Daten immer an verschiedenen Orten gesichert werden. Eine Sicherung sollte sich außer Hauses befinden und eine Sicherung sollte auch logisch oder physikalisch getrennt vom eigentlichen Datenträger existieren.
  • Lehrkräfte und Mitarbeiter sollten zumindest eine einführende Schulung bezüglich Verhaltensregeln zum Schutz der in Schule verarbeiteten personenbezogenen Daten erhalten. Darüber hinaus sollte es regelmäßige Maßnahmen zur Sensibilisierung geben.
  • Über Dienstanweisungen der Schulleitung und Nutzungsvereinbarungen wird sicheres Verhalten klar vorgegeben.
  • Schulleitungen sollten ihrer Pflicht zur Kontrolle bezüglich der Einhaltung datenschutzrechtlicher Vorgaben regelmäßig nachkommen.
  • Mit Firmen, die im Schulgebäude tätig sind und dabei in Bereiche kommen, wo sie Zugang zu personenbezogenen Daten von Schülern und an der Schule beschäftigten Personen erhalten könnten, egal ob es sich um Räume der Verwaltung, Serverräume, PC Räume oder Klassenräume oder ähnlich handelt, sollten Vertraulichkeitsvereinbarungen getroffen werden. Firmen müssen damit verpflichtet werden, ihre Mitarbeiter entsprechend einzuweisen und ihrerseits zu verpflichten. Dazu würde dann auch gehören, dass Türen zu gesicherten Bereichen innerhalb der Schule nie unbeaufsichtigt offen stehen dürfen.

Was, wenn es doch passiert?

Fehler lassen sich nicht immer verhindern. Schulen sind keine hochgesicherten Rechenzentren und Lehrkräfte und Mitarbeiter der Verwaltung und andere in Schule tätige Personen in der Regel keine IT Spezialisten. Sobald bekannt wird, dass es zu einem unberechtigten Zugriff auf personenbezogene Daten aus der Schule gekommen ist, oder die Möglichkeit dazu besteht, muss die Schule entsprechend Art. 33 DS-GVO die zuständige Aufsichtsbehörde informieren. Das sollte innerhalb von 72 Stunden erfolgen. Außerdem sind die Betroffenen entsprechend Art. 34 DS-GVO in Kenntnis zu setzen.

Je nach Fall der Verletzung des Schutzes von personenbezogenen Daten sind außerdem weitere Maßnahmen einzuleiten.

Weiter lesen zum Thema Technische und organisatorische Maßnahmen (mit einer Vorlage für ein Sicherheitskonzept).


Nachtrag: Wie mittlerweile auf Twitter von Basti Hirsch, zu erfahren war, der den Beitrag in der Zeitung lesen konnte:

Laut HAZ-Artikel handelt es sich Daten zur entgeltlichen Schulbuchausleihe, die fünf Jahre aufbewahrt werden müssen und in der Schule ausreichend geschützt und verschlüsselt wurden. Betroffene wurden informiert, laut Einschätzung des LDA waren die Sicherungsmaßnahmen angemessen.

Die Schule scheint also alles weitestgehend richtig gemacht zu haben und der Schaden ist durch ausreichende Sicherheitsmaßnahmen eingegrenzt.

Technische und organisatorische Maßnahmen

Lesezeit: 2 Minuten

Die Dokumentation der technischen und organisatorischen Maßnahmen ist Bestandteil eines jeden Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DS-GVO. In diesem letzten Teil der Dokumentation einer Verarbeitungstägikeit geht es um eine Beschreibung der Maßnahmen, mit welchen der Verantwortliche den Schutz der verarbeiteten personenbezogenen Daten sicherstellt. Es wird nicht nur für die Kontrolle durch die zuständige Aufsichtsbehörde erstellt, sondern dient auch der Selbstkontrolle des Verantwortlichen durch den Datenschutzbeauftragten. Von daher sollte es ausreichend detailliert sein, um diesem Zweck zu genügen.

Um welche Maßnahmen es geht, beschreibt Art. 32 DS-GVO Sicherheit der Verarbeitung. Der Verantwortliche muss durch geeignete Maßnahmen dafür sorgen, dass die Sicherheit der Verarbeitung gewährleistet ist. Außerdem muss er durch Maßnahmen vorbeugen, dass es zu einer Verarbeitung kommt, die gegen die DS-GVO verstößt. Dabei sollen sich die Maßnahmen am Stand der Technik orientieren und die Art, den Umfang, die Umstände und Zwecke der Verarbeitung berücksichtigen, sowie das Risiko, welches mit einer Verletzung des Datenschutzes für die Rechte und Freiheiten der Betroffenen einhergeht.

