Genehmigung für Lehrkräfte vereinfachen: USB Stick oder Plattform

Lesezeit: 4 Minuten

Personenbezogene Daten aus der Schule laut Anlage 3 der VO-DV I dürfen von Lehrkräften nur auf privaten Endgeräten verarbeitet werden, wenn sie dafür die Genehmigung der Schulleitung haben. Die Problematik, welche sich mit der Unterzeichnung der Genehmigung sowohl für Lehrkräfte als auch für Schulleitungen rein rechtlich verbindet, hat sich nicht geändert. Trotz aller Zusicherungen aus dem Schulministerium gibt es auch im Juni 2019 noch immer viele Schulen, an denen es keine Genehmigungen für die Lehrkräfte gibt oder an welchen Lehrkräfte die Unterschrift nicht einholen. Lehrkräfte sehen sich nicht in der Lage, die in der Genehmigung geforderten technischen Maßnahmen in Teil B sicher umzusetzen und Schulleitungen wissen nicht, wie sie die Einhaltung derselben beurteilen sollen, um zu entscheiden, ob sie die Genehmigung erteilen können oder nicht.

Warum außerhalb des Endgerätes speichern?

Das eindeutig größte Risiko für Daten ergibt sich aus einer Speicherung auf dem Gerät, mit welchem die sie verarbeitet werden. Liegen die Daten auf der Festplatte, können sie über unberechtigte Zugriffe ausgelesen oder gestohlen werden, egal ob dieses durch eine Person geschieht, welche direkt an den Rechner gelangt oder über das Internet mittels Trojaner oder andere Mittel. Die technischen Maßnahmen zum Schutz der Daten, wie sie in Teil B der Genehmigung aufgeführt sind, sollen verhindern, dass dieses geschieht. Auch wenn man sich bemüht, so ist sich nicht jeder sicher, ob wirklich alle Schutzmaßnahmen richtig eingestellt und auf dem aktuellen Stand sind. Was liegt also näher als die Daten gar nicht erst auf dem privaten Endgerät selbst zu speichern?

Speichert man die personenbezogenen Daten aus der Schule auf einem USB Stick oder alternativ auf einer von der Schule für die Verarbeitung von personenbezogenen Daten vorgesehenen Plattform, werden diese Daten nicht auf dem eigenen Gerät gespeichert. Während der Bearbeitung vom USB Stick aus bzw. über den Browser in der Plattform liegen sie auf dem Gerät im Arbeitsspeicher bzw. bei Online-Plattformen im Browser Cache temporär vor. Wenn die bearbeitete Datei geschlossen ist und der USB Stick vom Gerät getrennt bzw. der Logout aus der Plattform stattgefunden hat und das Browserfenster geschlossen wurde, sind diese temporären Dateien verschwunden. Und damit ist man auf der sicheren Seite, selbst wenn man die technischen Maßnahmen aus Teil B vielleicht nicht komplett umsetzen konnte.

Was ist zu tun, damit man diese Lösung nutzen kann?

Lösung sicherer USB Stick

Die Lösung liegt gar nicht so fern. Sie heißt sicherer USB Stick. Auch andere Bundesländer wie Hessen und Baden Württemberg gehen diesen Weg.

Sichere USB Sticks beschaffen für alle Lehrkräfte

Die Schule bzw. der Schulträger1Es gibt mittlerweile eine Reihe mir bekannter Schulträger, die für die Lehrkräfte ihrer Schulen sichere hardwareverschlüsselte USB Sticks beschafft haben. Bei einer Kommune waren dieses 180 Stück. beschafft sichere USB Stick, am besten Hardware verschlüsselte. Ausführliche Informationen und Empfehlungen dazu finden sich im Beitrag USB Sticks und Datensicherheit. Warum Hardware verschlüsselte USB Sticks in den meisten Fällen einer Software Verschlüsselung vorzuziehen sind, wird dort ebenfalls erklärt.

Genehmigung anpassen

Die Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II.pdf kann durchaus angepasst werden, solange die Anpassung nicht gegen geltendes Recht verstößt. Eine Einschränkung ist möglich.

Man fügt sie auf Seite 7 – Teil C – Verpflichtungserklärung – ein. Wichtig ist, dass man sie für die jeweiligen Verhältnisse der Schule anpasst. Nutzt eine Schule beispielsweise ein digitales, webbasiertes Klassenbuch oder ein App wie TeacherTool, müsste die Formulierung diese aus der Beschränkung herausnehmen. Dieses könnte etwa wie folgt sein: „In Absprache mit der Schulleitung verpflichte ich mich, sämtliche Verarbeitung von personenbezogenen Daten aus der Schule, soweit sie nicht in WebUntis stattfindet, auf dem mir von dieser zur Verfügung gestellten sicheren USB Stick durchzuführen …„.

Genehmigung einholen – erteilen

Die Lehrkräfte tragen in die angepasste Genehmigung ihr privates Endgerät ein, den PC zu Hause oder das Notebook, welches sie für die Verarbeitung von personenbezogenen Daten aus Anlage 3 nutzen möchten und unterzeichnen Teil C. Im Anschluss erteilt die Schulleitung mit ihrer Unterschrift die Genehmigung.

