Dienstgeräte – iPads – Datensicherung

Lesezeit: 14 Minuten

 

Auch wenn es in diesem Beitrag darum geht, wie die Verfügbarkeit der auf einem dienstlichen iPad verarbeiteten personenbezogenen Daten gewährleistet werden kann, lassen sich die Aussagen zu einem großen Teil auf Windows Notebooks und, falls es den Fall gibt, Linux Notebooks, übertragen.

An vielen Schulen werden seit Ende 2020 iPads als Dienstgeräte ausgerollt. Die Geräte sollen zentral verwaltet und in bestehende Strukturen eingebunden werden. Als Dienstgeräte sind iPads zur Verarbeitung von personenbezogenen Daten aus der Schule vorgesehen, soweit dieses im Rahmen der dienstlichen Tätigkeiten von Lehrkräften erforderlich ist. Wie die iPad eingesetzt werden sollen, bestimmt die geplante Nutzung durch die Schule. Werden personenbezogene Daten durch die Schule verarbeitet, so ist gemäß VO-DV I §2 Abs. 1 Satz 11Das Zitat stammt aus der Entwurfsfassung der VO-DV I, die eine Anpassung an die DS-GVO darstellt und von daher auch genauso in die finale Version übernommen werden wird. auf den dafür genutzten Geräten

“über die Konfiguration die Vertraulichkeit, Integrität, und Verfügbarkeit gemäß Art. 32 in Verbindung mit Art. 5 DSGVO”

zu gewährleisten.

Um die Verfügbarkeit zu gewährleisten, muss das genutzte System, hier das iPad, nicht nur gegen unbefugte Zugriffe abgesichert und das Betriebssystem immer auf dem aktuellsten Stand sein, um Datenverluste durch fremde Einflüsse auszuschließen, es muss auch eine Backup Strategie geben, um die Daten im Fall eines Geräteverlustes oder Hardware-Schadens weiterhin verfügbar zu haben.

Bei Geräten unter iOS ist das eine Herausforderung, denn die iCloud kann aus verschiedenen Gründen hierfür nicht genutzt werden, auch wenn sie von ihrer Funktionalität her mit automatischem Backup eigentlich die ideale Lösung wäre.

Um welche Daten geht es?

Je nach Funktion der Lehrkraft und den damit verbundenen Aufgaben, verarbeiten Lehrkräfte verschiedene Arten von personenbezogenen Daten. Hier soll es nur um personenbezogene Daten gehen, soweit sie auf dem iPad selbst verarbeitet und auch gespeichert werden. Wird beispielsweise ein LMS wie Logineo NRW LMS genutzt, liegen die dort im Unterricht und in der häuslichen Vor- und Nachbereitung verarbeiteten personenbezogenen Daten, wie etwa Feedback und Bewertungen auf dem Server und brauchen nicht auf dem iPad gespeichert zu werden.

pädagogische Daten

Darunter fallen Inhalte aus dem Unterricht mit Bezug zu einer Person. Das können über die AirDrop Funktion eingesammelte Lernprodukte der Schüler sein, wie ein BookCreator Buch oder ein über Pages erstelltes Dokument. Denkbar sind auch Fotos, welche die Lehrkraft von Lernartefakten erstellt.

pädagogische Dokumentation

Umfasst alle Daten, die eine Lehrkraft sammelt und auf deren Grundlage dann am Ende eines Halb- bzw. Schuljahres Zeugnisse erstellt werden, vor allem Notenlisten. Hinzu kommen Notizen, Diagnosen, Dokumentation, die im Rahmen eines AO-SF Verfahrens entsteht, Versäumnislisten und ähnlich.

schulinterne Verwaltung

Zu von Lehrkräften verarbeiteten personenbezogenen Daten, die dem Bereich der schulinternen Verwaltung zuzuordnen sind, gehört die Kommunikation mit Eltern etwa bezüglich erzieherischer Einwirkungen gemäß § 53 Abs. 2 SchulG NRW, Benachrichtigungen gemäß § 50 Abs. 4 SchulG, Halbjahresnoten der Fächer, zeugnisrelevante Leistungsangaben, Zeugnisbemerkungen und Zeugnisse selbst.

Was muss gesichert werden?