Für Schule bedeutet dieses, dass für besonders schützenswerte personenbezogene Daten ein höheres Schutzniveau gelten muss als für allgemeinere Daten. Die Datenschutz Grundverordnung beschreibt diese Art von Daten in Art. 9 als besondere Kategorien von personenbezogenen Daten. In Schule fallen unter diese Datenkategorie Gesundheitsdaten, Daten zur sexuellen Orientierung, zu Religion, zu ethnischem Hintergrund und zum sonderpädagogischen Förderbedarf1Dass es sich bei letzteren um besonders schützenswerte personenbezogene Daten handelt, berücksichtigt auch die VO-DV I, indem sie die automatisierte Verarbeitung auf Ergebnisse und Befunde beschränkt. Siehe dazu auch VO-DV I Anlage 1 Abschnitt C IV.

Wie der Name Technische und Organisatorische Maßnahmen (TOM) sagt, betreffen die Maßnahmen zwei Bereiche, die technische Gestaltung der Schutzmaßnahmen und die organisatorische.

Beispiele für technische Maßnahmen

  • abschließbarer Raum (z.B. Sekretariat, Schulleiterbüro, Serverraum)
  • verschließbarer Aktenschrank im Sekretariat
  • Aufbewahrung von Unterlagen zum sonderpädagogischen Förderbedarf in einem Umschlag innerhalb der Schülerakte
  • abgestufte Benutzerrechte in Programmen (z.B. in SchiLD NRW) und im Dateisystem (z.B. im Verwaltungsnetz)
  • Alarmanlage, Einbruchssicherungen
  • unabhängige Stromversorgung zur Vermeidung von Datenverlust bei Stromausfall
  • Steckdosen mit Überspannungsschutz
  • Rauchmelder
  • BackUp System
  • Zugriffschutz per Passwort
  • automatische Bildschirmsperre
  • automatische Abmeldung am Rechner nach einer Zeit der Inaktivität
  • Virenschutz
  • Firewall
  • Verschlüsselung von Datenträgern
  • Pseudonymisierung von Nutzerdaten
  • regelmäßige Betriebssystem Updates
  • automatische Protokollierung von Verarbeitungsvorgängen

Beispiele für organisatorische Maßnahmen

  • Schlüssel mit verschiedenen Berechtigungen
  • Vergabe von Zugriffsrechten an Lehrkräfte und Mitarbeiter entsprechend ihrer Funktionen in der Schule
  • Schulungen zu Datenschutz und -sicherheit
  • Belehrungen
  • regelmäßige Kontrolle der Backup Funktion
  • regelmäßige Kontrolle und Aktualisierung von Zugriffsrechten
  • regelmäßige Änderung von Passwörtern
  • Löschen der Zugänge von ausgeschiedenen Mitarbeitern und Lehrkräften, welche die Schule verlassen haben
  • Auslagerung von BackUps
  • keine personenbezogenen Daten per unverschlüsseltem E-Mail versenden
  • keine Weitergabe von personenbezogenen Daten am Telefon, ohne Absicherung, wer der Gegenüber ist
  • Markierung von Schülern im Schulverwaltungsprogramm, bei denen gegenüber bestimmten Personen keine Auskunft gegeben werden darf
  • Testen der Datenwiederherstellung aus BackUps
  • stichprobenartige Kontrollen der Einhaltung von datenschutzrechtlichen Vorgaben durch die Schulleitung
  • BackUps vor Aufspielen von größeren Updates in Software und System
  • Erteilung von Auskunft entsprechend dem Auskunftsrecht der betroffenen Person erst nach Vergewisserung der Identität der anfragenden Person
  • Verarbeitung von personenbezogenen Daten aus der Schule auf Privatgeräten von Lehrkräften erst nach Erteilung einer Genehmigung durch die Schulleitung
  • Auslesen sensibler Protokolldaten (z.B. Zugriff von Usern auf Internetseiten) nur im Vier-Augen-Prinzip.
  • Erstellung und Implementierung eines schulischen Datenschutzkonzeptes

Vorlagen finden sich im Downloadbereich unter Verzeichnis von Verarbeitungstätigkeiten

Dort finden Sie auch die Vorlage für ein ausführliches Sicherheitskonzept (Schulisches Sicherheitskonzept Datenschutz – Verwaltung.docx).

Eine umfangreiche Checkliste zum Selbst-Check gibt es von der bayrischen Datenschutzaufsicht unter – Selbst-Check: Sicherheit der Verarbeitung nach Art. 32 DS-GVO.pdf

letzte Änderung 2020-10-16