Mit dem sicheren USB Stick arbeiten

Danach kann es losgehen. Damit Lehrkräfte alles richtig machen, von der Sicherung der Daten auf dem USB Stick bis zur Löschung, sollten sie die Hinweise von Datenschutz leichter durch sicheren USB Stick.pdf (Download Link) kennen.

Lösung Plattform

Verfügt die Schule über eine sichere Plattform, welche für die Verarbeitung von personenbezogenen Daten aus Anlage 3 geeignet ist, kann man anstelle des sicheren USB Sticks die Genehmigung auch auf die Speicherung der Daten auf dieser Plattform einschränken. Das Vorliegen eines Vertrags zur Auftragsverarbeitung mit dem Anbieter der Plattform wird hier vorausgesetzt.

Welche Plattformen?

In Frage kommen hier nur Plattformen, welche von europäischen Anbietern ausschließlich auf europäischen Servern betrieben werden2Auch Anbieter im Europäischen Wirtschaftsraum (EWR) wie etwa Norwegen kommen in Frage, da hier das gleiche Datenschutzniveau wie in der EU gilt..

iServ

Schulen, die iServ, einen Schulserver mit Online-Zugriff, für pädagogische Zwecke nutzen, können vom Anbieter eine zweite kostenlose Lizenz erhalten, welche sie für Verwaltungsarbeiten auf einem weiteren (virtuellen) Server einrichten. Lehrkräfte sollten hier einen anderen Zugang haben als zur pädagogischen Instanz. Textdateien, Tabellen, die im Zusammenhang mit personenbezogenen Daten aus der Schule am häufigsten genutzt werden, können hier in CollaboraOffice, einer Online-Version von LibreOffice über den Browser oder auch ein App bearbeitet werden, auch kollaborativ.

NextCloud

Die OpenSource Plattform NextCloud gilt als sehr sicher und wird auch deshalb beispielsweise von 300.000 Anwendern in der Bundesverwaltung genutzt. Mit den entsprechenden Sicherheitseinstellungen kann eine Schule hier problemlos personenbezogene Daten aus Anlage 3 verarbeiten, also auch Wortzeugnisse und ähnlich. Einige Schulträger stellen ihren Schulen bereits NextCloud Instanzen über ihre Dienstleister zur Verfügung. Wichtig ist hier, dass für Verwaltungsarbeiten eine gesonderte Instanz genutzt wird mit separaten Zugangsdaten für die Lehrkräfte. Eine Verarbeitung von personenbezogenen Daten aus Anlage 3 ist in der pädagogischen Instanz nicht zulässig. Für Schulen, die NextCloud nicht über ihren Schulträger erhalten können, gibt es Anbieter wie EduDocs3Der Anbieter bietet einen Vertrag zur Auftragsverarbeitung nach DS-GVO, auch in der kostenlosen Version. In Zusammenarbeit mit Lehrkräften wurde auch eine auf NRW Vorgaben ausgerichtete Version erarbeitet., die sich auf NextCloud für Schulen spezialisiert haben. Die Bearbeitung von Dateien in der NextCloud (Text, Tabelle, Notizen, …) erfolgt in CollaboraOffice über Browser oder im NextCloud App. Auch eine alternative Einbindung von OnlyOffice ist möglich.

Andere Plattformanbieter

Es gibt auf dem deutschen Bildungsmarkt weitere Anbieter von Online-Plattformen oder Schulservern mit Online-Zugriff. Wichtig sind bei der Auswahl bzw. Nutzung im Sinne des hier vorgeschlagenen Lösungsweges – Bearbeitung ohne Speicherung auf dem Endgerät der Lehrkraft – Speicherung außerhalb des Endgerätes – zwei Punkte:

  • Die Plattform muss einen Möglichkeit bieten, personenbezogene Daten so zu verarbeiten, dass dazu keine Speicherung auf dem Endgerät der Lehrkraft erforderlich ist.
  • Wenn die gleiche Plattform an der Schule auch für Unterrichtszwecke genutzt wird, muss es für Verwaltungsarbeiten eine zumindest logisch getrennte Instanz geben mit einem komplett separaten Login für Lehrkräfte.

Sollte Logineo NRW irgendwann doch noch kommen, könnte man die Landesplattform im beschriebenen Sinne ebenfalls nutzen.

Achtung! Zum gegenwärtigen Zeitpunkt lassen datenschutzrechtliche Vorgaben es in NRW nicht zu, dass personenbezogene Daten entsprechend Anlage 3 der VO-DV I in den Cloud Plattformen nicht-europäischer Anbieter wie Microsoft, Google, Apple, Dropbox, Box und ähnlich verarbeitet werden. Office 365 und G Suite for Education sind eindeutig nicht zulässig, wenn es um diese Daten geht!

Mehr Informationen, wie man sein privates Endgerät entsprechend Teil B der Genehmigung absichert unter Genehmigung private Endgeräte Lehrkräfte

Stand 06/2019