Nicht alle der oben aufgeführten Daten müssen auch von der Lehrkraft selbst gesichert werden. Wenn Schüler Lernprodukte auf einem iPad erstellen, können sie diese auch selbst in einem eigenen Bereich auf einem Server speichern. Das könnte ein Schulserver sein, ein NAS in der Schule, eine NextCloud, eventuell auch Logineo NRW, sofern es für Schüler Zugänge und ausreichend Kapazität gibt. Sammeln Lehrkräfte Lernprodukte von Schülern zur Benotung ein, sollte darauf geachtet werden, dass eine Kopie bei den Schülerinnen und Schülern verbleibt. So brauchen sich die Lehrkräfte selbst nicht um eine Sicherung dieser Daten kümmern. Bei der Arbeit mit LMS liegen die von Schülern erstellten Lernprodukte innerhalb der Plattform und müssen nicht separat durch die Lehrkräfte gesichert werden. Personenbezogene Daten aus der pädagogischen Dokumentation sollten in regelmäßigen Abständen gesichert werden. In Zeiten, wo sehr viele neue Daten hinzu kommen, sollte die Sicherung häufiger erfolgen. Gleiches gilt auch für personenbezogene Daten aus der schulinternen Verwaltung, die auf einem dienstlichen iPad verarbeitet werden. Da es sich bei diesen um wichtigere und oftmals auch sensiblere Daten handelt, sollten sie häufiger gesichert werden. Ob und wie von den Lehrkräften erstellte Unterrichtsmaterialien gesichert werden, liegt in ihrem eigenen Ermessen.

Welche technischen Möglichkeiten gibt es?

iPad – technische Voraussetzungen

Was die Datensicherung bei iPads erschwert, ist die Art und Weise wie iOS Daten verwaltet. Viele Apps speichern die von ihnen erstellten Daten in eigenen abgetrennten Bereichen, die über das seit einigen Versionen von iOS verfügbare Dateien-App nicht zugänglich sind. Sie können in der Regel jedoch über Teilen an andere Apps, darunter auch die Dateien-App, übergeben werden. Das macht eine Sicherung von Daten umständlich, weil es so beispielsweise nicht möglich ist, alle zu sichernden Dateien automatisch in einem Ordner zu sammeln, der dann mit einem Server synchronisiert oder auf einen solchen kopiert wird.

Um Daten, die unmittelbar auf einem iPad verarbeitet werden, zu sichern, müssen diese in Kopie außerhalb des Gerätes verfügbar sein. Technisch gesehen gibt es dazu mehrere Möglichkeiten:

  • Das iPad wird mit einem externen Dienst verknüpft und darüber werden automatisch oder manuell Backups erstellt, die in einem Verzeichnis des Dienstes gespeichert werden.
  • Das iPad wird mit einem externen Dienst verknüpft und synchronisiert Daten automatisch mit einem Verzeichnis dieses Dienstes.
  • Der Nutzer erstellt lokale Kopien und übermittelt diese manuell an einen externen Speicher (per Upload, E-Mail, …).

Geeignete Möglichkeiten

Logineo NRW

Die Landesplattform Logineo NRW kann zur Sicherung von Daten eines iPads genutzt werden. Da die WebDAV Schnittstelle deaktiviert ist, besteht keine Möglichkeit, zu sichernde Dateien für eine Synchronisation einfach in einen Ordner auf dem iPad zu legen, der über diese Schnittstelle mit Logineo NRW verknüpft ist. Entsprechend lässt sich Logineo NRW auch nicht über WebDAV fähige Apps ansprechen. Dateien müssen händisch via Browser in das Loginio NRW Verzeichnis kopiert werden. Auch ein Zugriff auf den Daten-Safe ist vom iPad aus via Browser möglich. Nutzung Logineo NRW ist eine mögliche Lösung, leider aber recht umständlich. Wer nur sehr wenige Dateien zu sichern hat, kann mit dieser Lösung auskommen.

NextCloud

Die aktuell wohl beste Lösung, um die Daten von Dienst-iPads zu sichern, dürfte die NextCloud sein. Sie ist extrem sicher, gut zu nutzen und hat ein eigenes App2Alternativ zum Zugang über das NextCloud App lässt sich die NextCloud auch über andere Apps via WebDAV einbinden.. Darüber hinaus lässt sie sich mit einem OnlineOffice kombinieren, so dass es auch möglich ist, erstellte Dokumente direkt in der Cloud anzusehen und zu bearbeiten, auch kollaborativ. Ein weiterer Punkt, in welchem die NextCloud vielen anderen Plattformen überlegen ist – sie hat einen Mülleimer. Werden Dateien versehentlich gelöscht, so landen sie im Mülleimer und lassen sich für 180 Tage ohne Probleme wiederherstellen. 3Die Speicherdauer kann durch den Administrator angepasst werden. Der Mülleimer kann Schulleitungen und Lehrkräften eine große Angst nehmen – was wenn man versehentlich alles löscht? Um Dateien in der NextCloud zu sichern, werden diese vom App, mit welchem sie erstellt und bearbeitet wurden, mit der NextCloud App geteilt. Damit landen sie im NextCloud Ordner auf dem iPad und werden dann direkt in die NextCloud geladen. Einige Apps wie z.B. Apple Pages lassen es zu, den NextCloud Ordner auf dem iPad direkt als Speicherort auszuwählen. Bei Bedarf ist es möglich, Dateien auch für eine Offline Nutzung auf dem iPad in lokaler Kopie zu halten. Veränderungen werden dann bei einer Verbindung mit dem Internet in die NextCloud synchronisiert.

Anders als Logineo NRW hat die NextCloud keinen speziellen Daten-Safe. Das ist allerdings kein Defizit.4Siehe dazu auch weiter unten den Abschnitt “Braucht es einen Daten-Safe?” Die NextCloud bietet umfangreiche Sicherheits Features, um die gesamte Cloud so sicher wie den Daten-Safe zu machen, wenn nicht sicherer. Dazu nutzt man mehrere Features der NextCloud:

  • verpflichtende Nutzung von Zwei-Faktor-Authentifizierung (2FA)
  • Sicherung des Zugriffs der App mit App Passwort und Sicherung des Zugriffs auf das App mit Code und Touch/ FaceID
  • Vorgabe von Passwortregeln
  • Unterbinden des Filesharing nach außen oder zu Nutzern in anderen Nutzergruppen
  • ein sauberes Rechte- und Rollenmanagement, um Zugriff nach Aufgaben der Personen zu steuern
  • Ransomware Schutz
  • Antivirus Schutz
  • Begrenzung des Uploads von Dateien auf bestimmte Dateitypen
  • Aktivierung der serverseitigen Verschlüsselung für eine Verwaltungs NextCloud. 5Siehe auch Verschlüsselung in der NextCloud. Reduziert die Leistung etwas, aber da eine für pädagogische Dokumentation und schulinterne Verwaltung genutzte NextCloud nicht Zugriffszahlen hat wie eine Unterrichtsinstanz sollte das kein Problem sein.
Mehrere Schulen in einer NextCloud?

Wäre es möglich, wenn der Schulträger mehreren Schulen eine gemeinsame NextCloud Instanz zur Verfügung stellt, in welcher diese ihre personenbezogenen Daten von den dienstlichen iPads sichern? Auch wenn die NextCloud sehr sicher ist und Administratoren über Gruppen einen NextCloud so einrichten können, dass Nutzer verschiedener Schulen einander nicht sehen und auch keine Dateien austauschen können, so sollte von dieser Möglichkeit abgesehen werden. Die NextCloud ist nicht mandantenfähig6zur Begriffserklärung siehe https://de.wikipedia.org/wiki/Mandantenf%C3%A4higkeit und kann verschiedene Schulen nicht wirklich sauber von einander trennen. Käme es im Bereich einer Schule zu einem Sicherheitsproblem, so wäre die Wahrscheinlichkeit, dass dieses auch die anderen Schulen innerhalb dieser NextCloud treffen könnte deutlich größer als hätte jede Schule ihre eigene NextCloud auf dem gleichen Server. Es empfielt sich von daher, eine Instanz aufzusetzen und in Absprache mit den Schulen vorzukonfigurieren, und sie anschließend für die verschiedenen Schulen zu klonen.

Die Schule betreibt ihre NextCloud selbst

Eine NextCloud auf einem kleinen Server aufzusetzen, ist nicht schwierig. In vielen Schulen gibt es Lehrkräfte, die das können. Trotzdem sollte man eine NextCloud professionell hosten lassen, wenn man sie für die Verarbeitung von personenbezogenen Daten aus der Schule nutzen möchte, vor allem, wenn es um wichtige Daten geht wie die aus der pädagogischen Dokumentation und der schulinternen Verwaltung. Den Betrieb einer NextCloud in die Hände von IT-Profis abzugeben, heißt auch Verantwortung abgeben.7Im Sinne des Datenschutzrechts ist und bleibt die Schulleitung Verantwortlicher, doch wenn man einen Profi-Hoster beauftragt, kann man davon ausgehen, dass Technik und Sicherheit stimmen. Betreibt man die NextCloud in der Schule selbst, muss man für alles selbst eine Lösung finden. Sollte es zu einem Datenschutzzwischenfall kommen, der durch Technik oder Sicherheit bedingt ist, dürfte die Schule im Streitfall deutlich schlechter dastehen als wenn sie einen Profi beauftragt hat. Professionelle Hoster, die ihr Handwerk verstehen, sind in der Lage, eine NextCloud sicher zu konfigurieren, für Backup zu sorgen und Lastspitzen aufzufangen. Mit einer NextCloud auf einem kleinen Server im Schulkeller ist das nur schwierig möglich. Mit dem Betreiber der NextCloud muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Anbieter, die NextCloud im Programm haben, gibt es viele. Unter NextCloud Partner sind offiziell vom Entwickler der Open Source Cloud gelistete Anbieter aufgeführt. Ein auf Schulen spezialisierter Anbieter ist EduDocs. Auch die kommunalen Dienstleister haben mitunter NextCloud im Portfolio. Einige Anbieter führen die NextCloud unter anderen Namen. Die regio-it bietet sie beispielsweise als ucloud an.8Hinweis: regio IT bietet die ucloud in verschiedenen Varianten an. Es gibt die für Firmen und Verwaltungen – ucloud und für den Unterricht – ucloud4schools. Eine Unterrichtsinstanz ist nicht für die Nutzung mit Daten aus der pädagogischen Dokumentation und der schulinternen Verwaltung gedacht. Man wird hier eine zweite Instanz benötigen, eine ucloud für Firmen/ Verwaltungen. Alternativ nutzt man die ucloud4schools ausschließlich mit Lehrkräften.

Dienstlicher USB Stick

Von iPads aus kann mittlerweile auf USB Sticks gesichert werden. Dazu sind jedoch USB Sticks erforderlich, welche einen mit Lightning kompatiblen USB Anschluss haben oder man benötigt einen zusätzlichen Adapter von Lightning auf USB. Um den Sicherheitsanforderungen zu genügen, sollte die Speicherung von personenbezogenen Daten aus der pädagogischen Dokumentation und schulinternen Verwaltung auf einem USB Stick durch Verschlüsselung geschützt sein. Die größte Sicherheit bieten hier USB Sticks mit einer Hardware Verschlüsselung.9Siehe dazu auch den Beitrag zu sicheren USB Sticks. Allerdings unterstützen iPads diesen Typ von USB Sticks nicht. Als Ausweg bleibt nur die Möglichkeit, Dateien selbst zu verschlüsseln oder sie mit einem Passwort vor unberechtigtem Zugriff zu schützen. Einige Apps, wie z.B. TeacherTool bringt eine eigene, robuste Verschlüsselung für Backup Dateien mit. Für Apps, die selbst keine Möglichkeit bieten, mit ihnen erstellte Dateien zu verschlüsseln, kann ergänzend ein Verschlüsselungs App genutzt werden. Beispiele dafür sind dafür sind BoxCryptor (kommerzieller Anbieter) und Cryptomator (open source, spendenbasiert) mit welchen Dateien betriebssystemübergreifend verschlüsselt werden können. USB Sticks stellen eine Möglichkeit dar, wichtige Daten vom iPad extern zu sichern. Sie stellt aber nicht mehr als einen Behelf dar. Eine gute und praktikable Lösung, die allen Sicherheitsansprüchen genügt, sieht jedoch anders aus.

NAS in der Schule

Netzfestplattenspeicher wie etwa von Synology oder Qnap kommen mit eigenen Apps10Beispiel Synology DiskStation: DS File App und DS Cloud App, die ähnliche Funktionalitäten bieten wie etwa NextCloud App. Über DDNS Dienste lassen sich die kleinen Datei Server sogar über das Internet ansprechen. Anders als bei einer in einem Rechenzentrum gehosteten Cloud Lösung wie etwa NextCloud, ist ein NAS in vielen Fällen nicht gegen Ausfälle von Strom und Hardware gesichert. Der Zugriff hängt auch von der Internetverbindung des Schulgebäudes ab. Sie haben zudem den Nachteil, dass sie relativ klein sind und dadurch leicht aus der Schule gestohlen werden können, sofern es nicht möglich ist, sie an einem sicheren Ort in der Schule aufzustellen. Viele Schulen haben diese Möglichkeit nicht. Ein NAS ist durchaus eine Lösung, die für kleine Schulen Sinn machen kann, wenn für eine Sicherung des NAS selbst, etwa über Spiegelung auf eine zweite Einheit, und eine Absicherung gegen Stromausfälle und Diebstahl gesorgt wird.

E-Mail

Ist auf dem iPad ein dienstliches E-Mail Konto eingerichtet, können Dateien, die mit den verschiedenen Apps erstellt und bearbeitet werden, über den Teilen Dialog an ein E-Mail App übergeben werden. Alternativ können Dateien über einen Webmailer aus der Dateien App geladen werden. Dann können sie z.B. an das Konto des Absenders verschickt und auf einem stationären Rechner, der für die Verarbeitung von personenbezogenen Daten aus der Schule eingerichtet ist, im Lehrerzimmer oder einem Lehrerarbeitszimmer, wieder abgerufen und lokal in einem Verzeichnis der Lehrkraft auf einem Netzlaufwerk auf einem Server der Schule gespeichert werden. Von Nachteil ist hierbei, dass die Lehrkräfte Zugang zu einem solchen Rechner haben müssen. 11Es ist vorstellbar, dass die Zahl dieser Rechner zukünftig abnimmt, da die Lehrkräfte jetzt Dienstgeräte haben und dadurch in den Augen des Schulträgers weniger Bedarf für derartige Geräte besteht. Wenn die Möglichkeit besteht, mag das Verfahren für Lehrkräfte geeignet sein, die nur sehr wenige Daten zu sichern haben. Das Verfahren ist umständlich und setzt voraus, dass das genutzte dienstliche E-Mail Konto ausreichend sicher ist, da die Anhänge der E-Mails je nach Einstellung auch längere Zeit auf dem E-Mail Server liegen können.

Alternative Software für das lokale Backup eines iPads

Es gibt alternativ zu iTunes Software, mit welcher es für Lehrkräfte möglich ist, ein Backup des kompletten iPads oder auch nur von ausgewählten Dateien zu erstellen. Die könnte auf Rechnern im Lehrerzimmer installiert werden und Lehrkräfte würden ihr iPad mit dem Rechner über ein Kabel verbinden und den Backup Prozess auf ein Netzlaufwerk durchführen. Nachteil bei dem Verfahren ist, dass das Backup nur in der Schule selbst möglich ist und man Zugang zu einem der meist knappen Lehrerarbeitsplätze benötigt. Außerdem dürfte die Beschaffung bzw. Lizenzierung von progammmen DearMob iPhone Manager.12Ein Bericht bei Heise zum Programm auch eine Kostenfrage sein.

Schulserver

Mit Schulserver sind in diesem Fall Server gemeint, welche direkt in der Schule betrieben werden. Oft handelt es sich um Windows- oder Linux-basierte Server, die einen Fileserver für Unterrichtszwecke bereitstellen, teilweise mit Zusatzfunktionen für das Verteilen und Einsammeln von Dateien oder die Steuerung Schülerberechtigungen im Unterricht. Nicht jeder dieser Server ist für die Sicherung von personenbezogenen Daten von dienstlichen iPads geeignet. Aus Sicherheitsgründen sind viele innerhalb der Schule betriebene Server nicht direkt über das Internet zu erreichen. Das gilt vor allem für Server, auf denen die Daten aus der schulinternen Verwaltung gespeichert werden. Dienstliche iPads werden an den meisten Schulen vermutlich nur in Ausnahmefällen, etwa bei Schulleitungen oder Personen, die zur erweiterten Schulleitung gehören, in das Netz der schulinternen Verwaltung eingebunden. Für Lehrkräfte kommt dieser Server damit für die Datensicherung nicht in Frage. Auch ein pädagogisch genutzter Server kommt nicht in Frage, wenn Schüler Zugriff darauf haben. Was bleibt, wäre ein speziell für Lehrkräfte eingerichteter Server, der entsprechend den dort verarbeiteten personenbezogenen Daten abgesichert ist. Herkömmlich für Lehrkräfte in Schule genutzte Sever sind für den lokalen Zugriff über fest installierte Lehrerarbeitsplätze eingerichtet und nicht für einen mobilen Zugriff innerhalb der Schule oder eine Anbindung ans Internet, um den Zugriff von zu Hause aus zu ermöglichen, da dieses zusätzliche Sicherheitsmaßnahmen erfordert. Viele dieser Server verfügen nicht einmal über eine geeignete Schnittstelle, um iPads einen Zugriff auf das Dateisystem zu erlauben. Da in Schule verfügbare Server zu unterschiedlich sind, kann hier keine generelle Aussage dazu gemacht werden, wie geeignet ein solcher Server letztendlich ist, um die Voraussetzungen in Bezug auf Sicherheit zu erfüllen, die es braucht, damit Lehrkräfte dort ihre dienstlichen iPads sichern können.

Nicht geeignete Möglichkeiten

Private Lösungen

Der einfachste Weg die wichtigen Daten eines Dienst-iPads zu sichern, wäre an vielen Schulen vermutlich die Nutzung privater Technik (Netzwerk-Festplatte im Router, USB Stick oder eine Cloud wie Dropbox oder OneDrive). Diese Möglichkeit scheidet jedoch aus, da damit in Bezug auf die Sicherheit der Verarbeitung von personenbezogenen Daten aus der Schule nichts gewonnen wäre. Für die Nutzung privater Endgeräte wäre eine Genehmigung erforderlich und Clouds, welche Schulen nicht offiziell nutzen, können grundsätzlich nicht für die Verarbeitung von personenbezogenen Daten aus der Schule genutzt werden.

Es kommt immer wieder die Frage auf, ob es nicht möglich sei, Daten aus der Schule in einer privat genutzten Cloud wie Dropbox zu sichern, wenn man sie dort verschlüsselt ablegt? Argumentiert wird damit, dass es sich bei verschlüsselten Daten für den Betreiber der Cloud nicht mehr um personenbezogene Daten handele. An der Stelle gibt es verschiedene Meinungen. Siehe dazu auch den Beitrag “Lehrer Apps und Cloud Speicher“. Auch wenn die Daten durch die Verschlüsselung nicht verwertbar sind, sollten sie nur in einer Cloud gespeichert werden, welche mit Vertrag zur Auftragsverarbeitung von der Schule betrieben wird. Der Grund dafür ist einfach. Gelangen die verschlüsselten Daten aus einer privat genutzten Cloud in falsche Hände und werden einige Jahre später dank stärkerer Rechner und besserer Algorithmen ausgelesen, steht man als Lehrkraft rechtlich eindeutig schlechter da, als wenn sie aus einer von der Schule betriebenen Cloud gestohlen wurden.

iCloud

Es gibt mehrere Gründe, die gegen eine Nutzung von iCloud zur Sicherung von personenbezogenen Daten aus den Bereichen der pädagogischen Dokumentation und schulinternen Verwaltung, wie Lehrkräfte sie verarbeiten, sprechen. Die Speicherung von Daten in iCloud ist nicht auf die EU begrenzt. Die Daten aus der Schule können überall gespeichert werden, auch in den USA. Da Apple ein US Unternehmen ist, unterliegen sie, ob sie in den USA verarbeitet werden, in der EU oder einem anderen Land außerhalb der EU13Siehe Siehe https://images.apple.com/education/docs/Data_and_Privacy_Overview_for_Schools.pdf – dort “Internationale Datentransfers” der Jurisdiktion der USA. Apple bietet in seinem Apple School Manager Vertrag (ASM) die Standard Vertragsklauseln an und Schulen schließen bei Erstellung eines ASM einen Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO ab, doch nach dem Ende des EU-US Privacy Shield ist eine Übermittlung von personenbezogenen Daten in die USA nur mit zusätzlichen Garantien und bei Verwendung von geeigneten technischen Maßnahmen wie Verschlüsselung zulässig. Man kann iCloud Backups verschlüsseln. Allerdings ist auch hier umstritten, ob diese Maßnahmen ausreichen. Mit bedenken muss man auch die Nutzungsbedingungen der iCloud. Dort gibt es eine Passage, die eine geschäftliche/ dienstliche Nutzung ausschließt: “Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist.14Quelle: https://www.apple.com/at/legal/internet-services/icloud/de/terms.html. Das Dokument richtet sich nicht nur an privaten Nutzer, sondern auch an solche mit einer managed Apple ID aus der Schule. Es schließt keine unterrichtliche Nutzung aus, doch die Verarbeitung von Noten, Zeugnissen etc. dürfte von den Nutzungsbedingungen her nicht gedeckt sein.

IServ

Ist nicht für die Verarbeitung von personenbezogenen Daten aus der pädagogischen Dokumentation und der schulinternen Verwaltung gedacht, da die Daten auf dem Server unverschlüsselt vorliegen. Eine Notlösung wäre hier die Nutzung eines Verschlüsselungsapps wie BoxCryptor oder Cryptomator. Beide verschlüsseln die Daten Ende-zu-Ende. Dadurch werden die zu schützenden Dateien nie unverschlüsselt auf dem Server abgelegt. Man würde dazu ein Verzeichnis anlegen, mit welchem das iPad über WebDAV verbunden wird. Die verschlüsselten Dateien werden dann dort abgelegt. Trotzdem bleibt jedoch das Problem, dass das Verzeichnis selbst, in welchem die verschlüsselten Dateien abgelegt werden, nicht verschlüsselt ist und die verschlüsselten Daten damit entwendet werden könnten.

itslearning

Die Plattform des norwegischen Anbieters ist für pädagogische Zwecke gedacht. Entsprechend wird der Vertrag zur Auftragsverarbeitung auch für die Verarbeitung dieser Kategorien von personenbezogenen Daten abgeschlossen15Kategorien personenbezogener Daten
Der Auftragsverarbeiter verarbeitet personenbezogene Daten, die über den Service durch den Verantwortlichen (oder auf seine Anweisung) übermittelt, gespeichert, importiert, gesendet oder empfangen werden. Der Umfang der zu erfassenden Daten liegt im alleinigen Ermessen der nutzenden Personen. Die Daten umfassen die folgenden Kategorien:
– Kontaktinformationen (Name, Benutzername, Klassen- / Gruppenzugehörigkeit.)
– Kommunikation (Nachrichten zwischen Benutzern, Diskussionen, Kommentare zu Beiträgen, Benachrichtigungen.)
– Kursmaterialien
– Bewertungen (keine Benotung)
_ Kalendereinträge und Ereignisdaten
– Dokumente, Präsentationen, Videos, Bilder, Hausaufgaben, Aufgaben, Nachrichten

Quelle: AVV itslearning
Das bedeutet, dass selbst wenn die Plattform ausreichend sicher wäre, eine Verarbeitung von personenbezogenen Daten aus den Bereichen pädagogische Dokumentation und schulinterne Verwaltung nicht zulässig wäre. Fraglich ist zudem, ob itslearning technisch in der Lage ist, den Unterrichtsbereich mit Schülerzugriff ausreichend abzugrenzen, und ob die Plattform ausreichende Sicherheit bieten würde. Da von itslearning aus auch Dokumente in Microsoft Office Online bearbeitet werden können, besteht hier ein weiteres Problem, auch wenn bearbeitete Dokumente nur temporär in Office Online landen und auf itslearning Servern gespeichert werden.

Microsoft OneDrive/ Google Drive

Die Cloud Lösungen der US Anbieter gelten als extrem sicher, wenn es um Hackerangriffe und ähnlich geht. Anders als bei IServ werden ruhende Daten auf den Servern der US Anbieter verschlüsselt gespeichert und sind damit vor unbefugten Zugriffen sicher. Das Problem liegt hier an anderer Stelle. Es gibt einen Punkt, in dem sind deutsche Aufsichtsbehörden und auch Länder wie Österreich und die Schweiz einig, sofern sie eine Nutzung von Office 365/ Microsoft 365 und G Suite for Education für eine pädagogische Nutzung für möglich halten. Es dürfen dann auch nur pädagogische Daten in den Plattformen verarbeitet werden. Nicht zulässig ist hingegen die Verarbeitung von personenbezogenen Daten aus den Bereichen der pädagogischen Dokumentation und der schulinternen Verwaltung. Selbst wenn diese Daten durch Programme wie BoxCryptor oder Cryptomator Ende-zu-Ende verschlüsselt in die Clouds gesichert werden und dort dann nur die verschlüsselten Dateien liegen, so wäre nicht auszuschließen, dass sie zukünftig durch stärkere Rechner und besser Algrorithmen entschlüsselt werden könnten, sofern sie beispielsweise in den Zugriff von US Ermittlungsbehörden gelangen. Auch wenn die Wahrscheinlichkeit sehr gering ist, dass Daten aus Schulen im Rahmen von Ermittlungen in den Zugriffen von US Ermittungsbehörden gelangen, kann von der Speicherung von personenbezogenen Daten, die über den pädagogischen Bereich hinausgehen, aktuell nur abgeraten werden, selbst wenn sie dort durch den Nutzer verschlüsselt abgelegt werden.

Wie lange sollten Daten auf dem iPad gespeichert werden?

Da mobile Endgeräte deutlich höheren Risiken ausgesetzt sind, sowohl was Hardwareschäden angeht als auch Verlust durch Diebstahl, sollten personenbezogene Daten aus der Schule dort nur so lange wie nötig gespeichert werden. Notenlisten, in welchen Leistungsbewertungen über das Halbjahr gesammelt werden, sollten nach Ende des Halbjahres, spätestens jedoch nach Ende des Schuljahres, vom Gerät entfernt werden, wenn sie abgeschlossen sind und die Zeugnisnoten festgelegt wurden. Es spricht nichts dagegen, diese Daten auf einem Server der Schule auch längerfristig zu speichern, solange dabei die Aufbewahrungs- und Löschfristen nach §9 VO-DV I beachtet werden. Gleiches gilt auch für digitale Notenbücher wie z.B. TeacherTool. Spätestens, nachdem aus der Datenbank des vorherigen Schuljahres die Schüler für das neue Schuljahr übernommen wurden, sollte die alte Datenbank vom Gerät entfernt werden. Eine Sicherung wird auf einem Server der Schule abgelegt. Besonders sensible Daten sollten direkt dann vom iPad entfernt werden, sobald der Verarbeitungszweck erreicht ist. Wird auf dem iPad beispielsweise ein Dokument im Rahmen eines AO–SF Verfahrens erstellt,So sollte dieses vom Gerät gelöscht werden, nachdem ist fertig gestellt und digital an die schulinterne Verwaltung übermittelt oder direkt ausgedruckt wurde. Eine Kopie sollte auf dem Schulserver weiterhin vorhanden sein. Auf dem iPad erstellte Text Zeugnisse sollten dort gelöscht werden, sobald die Zeugnisse gedruckt worden sind und die Frist verstrichen ist, in welcher noch mögliche Korrekturen anfallen können.

Zu beachten ist beim Löschen von Dateien von einem iPad, dass vorher gegebenenfalls eine Kopie auf einem Server der Schule abgespeichert werden muss. Bei Systemen wie NextCloud, wo es immer eine automatische Kopie der Dateien auf dem iPad in der Cloud gibt, wird auch diese gelöscht, wenn man die Datei auf dem iPad entfernt.

Braucht es einen Datensafe?

Logineo NRW verfügt über einen sogenannten Daten-Safe. Das ist ein besonders abgesicherter Bereich, der nur durch Eingabe eines weiteren Passworts erreichbar und in seinen Funktionen so eingeschränkt ist, dass nur Berechtigte auf die dort gespeicherten personenbezogenen Daten Zugriff erhalten können. Bei Logineo NRW macht der Daten-Safe Sinn, da die Landes-Cloud keine Zwei-Faktor-Authentifizierung (2FA) unterstützt. Wer in den Besitz des Passworts einer Lehrkraft gelangt, erhält unmittelbar Zugriff auf alle im normalen Bereich gespeicherten Daten. Deshalb gibt es den Daten-Safe mit einem zusätzlichen Passwort und eingeschränkten Funktionen. Plattformen mit einem sehr starken Sicherheitskonzept, wie dieses beispielsweise bei der NextCloud der Fall ist, benötigen keinen zusätzlichen Daten-Safe, um dort auch besonders sensible Daten zu speichern. Sind sie ausreichend sicher konfiguriert, können dort alle Daten gespeichert werden.

 

Stand 02/2021